CityCat4

Когда решался вопрос с новым прокси с бампингом, статистикой, (блэкджеком и девочками с выдающимися ... достоинствами), то я решил не терминировать соединение на шаге бампа, а выдать старый знакомый access denied, благо пользователи приучены распознавать именно эту фразу :D

Поэтому рулите доступом, как обычно, в правилах бампинга пропишите только исключения для банков

Большую часть конфига с описанием групп доступа я опущу - они однотипные

acl full_acl    proxy_auth -i "/etc/squid/policy/full.acl"
acl noporno_acl proxy_auth -i "/etc/squid/policy/noporno.acl"
acl porno url_regex -i "/etc/squid/policy/porno.url"
http_access allow full_acl
http_access deny noporno_acl porno
http_access allow noporno_acl
http_port 10.1.1.1:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki
/tls/certs/logsrv_subca-sha256.crt key=/etc/pki/tls/private/logsrv_subca-sha256.key cafile=/etc/
pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 op
tions=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client-sha256.crt
sslproxy_client_key /etc/pki/tls/private/logsrv_client-sha256.key
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
sslproxy_cafile /etc/pki/tls/certs/squid-cafile.pem
sslproxy_capath /etc/ssl/certs
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
acl nobumpSites ssl::server_name "/etc/squid/policy/ssl_nobump.url"
ssl_bump peek step1 all
ssl_bump peek step2 nobumpSites
ssl_bump splice step3 nobumpSites
ssl_bump bump all
acl domainMismatchList dstdom_regex -i "/etc/squid/policy/domain_mismatch.url"
acl certMismatch all-of domainMismatchList ssl::certDomainMismatch
sslproxy_cert_error allow certMismatch
sslproxy_cert_error deny all
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
sslcrtd_children 32 startup=5 idle=1

Запрещенные домены, в данном случае порносайты, заносятся в файл porno.url. в файле noporno.acl - логины в формате login@WINDOWS.DOMAIN. Сайты, которые не надо бампить - в файле ssl_nobump.url. Сайты, у которых ошибка сертификата, связанная с ленью админа и тем, что сертификат выдан на другое имя - в файле domain_mismatch.url
JFYI: Не стоит отключать обработку ошибок сертификата. Если словите настоящий MitM - то вас с отключенной обработкой уже ничего не спасет.

Памяти маловато. А вообще идея реализуется следующим образом.

- Линух (дистриб по вкусу)
- ОТДЕЛЬНАЯ ВИДЕОКАРТА (отдельная от той, на которой работает линух, вторая)
- KVM, qemu, libvirt, виртуалка
- вторая видеокарта пробрасывается в винду.
- PROFIT!

Если второй видюхи нет, то графики не будет, потому что тогда будет работать виртуальная видюха, которая нифига не поддерживает. Для работы этого вполне хватает - у меня сейчас так и работает - но играть, смотреть видео etc. - практически невозможно.

Отключить preview. Выстраивать значки по сетке.

А вообще я согласен с SyavaSyava - все, что относится к рабочему столу в UNIX (вообще, например во FreeBSD) имеет качество от "средней паршивости" до полного barf. Я для себя навсегда определил в качестве WM - TDE. Да, он не прямее других, но привычка уже...

1. http
2. Потому что passwd - такая команда для управления паролями.

ЗЫ: А еще есть такая функция creat(). Не create(), а именно creat() :)

nomodeset в параметра загрузки ядра. Это похоже оно. У меня такое постоянно возникало при установке Calculate где-то год назад. Там наверняка grub. Вместо Enter нажать 'e' и в конце строки параметров ядра (она обычно самая длинная) через пробел дописать nomodeset. Потом нажать F10.

У grub множество подсказок, их стоит читать, я-то по памяти пишу...