авторизация по IP ()squid+sams
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
авторизация по IP ()squid+sams
Я так понял это именно тот метод когда я пускаю только определенных юзеров под определенными айпи7 Тогда не подскажет ли кто нить где можно поподробнее почитать про этот метод авторизации?? Я пробовал делать по статье с авторизацией NCSA...но все же не могу найти где и как правильно изменить авторизацию.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- vintovkin
- ВДВ
- Сообщения: 1289
- Зарегистрирован: 2007-05-11 9:39:11
- Откуда: CSKA
Re: авторизация по IP ()squid+sams
окуда вы юзеров брать хотите?
в сквиде есть масса способов авторизазии.
в сквиде есть масса способов авторизазии.
Junos OS kernel based on FreeBSD UNIX.
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: авторизация по IP ()squid+sams
мне все ранво как брать..мне просо нада переключить в системе самс сквид авторизацию с NCSA на IP
- tynix
- сержант
- Сообщения: 246
- Зарегистрирован: 2008-08-06 8:25:42
- Откуда: Красноярск
Re: авторизация по IP ()squid+sams
Переключение авторизации производится в веб-интерфейсе, где точно- не скажу, т.к. не помню уже. либо в корне САМСа, либо в разделе настроек.
____________________________________________________________________________________________________________________
Вспомнил
САМС-Administration, жми кнопку настроек, и выбирай авторизацию
И сюда загляни по пути, полезно:
http://sams.perm.ru/demo/index.html
____________________________________________________________________________________________________________________
Вспомнил

И сюда загляни по пути, полезно:
http://sams.perm.ru/demo/index.html
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop
cd /usr/ports && make srach
make: don't know how to make srach. Stop
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: авторизация по IP ()squid+sams
переключил...не работает...завел юзера с логином пасом и айпи адресом...не пускает в инет...подозреваю что нада настраивать в squid.conf....
- tynix
- сержант
- Сообщения: 246
- Зарегистрирован: 2008-08-06 8:25:42
- Откуда: Красноярск
Re: авторизация по IP ()squid+sams
Ух... Удалил я самс давненько уже
А вы сквид перезапускали после смены авторизации? Мож самсдемона надо рестартануть? Или вообще сервак?
Посмотрите squid.conf на предмет basic-авторизации.
В squid.conf поищите строчки типа "sams_куча_символов", это от самса, попробуйте с ними поиграться, и в директории со squid.conf должны лежать файлики с подобными именами, предлагаю скопировать их в отдельную директорию вместе с squid.conf и издеваться над оригиналами.

А вы сквид перезапускали после смены авторизации? Мож самсдемона надо рестартануть? Или вообще сервак?
Посмотрите squid.conf на предмет basic-авторизации.
В squid.conf поищите строчки типа "sams_куча_символов", это от самса, попробуйте с ними поиграться, и в директории со squid.conf должны лежать файлики с подобными именами, предлагаю скопировать их в отдельную директорию вместе с squid.conf и издеваться над оригиналами.
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop
cd /usr/ports && make srach
make: don't know how to make srach. Stop
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: авторизация по IP ()squid+sams
какие конкретно изменения нужно сделать в squid.conf для запуска ip авторизации? сервак ресал..файлики с кучей символов присутствуют
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: авторизация по IP ()squid+sams
В веб интерфейсе настройки для авторизации по айпи нашел и изменил...вот мой squid.conf
что еще нужно добавить чтобы была авторизация по айпи и самс считал трафик? юзеров я уже завел.
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
http_port 8080
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
error_directory /usr/local/etc/squid/errors/Russian-1251
cache_dir ufs /usr/local/squid/cache 2048 64 256
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
cache_mgr h-a-k-e-r@inbox.ru
visible_hostname inet.pie.local
tcp_outgoing_address xx.xx.xx.xx
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
url_rewrite_children 20
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
http_port 127.0.0.1:8080
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
-
- проходил мимо
Re: авторизация по IP ()squid+sams
в конфиге сквида еще должны быть тэги(есть в стандартном конфиге) они как бы метки для самса куда вставлять его данные(подробнее на саите самса где то)
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2009-03-25 12:52:03
Re: авторизация по IP ()squid+sams
День добрый! Похожая проблема. Чем все решилось? Укажите на путь истинный 

