Ответы пользователя по тегу Squid
  • Авторизация и переменные в sqid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Зачем? (Ну в смысле - зачем каждому юзеру свой порт?)
    Есть предположение, что Вы решаете задачу неверно :)
    Ответ написан
    Комментировать
  • Как правильно настроить squid прокси на debian?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Зачем Вам прозрачный прокси? В обычном режиме обычные юзеры получают настройки прокси через GPO или руками админа и обычно работают.
    Ответ написан
    Комментировать
  • Почему не пишутся логи в squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А что смущает? squid все правильно пишет - сейчас практически всюду, даже там где и не надо https, а в нем все запросы внутри туннеля.
    Чтобы видеть содержимое туннелей, squid должен работать с бампингом.
    Ответ написан
    Комментировать
  • VPS как прокси сервер?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Нет там ничего сложного.

    Кэш - в зависимости от потребностей - один юзер много ли сожрет?
    cache_dir diskd /var/spool/squid 5000 32 32
    5Gb мне по крайней мере хватает.

    Аутентификации никакой - нафиг она? Контроль доступа примитивный по IP:
    acl scat           src             10.1.1.1
    acl ltroll         src             10.1.1.2
    
    http_access allow scat
    http_access allow ltroll
    
    # And finally deny all other access to this proxy
    http_access deny all

    Из всех остальных параметров ну еще может пара меняется
    Ответ написан
    Комментировать
  • TCP DENIED 200 в squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ищи статью из журнала "Системный администратор" #7-8 за 2019 год под названием "Особенности корпоравтиного применения squid контроль https-соединений"
    Ответ написан
    Комментировать
  • Как правильно настроить белые и черные списки, чтобы они пускали на разрешенные и блокировали запрещенные сайты?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Где-то в районе прошлой осени в "Системном администраторе" была статья на тему настроек squid и доступа по группам
    Ответ написан
  • Как сделать распределение пользователей AD на прокси-сервере freebsd по разным каналам в зависимости от группы?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В конце 2019 года незадолго до того, как сдохнуть в "Системном администраторе" была пара статей по настройке squid по аутентиифкации через керберос и управлении группами через AD. Задача вполне решаема на одном прокси. Она решаема даже без управления группами, но там в статье еще про бампинг, без которого нынче весь контроль доступа сьеживается до контроля первичного захода и то при условии, что DoH не задействован или сервера DoH заблокированы.
    Ответ написан
    Комментировать
  • Squid+Mikrotik как правильно настроить?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Для обычного сквида достаточно блокировки выхода в обход прокси.
    Сквид без бампинга сейчас практически бесполезен - все на https. Без бампинга захватывается сайт из CONNECT, что может быть совсем не то, куда пошел юзер.
    Я приводил уже пример:
    юзер создает сайт с унылым производственным именем metricheskiy-krepeg.ru (или еще каким, но таким, чтобы соответствовал тематике производства и вызывал у админов чувство уныния :) ). А внтури делает страничку с переходами на ВКонтактик, love.mail.ru и tightwetholes.com :)
    Вопрос: что увидит админ в логе прокси
    Спойлер
    Обращение к сайту metricheskiy-krepeg.ru и них.. больше :)
    Ответ написан
    Комментировать
  • Как настроить squid чтобы он не запрещал выходить в интернет внесенным в конфиг AD группам?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Пардон, вот это классический пример того, что бывает, когда вместо вникания в суть - ограничиваемся копипастом :)

    Авторизация в сквиде - это отдельная тема десятка статей :) Она делается не менее чем тремя способами, но актуален в настоящее время только один - через negotiate_kerberos_auth. Там довольно длинная процедура, я ее уже плохо помню, была статья в "Системном администраторе", давненько правда, еще в 2012 году. Статья называлась "Squid + AD - samba"
    Создается учетка в AD
    К ней вяжется принципал через ktpass (это виндовая команда)
    Этот принципал указывается в конфиге сквида и получается что-то типа:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/fat.zhopa.ruchka@ZHOPA.RUCHKA
    auth_param negotiate children 30 startup=0 idle=1
    auth_param negotiate keep_alive on

    Если нужно рулить еще и группами (а иначе зачем wbinfo_group.pl?) - то в том же Системном администраторе в прошлом году незадолго до того, как ему сдохнуть - была статья про управление группами
    Ответ написан
    Комментировать
  • Как настроить работу Telegram через Squid HTTPS Proxy ???

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Не вижу применения ACL NoSSLIntercept.
    Возможно, там принципиально нестандартный протокол, тика как в QUIK (который на любую попытку бампинга просто дропает соединение и все)
    Ответ написан
    Комментировать
  • SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

    В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD
    Ответ написан
  • Искать историю по ip?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    grep -e "1.2.3.4" access.log
    Ответ написан
    Комментировать
  • Не работает squid на 2 домена?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL

    Вот тут у меня стоит еще -D DOMEN.LOCAL и -a (принимать все сертификаты без проверки на валидность)
    Ответ написан
    3 комментария
  • Squid на два домена?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Настроен squid с интеграцией через керберос с AD

    В случае отключения основного DC1, squid при запуске браузера начинает запрашивать логин пароль

    Ну значит либо такая интеграция, либо такая AD. Потому что в нормальной AD MS где-то там внутри себя обеспечивает переключение между DC.

    Строку auth_param, которая настраивает интеграцию с AD покажите
    Ответ написан
    3 комментария
  • Возможна ли полная анонимность при использовании прокси?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Любая задача начинается с определения категории нарушителя. От кого Вы собираетесь защищаться? Жена, друг, сосед, админ, провайдер, государство? Возможности у всех разные и соответственно ответ на вопрос будет разным.
    Полная анонимность невозможна в принципе - ну если только комп от сети отрубить и сунуть его в наглухо запаянную и заземленнную железную коробку :)
    если кто-то залезет на машину

    Что значит "залезет на машину"? Заберется на капот и попрыгает? Если скажем "люди в сером" уже пришли к Вам - Вас не спасет никакая анонимность - паяльник в #опе - пренеприятнейшая штука...
    Ответ написан
    Комментировать
  • SQUID номер месяца в имени файла лога, как?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Сам squid по-моему это не умеет, обычно делают через logrotate или велосипедят, вот как я например :)
    Ответ написан
  • Можно ли настроить Squid на работу с динамическим белым списком?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Есть внешние аутентификаторы, которые отвечают на запрос - разрешить ли данному юзеру запрошенный урл. Я полагаю, Вам придется его написать самому, ну или может быть, уже есть готовый.
    Ответ написан
  • Подмена блоков рекламы для пользователей провайдера?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Провайдер даже за просто прогон трафика через прокси, хоть прозрачный, хоть какой - уже будет репутацию терять (и соответственно клиентов). А проксирование https - оно вообще бесполезно, если это не контора, где можно свой корневой сертификат подсунуть. Бампинг для провайдера невозможен - потому что невозможно поставить корневой сертификат - а без бампинга проксить смысла нет, потому что https непрозрачен. Зашел чувак на blablabla.ru, перешел внутри сайта на openhotwetholes.com - и сидит, кайфует.
    Ответ написан
  • Как редачить страницу запрета в Squid'е?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В пути, который я давал - лежат все сообщения об ошибках, просто находишь нужную.
    Ответ написан
  • Замена блоков рекламы через squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Напишите внешний обработчик - и будет Вам замена. А аутентификация будет, как настроите - настроите, чтобы была - и будет :)
    Ответ написан