SQUID + ICQ

[zorrok]

squid-2.7
cat squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 
acl SSL_ports port 443 563 
acl ICQ_ports  port 5190 443    # ICQ
acl CONNECT method CONNECT
http_access deny !SSL_ports
http_access allow ICQ_ports
http_access deny all

авторизация ntlm используется для Sams, все работает на ура, не пропускает на ICQ.
в accesss.log

Код: Выделить всё

1222907541.618      0 172.28.113.60 TCP_DENIED/407 1929 CONNECT login.icq.com:443 - NONE/- text/html
1222907541.625      6 172.28.113.60 TCP_MISS/000 0 CONNECT login.icq.com:443 DOMAIN+USER NONE/- -

Перечитал кучу статей не пропускает, помогите кто сталкивался

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wnd]

а чего ICQ по 443 порту лезет? может попробовать выключить secure login или что-то в этом роде?

[zorrok]

443 автоматом ставится на клиенте
без разницы можно поставить 5190 все равно не подключается

[HRonik]

squid-2.7
cat squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 
acl SSL_ports port 443 563 
acl ICQ_ports  port 5190 443    # ICQ
acl CONNECT method CONNECT
http_access deny !SSL_ports
http_access allow ICQ_ports
http_access deny all

авторизация ntlm используется для Sams, все работает на ура, не пропускает на ICQ.
в accesss.log

Код: Выделить всё

1222907541.618      0 172.28.113.60 TCP_DENIED/407 1929 CONNECT login.icq.com:443 - NONE/- text/html
1222907541.625      6 172.28.113.60 TCP_MISS/000 0 CONNECT login.icq.com:443 DOMAIN+USER NONE/- -

Перечитал кучу статей не пропускает, помогите кто сталкивался

Во первых ,на счет 5190, вы сначало правилом

Код: Выделить всё

http_access deny !SSL_ports

запрещаете все кроме SSL_ports, дальше чтото разрешать бесполезно....
Поменяйтк строчки местами и попробуйте порт 5190, результат в виде логов.

[wnd]

443 автоматом ставится на клиенте
без разницы можно поставить 5190 все равно не подключается

Клиент qip? может вот это поможет?

Код: Выделить всё

http://forum.qip.ru/showthread.php?t=10898

[wnd]

Во первых ,на счет 5190, вы сначало правилом

Код: Выделить всё

http_access deny !SSL_ports

запрещаете все кроме SSL_ports, дальше чтото разрешать бесполезно....
Поменяйтк строчки местами и попробуйте порт 5190, результат в виде логов.

да, но по идее он по умолчанию лезет на SSL порт который разрешен

[HRonik]

Все фигня
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820

[zorrok]

Все фигня
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820

фаервола не было вообще. поставил, сейчас интересно с первого раза не подключается а после нескольких попыток все таки выходит в сеть.
клиент qip, icq не подключается совсем, есть идеи как победить сквид?

[alex3]

ну если ася лезет на 443 порт, значит в ее настройках указан не http прокси, а https. я так думаю

[Div]

Все фигня
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820

фаервола не было вообще. поставил, сейчас интересно с первого раза не подключается а после нескольких попыток все таки выходит в сеть.
клиент qip, icq не подключается совсем, есть идеи как победить сквид?

есть...( уменя такое же все). Ставишь в конфе

acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr

И все ОК...

[zorrok]

acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr

И все ОК...[/quote]
Сделал по написаному проблема осталась, чего го то не хватает для полного счастья

[wnd]

есть...( уменя такое же все). Ставишь в конфе

acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr

И все ОК...

Вы что конфиг с нуля пишете?
По умолчанию в конфиге есть

Код: Выделить всё

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

....

