Squid хитрый ACL

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-13 11:12:04

Добрый день.

Установлен squid31 авторизация basic, ntlm из AD.
Все работает отлично.

Помогите составить хитрый ACL и access
Учитывать логины некоторых пользователей AD из локального файла.
Т.е. если пользователь есть в AD (проходит авторизацию) и прописан в файле руками то он должен попасть под этот ACL и http_access.

к примеру как то так:

Код: Выделить всё

acl localfileusers (что то) "/path/localsquidusers"

где localsquidusers вида:
DOMAIN\user1
DOMAIN\user2

http_access allow proxyauth localfileusers
где proxyauth доменные юзеры прошедшие авторизацию ntlm, basic
Что то не могу инфы найти по данному вопросу ...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

терминус_
проходил мимо

Re: Squid хитрый ACL

Непрочитанное сообщение терминус_ » 2011-04-13 13:03:03

Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-13 13:19:14

терминус_ писал(а):Не пишите во FreeBSD вопросы про Софт - для софтра есть спец раздел.
Счас придет f_andrei и двинет вашу тему в трэш для новичков где ее никто не найдет... И правильно сделает, да.
Исправлюсь ...

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: Squid хитрый ACL

Непрочитанное сообщение suspender » 2011-04-13 18:36:25

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-14 9:44:44

suspender писал(а):

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
Спасибо большое.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-14 13:34:36

Подскажите пожалуйста еще.

Через данный прокси отлично бегает ftp трафик.

Полностью зарезать ftp, для групп, у меня получилось.
Хочется разрешить только скачивать по ftp и зарезать возможность пользователю выложить файл по ftp через squid.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-22 13:33:32

suspender писал(а):

Код: Выделить всё

...
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth  --helper-protocol=squid-2.5-basic
auth_param basic children 4
...
acl localfileusers proxyauth "/path/localsquidusers"
http_access allow localfileusers
В продолжение ...
Пытаюсь прикрутить delay pool ...

Если пользователь описан только в группах AD мои настройки ограничения скорости прекрасно работают.
Если пользователь прописан еще и тут "acl localfileusers proxyauth "/path/localsquidusers"" - то данный юзер либо не попадает ни в одно правило delay pool и идет с максимальной скоростью, либо если последнее правило allow all попадает под него ...
Скоростью нужно рулить через AD ...

Как правильно составить такую конструкцию ограничений в SQUID ?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid хитрый ACL

Непрочитанное сообщение kharkov_max » 2011-04-22 14:38:15

Распишу примером а то на словах наверняка не ясно что я хочу в итоге получить:

Код: Выделить всё

.....
acl exe_files  url_regex  -i  "/usr/local/etc/squid/lan_conf/exe_files"

acl squidusers  proxy_auth  REQUIRED
acl proxy_admin_access  proxy_auth_regex  -i   "/usr/local/etc/squid/lan_conf/admin_user"
.....
.....
http_access allow   squidusers      inet_access     localnet        proxy_admin_access        exe_files
http_access deny    exe_files
.....
.....
delay_pool_uses_indirect_client On
delay_pools N1
.....
delay_class     N       4
delay_access    N       allow   inet_speed_fast
delay_access    N       deny    all
.....
# Как заглушка для всех кто не попал в правила ограничения скорости
delay_class     N1       1
delay_access    N1      allow   all

delay_parameters N -1/-1 -1/-1 -1/-1 92000/800000
delay_parameters N1 32/32

delay_initial_bucket_level 50
exe_files

Код: Выделить всё

\.exe$|\.com$| и т.д
admin_user

Код: Выделить всё

^DOMAIN\\nameuser$
.......
и т.д
Пользователь nameuser прописанный в файле admin_user входит в группу AD inet_speed_fast и по правилам фильтрации может качать .exe файл
Но по правилам delay pool попадает в класс N1 а по всей логике должен в класс N.

Не могу раскурить эту ситуацию ... помогите ...