-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2008-10-02 20:49:21
Re: авторизация по IP ()squid+sams
возьми дефайлтный конфиг сквида там есть теги перед каждым сектором натсроек типа
самс ориентируется по ним и вбивает нужную инфу в нужный раздел конфига, если их нет самс не понимает шо ты от него хош))
Код: Выделить всё
# TAG http_access
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Помогите пожалуйста, SAMS не отключает пользователей.
Стоит авторизация по IP, шаблон по IP, трафик пользователя считает прекрасно,
но после достижения лимита в вэбморде самса пользовтель отключен, в каталоге squid-а создается файлик:
disabled_ip.sams, в squid.conf:
Подскажите пожалуйста, заранее спасибо 
Стоит авторизация по IP, шаблон по IP, трафик пользователя считает прекрасно,
но после достижения лимита в вэбморде самса пользовтель отключен, в каталоге squid-а создается файлик:
disabled_ip.sams, в squid.conf:
Код: Выделить всё
...тип авторизации я закомментировал всю, не знаю правильно иль нет, но подумалось, что при авторизации по IP
оно там не надо :crazy:
# TAG: acl
acl _sams_4ae04a8f8811a src "/usr/local/etc/squid/4ae04a8f8811a.sams"
acl _sams_4ae04a8f8811a_time time MTWHF 08:55-18:10
acl _sams_4ae835128a6ce src "/usr/local/etc/squid/4ae835128a6ce.sams"
acl _sams_4ae835128a6ce_time time MTWHFAS 08:00-18:00
acl _sams_4ae833c985820 src "/usr/local/etc/squid/4ae833c985820.sams"
acl _sams_4ae833c985820_time time MTWHFAS 08:00-22:00
acl _sams_disabled_ip src "/usr/local/etc/squid/disabled_ip.sams"
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
...
# TAG: http_access
http_access allow _sams_4ae04a8f8811a _sams_4ae04a8f8811a_time
http_access allow _sams_4ae835128a6ce _sams_4ae835128a6ce_time
http_access allow _sams_4ae833c985820 _sams_4ae833c985820_time
http_access deny _sams_disabled_ip !_sams_local_ip
...

Дураков нет, есть инакомыслящие...
-
- ефрейтор
- Сообщения: 57
- Зарегистрирован: 2009-09-25 18:03:25
Re: авторизация по IP ()squid+sams
Если у вас создается файл с отключенными ИП адресами значит самс работает.
Возможно сквид по умолчаннию пропускает всех
Самая последня строка в секции доступа http:
# TAG: http_access.
должна быть:
http_access deny all
Я вообще сделал так сначала что сквид никого не пропускал, а потом добавлял аккаунты в самс и проверял чтобы выпускал.
Возможно сквид по умолчаннию пропускает всех
Самая последня строка в секции доступа http:
# TAG: http_access.
должна быть:
http_access deny all
Я вообще сделал так сначала что сквид никого не пропускал, а потом добавлял аккаунты в самс и проверял чтобы выпускал.
"Если в мире нет цветовой дифференциации штанов то нет цели! А если нет цели..." - пацак Би.
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Кажись начало проясняься, хорошо, что сервак тестовый и для вот таких опытов.
Прокся по моему у меня получилась прозрачная, даже не заводя пользователей в сквиде, меня все равно пускает в инет, я так понимаю надо пакеты протокола http заворачивать в ipfw на squid, на порт 3128???? Вот сейчас разбираюсь с ipfw
Прокся по моему у меня получилась прозрачная, даже не заводя пользователей в сквиде, меня все равно пускает в инет, я так понимаю надо пакеты протокола http заворачивать в ipfw на squid, на порт 3128???? Вот сейчас разбираюсь с ipfw

Дураков нет, есть инакомыслящие...
- FoxDW
- мл. сержант
- Сообщения: 106
- Зарегистрирован: 2008-08-04 4:42:43
- Откуда: Красноярск
- Контактная информация:
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Это где в сквиде????
Я там тип авторизации всю закомментировал, вот думаю правильно иль нет?
Я там тип авторизации всю закомментировал, вот думаю правильно иль нет?
Дураков нет, есть инакомыслящие...
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Вроде разобрался, у меня в сквиде был по любому разрешен доступ по http и много ещё по чему, думаю это оно 