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

[zorrok]

за основу взят стандартный

Код: Выделить всё

#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_48e1a80664c4c proxy_auth "/usr/local/etc/squid/48e1a80664c4c.sams"
acl _sams_48e31d1a10bd6 proxy_auth "/usr/local/etc/squid/48e31d1a10bd6.sams"
acl _sams_48e57414b746d proxy_auth "/usr/local/etc/squid/48e57414b746d.sams"
acl _sams_48e2b676e49d6 urlpath_regex -i "/usr/local/etc/squid/48e2b676e49d6.sams"
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
#
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
#acl Safe_ports port 80         # http
#acl Safe_ports port 21         # ftp
#acl Safe_ports port 443                # https
#acl Safe_ports port 70         # gopher
#acl Safe_ports port 210                # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280                # http-mgmt
#acl Safe_ports port 488                # gss-http
#acl Safe_ports port 591                # filemaker
#acl Safe_ports port 777                # multiling http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

[Div]

Аааа ну все ясно.. У вас САМС работает... так вот. Надо

http_access allow icq_addr

Поставить перед http_access allow САМСа...
И все будет ОК

[zorrok]

сделал так

Код: Выделить всё

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow icq_addr
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6

не пашет

[Div]

сделал так

Код: Выделить всё

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow icq_addr
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6

не пашет

У тебя САМС ставит правила строго после названия тэга

# TAG: http_access

Посмотри внимательно... Мож где-то там еще закралось правило сгенереное САМСом... А лучше те правила которые не надо контролировать САМсом вынести выше названия тега... И правило

http_access allow icq_addr

все-таки поставь ниже проверки портов.... типа

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT
#
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr

# TAG: http_access
http_access allow _sams_default !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6 !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d !_sams_48e2b676e49d6

Вот...

[zorrok]

сделал по вашей рекомендации

# created by SAMS _sams_ 2008-10-6 9:41:39
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
# TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_48e1a80664c4c proxy_auth "/usr/local/etc/squid/48e1a80664c4c.sams"
acl _sams_48e31d1a10bd6 proxy_auth "/usr/local/etc/squid/48e31d1a10bd6.sams"
acl _sams_48e57414b746d proxy_auth "/usr/local/etc/squid/48e57414b746d.sams"
acl _sams_48e2b676e49d6 urlpath_regex -i "/usr/local/etc/squid/48e2b676e49d6.sams"
acl _sams_48e2b67fa2ad3 urlpath_regex -i "/usr/local/etc/squid/48e2b67fa2ad3.sams"
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

#acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 # https
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http

# TAG: http_access
http_access allow _sams_default !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6 !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e57414b746d !_sams_48e2b676e49d6

теперь при NTLM авторизации не передает в лог домен+логин

1223246833.321 2 172.28.113.60 TCP_MISS/404 0 CONNECT login.icq.com:443 - DIRECT/- -

[J.Korvin]

Здравствуйте, подскажите в чем проблема настроил по статье http://www.lissyara.su/articles/freebsd ... ams+rejik/ только встроенный ре директор использую. Когда конфиг squid стандартный то все работает без авторизации нормально а когда настраиваю sams и выполню реконфигурацию то при входе на сайты (на все вот такая ошибка TCP_MISS/000). Firewall не включен DNS отвечает нормально сам сервер в нет ходит тоже нормально.

Код: Выделить всё

1291014227.757 5931 195.182.0.15 TCP_MISS/000 0 GET http://www.ru/ - DIRECT/194.87.0.50 -

[J.Korvin]

Здравствуйте, подскажите в чем проблема настроил по статье http://www.lissyara.su/articles/freebsd ... ams+rejik/ только встроенный ре директор использую. Когда конфиг squid стандартный то все работает без авторизации нормально а когда настраиваю sams и выполню реконфигурацию то при входе на сайты (на все вот такая ошибка TCP_MISS/000). Firewall не включен DNS отвечает нормально сам сервер в нет ходит тоже нормально.

Код: Выделить всё

1291014227.757 5931 195.182.0.15 TCP_MISS/000 0 GET http://www.ru/ - DIRECT/194.87.0.50 -

Все решил скорость пула не указал.