Ответы пользователя по тегу Squid
  • Не работает ssl bump в squid, что я делаю не так?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    выдает ошибку при запуске сквида.

    Где? Ошибка где? Портянку конфига можно было и не приводить, а вот ошибку - надо
    Ответ написан
  • Запрет ip/домену доступ до squid?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Без проблем:
    в /etc/squid/squid.conf
    acl testbox src 10.4.2.4
    (где 10.4.2.4 - IP машины, которую нужно забанить)
    http_access deny testbox
    Ответ написан
    Комментировать
  • Не могу настроить TLS шифрование на обратном прокси Squid. Что я делаю не так?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    У серверов общий корневой центр выдачи, но разные промежуточные центры выдачи сертификатов.

    Я бы начал с проверки валидности сертификатов в обеих системах - второго в первой, первого во второй. Это обычная ошибка при наличии двух выдающих субцентров - корневой в доверенных есть, а промежуточных - нет.
    Ответ написан
    Комментировать
  • Как сделать что бы squid грузил контент?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Что можно сделать?

    Можно конфиг показать. И вывод лога cache.log.
    Ответ написан
    Комментировать
  • Как настроить прозрачный прокси на Squid?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    без необходимости каких либо манипуляций с браузером у сотрудников

    нужно про кто куда заходит

    Данная задача не имеет решения.

    Чтобы раскрывать https-соединения, нужен bumping. Bumping не настроить без доверенного сертификата. Довернный сертификат нужно распространять по всем компьютерам. Первое условие - оно ведь на самом деле читается как "я не хочу заниматься инструктированием юзеров/я не умею настраивать глобальные политики/у меня нет авторитета и юзера меня шлют на ... юг", потому что какая бы ни была большая контора - все это делается достаточно быстро - если конечно на это есть распоряжение начальства, а не собственная хотелка.

    Технического решения нет, потому что задача не техническая, а административная.
    Ответ написан
    Комментировать
  • У меня взломали сервер?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Скорее всего логин и пароль стояли неправлиьно и их обошли. Насчет остальной информации - смотрите логи, а если паранойя - то проще будет все нужное в архив с паролем, чтобы враг не дроп и сервер переставить с нуля с полным форматированием диска.
    (Да, это нудно и сложно и поэтому стоит делать только если паранойя, а так - логи смотрите, нет ли чего подозрительного. Скорее всего нашли возможность зайти на squid без пароля и начали ддосить через Вас)
    Ответ написан
    Комментировать
  • Как можно скрыть IP адрес при выходе в интернет через Wireguard UBUNTU?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Завести еще один VPN, куда будет коннектиться первый VPN и через кого будет выходить трафик....

    Понять, что это все было бесполезно, когда придут и положат "на лице свое" :)
    (Впрочем, если в модели нарушителя нет государства - может и сработать)
    Ответ написан
    7 комментариев
  • Авторизация и переменные в sqid?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Зачем? (Ну в смысле - зачем каждому юзеру свой порт?)
    Есть предположение, что Вы решаете задачу неверно :)
    Ответ написан
    Комментировать
  • Как правильно настроить squid прокси на debian?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Зачем Вам прозрачный прокси? В обычном режиме обычные юзеры получают настройки прокси через GPO или руками админа и обычно работают.
    Ответ написан
    Комментировать
  • Почему не пишутся логи в squid?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    А что смущает? squid все правильно пишет - сейчас практически всюду, даже там где и не надо https, а в нем все запросы внутри туннеля.
    Чтобы видеть содержимое туннелей, squid должен работать с бампингом.
    Ответ написан
    Комментировать
  • VPS как прокси сервер?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Нет там ничего сложного.

    Кэш - в зависимости от потребностей - один юзер много ли сожрет?
    cache_dir diskd /var/spool/squid 5000 32 32
    5Gb мне по крайней мере хватает.