Код: Выделить всё
...
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# TAG: http_access
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
...
Дураков нет, есть инакомыслящие...
-
- проходил мимо
Re: авторизация по IP ()squid+sams
Это секция acl - листов контроля доступа.
по дефолту это все закрыто.
Предлагаю такой алгоритм решения. В браузере указываете явно прокси сервер.
squid.conf восстановите из squid.conf.default
в новом squid.conf в секции http_access где-то в конце комментарим или удаляем строку http_access allow localnet
выходим из редактора.
лезем в самс удаляем свой ip, переконфигурируем squid.
лезем в инет, если все ништяк, прокси не даст вылезти.
после этого можно уже и в фаерволе заворачивать на него траффик.
Но к слову сказать у меня прозрачный прокси с аутентификацией по IP через самс сделать не получилось.
При завороте траффика сквид ругается на неправильные запросы.
Так что пришлось всем через групповые политики домена прокси сервер писать. А заворот траффика не дает вылезти в инет особо умным товарищам подключающим свою технику.
по дефолту это все закрыто.
Предлагаю такой алгоритм решения. В браузере указываете явно прокси сервер.
squid.conf восстановите из squid.conf.default
в новом squid.conf в секции http_access где-то в конце комментарим или удаляем строку http_access allow localnet
выходим из редактора.
лезем в самс удаляем свой ip, переконфигурируем squid.
лезем в инет, если все ништяк, прокси не даст вылезти.
после этого можно уже и в фаерволе заворачивать на него траффик.
Но к слову сказать у меня прозрачный прокси с аутентификацией по IP через самс сделать не получилось.
При завороте траффика сквид ругается на неправильные запросы.
Так что пришлось всем через групповые политики домена прокси сервер писать. А заворот траффика не дает вылезти в инет особо умным товарищам подключающим свою технику.
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Пользователя в самсе нет, под которым я ломлюсь на проксю.
В браузере явно указал ип прокси и порт, захожу и он пускает
Даже когда пользоваетя ещё не удалял, ставил ему ограничение в трафике, его ип попадал в файл disabled_ip.sams, но он все равно выходил в инет.
После каждых изменений сквид переконфигурировался, в журнале все Ок, ошибок не было.
У меня все, мысли кончились
Тут точно ipfw не причем?
В браузере явно указал ип прокси и порт, захожу и он пускает

Даже когда пользоваетя ещё не удалял, ставил ему ограничение в трафике, его ип попадал в файл disabled_ip.sams, но он все равно выходил в инет.
После каждых изменений сквид переконфигурировался, в журнале все Ок, ошибок не было.
У меня все, мысли кончились

Тут точно ipfw не причем?
Код: Выделить всё
# created by SAMS _sams_ 2009-11-4 13:17:37
#==============================================================================
# TAG: auth_param
#==============================================================================
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#==============================================================================
# TAG: authenticate_cache_garbage_interval
#==============================================================================
#==============================================================================
# TAG: authenticate_ttl
#==============================================================================
#==============================================================================
# TAG: authenticate_ip_ttl
#==============================================================================
#==============================================================================
# TAG: external_acl_type
#==============================================================================
#==============================================================================
# TAG: acl
acl _sams_4af0498d14af9 src "/usr/local/etc/squid/4af0498d14af9.sams"
acl _sams_4af0498d14af9_time time MTWHF 08:50-18:10
#==============================================================================
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
#==========================================================================
# TAG: http_access
http_access allow _sams_4af0498d14af9 _sams_4af0498d14af9_time
http_access deny all
#==========================================================================
...
Дураков нет, есть инакомыслящие...
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Ведь если остановлю sams и squid демоны, меня же не должно пускать в инет через эту машину???
Завтра попробую, я если все таки будет пускать при остановленном сквиде, в чем может быть причина? Куда дальше копать?
Менял порт в настройках сквида, а в браузере нет, тогда ругается и не пускает в инет, пускает тока через тот порт который указан в настройках сквида, значит по идее весь http трафик все таки проходит через сквид.
Завтра попробую, я если все таки будет пускать при остановленном сквиде, в чем может быть причина? Куда дальше копать?
Менял порт в настройках сквида, а в браузере нет, тогда ругается и не пускает в инет, пускает тока через тот порт который указан в настройках сквида, значит по идее весь http трафик все таки проходит через сквид.
Дураков нет, есть инакомыслящие...
-
- ефрейтор
- Сообщения: 57
- Зарегистрирован: 2009-09-25 18:03:25
Re: авторизация по IP ()squid+sams
секцию http_access покажите полностью.
"Если в мире нет цветовой дифференциации штанов то нет цели! А если нет цели..." - пацак Би.
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
Она полностью
Для пущей достоверности захватил ещё и соседние

