Страница 1 из 1

SQUID + ICQ

Добавлено: 2008-10-02 4:34:55
zorrok
squid-2.7
cat squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 
acl SSL_ports port 443 563 
acl ICQ_ports  port 5190 443    # ICQ
acl CONNECT method CONNECT
http_access deny !SSL_ports
http_access allow ICQ_ports
http_access deny all
авторизация ntlm используется для Sams, все работает на ура, не пропускает на ICQ.
в accesss.log

Код: Выделить всё

1222907541.618      0 172.28.113.60 TCP_DENIED/407 1929 CONNECT login.icq.com:443 - NONE/- text/html
1222907541.625      6 172.28.113.60 TCP_MISS/000 0 CONNECT login.icq.com:443 DOMAIN+USER NONE/- -
Перечитал кучу статей не пропускает, помогите кто сталкивался

Re: SQUID + ICQ

Добавлено: 2008-10-02 5:09:23
wnd
а чего ICQ по 443 порту лезет? может попробовать выключить secure login или что-то в этом роде?

Re: SQUID + ICQ

Добавлено: 2008-10-02 5:24:04
zorrok
443 автоматом ставится на клиенте
без разницы можно поставить 5190 все равно не подключается

Re: SQUID + ICQ

Добавлено: 2008-10-02 6:25:46
HRonik
zorrok писал(а):squid-2.7
cat squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 
acl SSL_ports port 443 563 
acl ICQ_ports  port 5190 443    # ICQ
acl CONNECT method CONNECT
http_access deny !SSL_ports
http_access allow ICQ_ports
http_access deny all
авторизация ntlm используется для Sams, все работает на ура, не пропускает на ICQ.
в accesss.log

Код: Выделить всё

1222907541.618      0 172.28.113.60 TCP_DENIED/407 1929 CONNECT login.icq.com:443 - NONE/- text/html
1222907541.625      6 172.28.113.60 TCP_MISS/000 0 CONNECT login.icq.com:443 DOMAIN+USER NONE/- -
Перечитал кучу статей не пропускает, помогите кто сталкивался
Во первых ,на счет 5190, вы сначало правилом

Код: Выделить всё

http_access deny !SSL_ports
запрещаете все кроме SSL_ports, дальше чтото разрешать бесполезно....
Поменяйтк строчки местами и попробуйте порт 5190, результат в виде логов.

Re: SQUID + ICQ

Добавлено: 2008-10-02 6:36:59
wnd
zorrok писал(а):443 автоматом ставится на клиенте
без разницы можно поставить 5190 все равно не подключается
Клиент qip? может вот это поможет?

Код: Выделить всё

http://forum.qip.ru/showthread.php?t=10898

Re: SQUID + ICQ

Добавлено: 2008-10-02 6:38:26
wnd
HRonik писал(а):Во первых ,на счет 5190, вы сначало правилом

Код: Выделить всё

http_access deny !SSL_ports
запрещаете все кроме SSL_ports, дальше чтото разрешать бесполезно....
Поменяйтк строчки местами и попробуйте порт 5190, результат в виде логов.
да, но по идее он по умолчанию лезет на SSL порт который разрешен

Re: SQUID + ICQ

Добавлено: 2008-10-02 7:03:15
HRonik
Все фигня :)
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820

Re: SQUID + ICQ

Добавлено: 2008-10-03 5:16:31
zorrok
HRonik писал(а):Все фигня :)
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820
фаервола не было вообще. поставил, сейчас интересно с первого раза не подключается а после нескольких попыток все таки выходит в сеть.
клиент qip, icq не подключается совсем, есть идеи как победить сквид?

Re: SQUID + ICQ

Добавлено: 2008-10-03 6:19:12
alex3
ну если ася лезет на 443 порт, значит в ее настройках указан не http прокси, а https. я так думаю :"":

Re: SQUID + ICQ

Добавлено: 2008-10-03 6:27:22
Div
zorrok писал(а):
HRonik писал(а):Все фигня :)
Дело в TCP_MISS/000 !
в общем тут ,либо пакеты каким-нибудь маршрутизатором режутся (проверить iptables), либо погуглите на эту тему,
вот например такая же проблема http://www.bsdportal.ru/viewtopic.php?=&p=66820
фаервола не было вообще. поставил, сейчас интересно с первого раза не подключается а после нескольких попыток все таки выходит в сеть.
клиент qip, icq не подключается совсем, есть идеи как победить сквид?
есть...( уменя такое же все). Ставишь в конфе
acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
И все ОК...

Re: SQUID + ICQ

Добавлено: 2008-10-03 6:47:25
zorrok
acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
И все ОК...[/quote]
Сделал по написаному проблема осталась, чего го то не хватает для полного счастья :st:

Re: SQUID + ICQ

Добавлено: 2008-10-03 6:59:25
wnd
Div писал(а): есть...( уменя такое же все). Ставишь в конфе
acl SSL_ports port 443 5190
acl Safe_ports port 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
И все ОК...
Вы что конфиг с нуля пишете?
По умолчанию в конфиге есть

Код: Выделить всё

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

....