    Аутентификации никакой - нафиг она? Контроль доступа примитивный по IP:
    acl scat           src             10.1.1.1
    acl ltroll         src             10.1.1.2
    
    http_access allow scat
    http_access allow ltroll
    
    # And finally deny all other access to this proxy
    http_access deny all

    Из всех остальных параметров ну еще может пара меняется
    Ответ написан
    Комментировать
  • TCP DENIED 200 в squid?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Ищи статью из журнала "Системный администратор" #7-8 за 2019 год под названием "Особенности корпоравтиного применения squid контроль https-соединений"
    Ответ написан
    Комментировать
  • Как правильно настроить белые и черные списки, чтобы они пускали на разрешенные и блокировали запрещенные сайты?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Где-то в районе прошлой осени в "Системном администраторе" была статья на тему настроек squid и доступа по группам
    Ответ написан
  • Как сделать распределение пользователей AD на прокси-сервере freebsd по разным каналам в зависимости от группы?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    В конце 2019 года незадолго до того, как сдохнуть в "Системном администраторе" была пара статей по настройке squid по аутентиифкации через керберос и управлении группами через AD. Задача вполне решаема на одном прокси. Она решаема даже без управления группами, но там в статье еще про бампинг, без которого нынче весь контроль доступа сьеживается до контроля первичного захода и то при условии, что DoH не задействован или сервера DoH заблокированы.
    Ответ написан
    Комментировать
  • Squid+Mikrotik как правильно настроить?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Для обычного сквида достаточно блокировки выхода в обход прокси.
    Сквид без бампинга сейчас практически бесполезен - все на https. Без бампинга захватывается сайт из CONNECT, что может быть совсем не то, куда пошел юзер.
    Я приводил уже пример:
    юзер создает сайт с унылым производственным именем metricheskiy-krepeg.ru (или еще каким, но таким, чтобы соответствовал тематике производства и вызывал у админов чувство уныния :) ). А внтури делает страничку с переходами на ВКонтактик, love.mail.ru и tightwetholes.com :)
    Вопрос: что увидит админ в логе прокси
    Спойлер
    Обращение к сайту metricheskiy-krepeg.ru и них.. больше :)
    Ответ написан
    Комментировать
  • Как настроить squid чтобы он не запрещал выходить в интернет внесенным в конфиг AD группам?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Пардон, вот это классический пример того, что бывает, когда вместо вникания в суть - ограничиваемся копипастом :)

    Авторизация в сквиде - это отдельная тема десятка статей :) Она делается не менее чем тремя способами, но актуален в настоящее время только один - через negotiate_kerberos_auth. Там довольно длинная процедура, я ее уже плохо помню, была статья в "Системном администраторе", давненько правда, еще в 2012 году. Статья называлась "Squid + AD - samba"
    Создается учетка в AD
    К ней вяжется принципал через ktpass (это виндовая команда)
    Этот принципал указывается в конфиге сквида и получается что-то типа:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/fat.zhopa.ruchka@ZHOPA.RUCHKA
    auth_param negotiate children 30 startup=0 idle=1
    auth_param negotiate keep_alive on

    Если нужно рулить еще и группами (а иначе зачем wbinfo_group.pl?) - то в том же Системном администраторе в прошлом году незадолго до того, как ему сдохнуть - была статья про управление группами
    Ответ написан
    Комментировать
  • Как настроить работу Telegram через Squid HTTPS Proxy ???

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Не вижу применения ACL NoSSLIntercept.
    Возможно, там принципиально нестандартный протокол, тика как в QUIK (который на любую попытку бампинга просто дропает соединение и все)
    Ответ написан
    Комментировать
  • SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

    В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD
    Ответ написан
  • Не работает squid на 2 домена?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL

    Вот тут у меня стоит еще -D DOMEN.LOCAL и -a (принимать все сертификаты без проверки на валидность)
    Ответ написан
    3 комментария
  • Squid на два домена?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Настроен squid с интеграцией через керберос с AD

    В случае отключения основного DC1, squid при запуске браузера начинает запрашивать логин пароль

    Ну значит либо такая интеграция, либо такая AD. Потому что в нормальной AD MS где-то там внутри себя обеспечивает переключение между DC.

    Строку auth_param, которая настраивает интеграцию с AD покажите
    Ответ написан
    3 комментария