Код: Выделить всё
...
#==========================================================================
# TAG: http_access
http_access allow _sams_4af0498d14af9 _sams_4af0498d14af9_time
http_access deny all
#==========================================================================
#=============================================================================
# TAG: http_reply_access
#=============================================================================
# Allow replies to client requests. This is complementary to http_access.
# http_reply_access allow|deny [!] aclname ...
# NOTE: if there are no access lines present, the default is to allow
# all replies
#
# If none of the access lines cause a match the opposite of the
# last line will apply. Thus it is good practice to end the rules
# with an "allow all" or "deny all" entry.
#
#Default:
# none
# TAG: icp_access
...
Дураков нет, есть инакомыслящие...
- Hunta
- сержант
- Сообщения: 164
- Зарегистрирован: 2008-12-03 20:47:35
- Откуда: Калининград
- Контактная информация:
Re: авторизация по IP ()squid+sams
нашёл в чем мой косяк
сквид понимает маску тока 255.255.255.255, а я всем понаставил 255.255.255.0, и в этом случае почему то не срабатывал запрет, всем поправил маски и все заработало.
Всем спасибо!

сквид понимает маску тока 255.255.255.255, а я всем понаставил 255.255.255.0, и в этом случае почему то не срабатывал запрет, всем поправил маски и все заработало.
Всем спасибо!

Дураков нет, есть инакомыслящие...
- Boomberbun
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2009-12-06 0:58:50
Re: авторизация по IP ()squid+sams
Тоже понадобилась автризация по IP. Настроил по статье с авторизацией по NCSA. Вопрос так и не решаеться. Создал шаблон где указал авторизацию по IP.Завёл пользователя указал его IP. )))) Ерунда какая то выходит ))) открываю браузер ввожу некий адрес захожу, кликаю на ссылку ссылка открываеться но вылетает окошко ввода логина и пароля.Нажимаю отмену сайт открываеться окошко пропадает.И так далее. Понимаю что что то с авторизацией вернее со строкой в проксе(auth_param basic program /usr/libexec/ncsa_auth /etc/squid/ncsa.sams ) Пробывал закоментировать ее сквид ваще не запускаеться. Парни может кто подскажет как всё это побороть?
PS....разобрался всё заработало! Но решил сделать ещё и прозрачный прокси.
В сквиде поставил http_port 127.0.0.1:8080 transparent
В pf указал интерфейс l0 на каком прокся порт 8080 написал правило для заворота www
В самсе создал шаблон c авторизацией по IP....вписал логин, пароль и IP юзера. И всё ок работает. Только вот что если перекинуть пользователя в другой профиль к примеру авторизацию по NCSA и реконфигурировать сквид, работать не будет нужно.....кароче я комп пока перегружаю))) думаю нужно рестарнуть демона самса, а может нет?
PS....разобрался всё заработало! Но решил сделать ещё и прозрачный прокси.
В сквиде поставил http_port 127.0.0.1:8080 transparent
В pf указал интерфейс l0 на каком прокся порт 8080 написал правило для заворота www
В самсе создал шаблон c авторизацией по IP....вписал логин, пароль и IP юзера. И всё ок работает. Только вот что если перекинуть пользователя в другой профиль к примеру авторизацию по NCSA и реконфигурировать сквид, работать не будет нужно.....кароче я комп пока перегружаю))) думаю нужно рестарнуть демона самса, а может нет?