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

Re: SQUID + ICQ

Добавлено: 2008-10-03 7:17:26
zorrok
за основу взят стандартный

Код: Выделить всё

#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_48e1a80664c4c proxy_auth "/usr/local/etc/squid/48e1a80664c4c.sams"
acl _sams_48e31d1a10bd6 proxy_auth "/usr/local/etc/squid/48e31d1a10bd6.sams"
acl _sams_48e57414b746d proxy_auth "/usr/local/etc/squid/48e57414b746d.sams"
acl _sams_48e2b676e49d6 urlpath_regex -i "/usr/local/etc/squid/48e2b676e49d6.sams"
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
#
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
#acl Safe_ports port 80         # http
#acl Safe_ports port 21         # ftp
#acl Safe_ports port 443                # https
#acl Safe_ports port 70         # gopher
#acl Safe_ports port 210                # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280                # http-mgmt
#acl Safe_ports port 488                # gss-http
#acl Safe_ports port 591                # filemaker
#acl Safe_ports port 777                # multiling http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Re: SQUID + ICQ

Добавлено: 2008-10-03 7:27:17
Div
Аааа ну все ясно.. У вас САМС работает... так вот. Надо
http_access allow icq_addr
Поставить перед http_access allow САМСа...
И все будет ОК :)

Re: SQUID + ICQ

Добавлено: 2008-10-03 7:41:32
zorrok
сделал так

Код: Выделить всё

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow icq_addr
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6
не пашет :st:

Re: SQUID + ICQ

Добавлено: 2008-10-03 9:25:50
Div
zorrok писал(а):сделал так

Код: Выделить всё

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow icq_addr
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow _sams_default  !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6  !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d  !_sams_48e2b676e49d6
не пашет :st:
У тебя САМС ставит правила строго после названия тэга
# TAG: http_access
Посмотри внимательно... Мож где-то там еще закралось правило сгенереное САМСом... А лучше те правила которые не надо контролировать САМсом вынести выше названия тега... И правило
http_access allow icq_addr
все-таки поставь ниже проверки портов.... типа
acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT
#
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr

# TAG: http_access
http_access allow _sams_default !_sams_48e2b676e49d6
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6 !_sams_48e2b676e49d6
http_access allow _sams_48e57414b746d !_sams_48e2b676e49d6
Вот...

Re: SQUID + ICQ

Добавлено: 2008-10-06 1:50:28
zorrok
сделал по вашей рекомендации
# created by SAMS _sams_ 2008-10-6 9:41:39
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
# TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_48e1a80664c4c proxy_auth "/usr/local/etc/squid/48e1a80664c4c.sams"
acl _sams_48e31d1a10bd6 proxy_auth "/usr/local/etc/squid/48e31d1a10bd6.sams"
acl _sams_48e57414b746d proxy_auth "/usr/local/etc/squid/48e57414b746d.sams"
acl _sams_48e2b676e49d6 urlpath_regex -i "/usr/local/etc/squid/48e2b676e49d6.sams"
acl _sams_48e2b67fa2ad3 urlpath_regex -i "/usr/local/etc/squid/48e2b67fa2ad3.sams"
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

#acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 # https
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http

# TAG: http_access
http_access allow _sams_default !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6 !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e57414b746d !_sams_48e2b676e49d6
теперь при NTLM авторизации не передает в лог домен+логин
1223246833.321 2 172.28.113.60 TCP_MISS/404 0 CONNECT login.icq.com:443 - DIRECT/- -

Re: SQUID + ICQ

Добавлено: 2010-11-29 10:16:12
J.Korvin
Здравствуйте, подскажите в чем проблема настроил по статье http://www.lissyara.su/articles/freebsd ... ams+rejik/ только встроенный ре директор использую. Когда конфиг squid стандартный то все работает без авторизации нормально а когда настраиваю sams и выполню реконфигурацию то при входе на сайты (на все вот такая ошибка TCP_MISS/000). Firewall не включен DNS отвечает нормально сам сервер в нет ходит тоже нормально.

Код: Выделить всё

1291014227.757 5931 195.182.0.15 TCP_MISS/000 0 GET http://www.ru/ - DIRECT/194.87.0.50 -

Re: SQUID + ICQ

Добавлено: 2010-11-29 12:16:42
J.Korvin
J.Korvin писал(а):Здравствуйте, подскажите в чем проблема настроил по статье http://www.lissyara.su/articles/freebsd ... ams+rejik/ только встроенный ре директор использую. Когда конфиг squid стандартный то все работает без авторизации нормально а когда настраиваю sams и выполню реконфигурацию то при входе на сайты (на все вот такая ошибка TCP_MISS/000). Firewall не включен DNS отвечает нормально сам сервер в нет ходит тоже нормально.

Код: Выделить всё

1291014227.757 5931 195.182.0.15 TCP_MISS/000 0 GET http://www.ru/ - DIRECT/194.87.0.50 -
Все решил скорость пула не указал.