Ответы пользователя по тегу Squid
  • Какой тип прокси нужен?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Обычный кэширующий с бампингом.
    Есть хорошая статья про настройку squid с бампингом в журнале "Системный администратор" за июлеавгустовский номер этого года, а в сентябрьском ожидается статья про настройки управления группами доступа через AD.

    Но - настройками скажем FF все равно придется управлять вручную. (Хром, Я.браузер, Епера, Ишак - они все берут настройки из системы, куда их запросто впиндюрить политиками)
    Ответ написан
  • Как изменить баннер squid3?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Исправить файл /usr/share/squid/errors/en/SQUID_ACCESS_DENIED
    Ответ написан
  • Простейшая конфигурация Squid для "сброса" авторизации?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Требует авторизацию с логином и паролем?
    Ответ написан
    Комментировать
  • Как в SQUID посмотреть кто грузит сервер и канал?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Разбирать сквидовые логи. SARG, SAMS и прочие логанализаторы. Говорят, ELK можно настропалить лог сквида разбирать.
    Ответ написан
  • Как организовать proxy-сервер для журнала посещений?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Подскажите - может есть что-то еще ?

    Мне не известны. Возможно и есть, но решение AD + squid - оно уже настолько разобрано по полочкам, как его настроить во всех мыслимых и немыслимых комбинациях.
    Но сразу:
    Сейчас большинство трафика https, поэтому сразу понадобится бампинг, что автоматом тащит за собой свой CA и распихивание ключа этого CA по всем рабочим станциям политикой домена.
    Есть ли какие то рекомендуемый на 2019 год анализаторы логов, веб панели ?

    Вот как ни странно, никто не озабоитлся написать более-менее стоящий, более-менее красивый и более-менее удобный анализатор логов для squid. Поэтому тут каждый извращается настолько, насколько подскажет его фантазия и некромансерские умения :) - потому что запускать sarg, sams и прочее образца года лохматого - это нужно быть прокачанным некромантом :D А другого просто нет.
    либо брать NetFlow.

    netflow дает только статистику о соединениях - кто куда ходил. В качестве дополнительной аналитики можно, но не основной. Под что годится? Ну, например, выловить тех, кто всевозможные лайфхаки использует для обхода ограничений корпоративного прокси :)
    или он может стоять как контроллер домена, воткнутый одним портом в коммутатор

    Может. И обычно он так и стоит. Потому что обычно на этой же тачке крутится сервис анализа логов и веб-сервер для внутренней статистики...
    Ответ написан
    2 комментария
  • Как в squid сделать белый список с блокировкой доменов третьего уровня?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Блокировать субдомены по явным именам до того, как проверяется основной домен.
    Ответ написан
    Комментировать
  • Почему возникают такие ошибки в Squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    2018/10/18 14:49:30 kid1| helperOpenServers: Starting 1/600 'negotiate_kerberos_auth' processes

    Запущен один из 600 разрешенных хелперов negotiate_kerberos_auth

    Непонятно, почему squid упорно хочет забиндиться на IPv6 аналог 127.0.0.1 :) Но что-то ему мешает - то ли в системе уже заняты порты, то ли еще что - и хелпер не стартует
    Ответ написан
    1 комментарий
  • Как изменить место записи squid "access.log"?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    logformat squid      %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt
    access_log daemon:/var/log/squid/access.log squid
    Ответ написан
    Комментировать
  • Как в Squid запретить доступ некоторым пользователям?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ну, например как у нас сделан доступ некоторым людям только на конторские сайты:
    Файл /etc/squid/policy/minimum.acl:
    user1@DOMAIN.TLD
    user2@DOMAIN.TLD

    Здесь user1 - логин юзера в винде, DOMAIN.TLD - "длинное" имя домена винды в верхнем! регистре. В файле oursites.url перечислены конторские сайты.

    Файл /etc/squid/squid.conf
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD
    auth_param negotiate children 30 startup=0 idle=1
    auth_param negotiate keep_alive on
    acl minimum_acl proxy_auth -i "/etc/squid/policy/minimum.acl"
    acl all_dst dst all
    acl oursites url_regex -i "/etc/squid/policy/oursites.url"
    http_access allow oursites
    http_access deny minimum_acl all_dst
    http_access allow minimum_acl
    http_access deny all_acl

    Немного пояснений.
    Первый http_access разрешает всем кому угодно доступ к корпоративным сайтам.
    Второй - блокирует доступ для тех, кто в списке minimum.acl ко всему остальному.
    Третий - разрешает им вообще подключаться к прокси (иначе начинается нытье со стороны outlook etc.)
    Четвертый - страховочный, он запрещает доступ к прокси тем, кто в списках (а их много и все разные) не упомянут.
    Ответ написан
    2 комментария
  • Почему Squid не аутентифицируется через Actice Directory?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    У меня EL6, доводить до EL7 придется Вам самим.
    - Как называется файл keytab? Если иначе чем krb5.keytab - его имя нужно передавать через окружение. Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:
    # Kerberos keytab file
    KRB5_KTNAME="/etc/proxy.keytab"
    export KRB5_KTNAME

    - Принципал записан правильно? Вот так у меня выглядит auth_param:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD

    Вот так выглядит external_acl, который отслеживает вхождение в группу:
    external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessFull -D DOMAIN.TLD

    (AccessFull - группа в AD)
    - что говорит подобная команда?
    kinit -k -t /etc/proxy.keytab HTTP/proxy.domain.tld

    (должна отработать без вопросов)
    Каким орбразом мапился принципал? Я для этого использовал команду виндовой консоли (делалось давно!):
    ktpass -princ HTTP/proxy.domain.tld@DOMAIN.TLD -mapuser proxy -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass 123456 -out c:\proxy.keytab

    (использовался доменный юзер proxy и его пароль)
    Ответ написан
  • Почему freebsd 11 не показывает версию SQUID? Какую версию squid лучше поставить?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Это не куча непонято чего, а параметры сборки. в squid может быть или не быть того или сего, поэтому параметры сборки - вещь достаточно важная. А верию он должен показать выше всего этого, например:
    Squid Cache: Version 3.5.27
    Service Name: squid
    
    This binary uses OpenSSL 1.0.1e-fips 11 Feb 2013. For legal restrictions on distribution see https://www.openssl.org/source/license.html
    
    configure options:  '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-l
    Ответ написан
    Комментировать
  • Может ли squid блокировать https сайты?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Блокирует ли squid 100% протокол https?

    Блокирует. Но при определенном наборе условий.

    - Можно заблокировать весь vk.com целиком, например, блокируя CONNECT к нему
    - Если хочется не только блокировать, но и знать, куда ходили - нужно настраивать бампинг, выпускать сертификаты. Это на самом деле не так уж и сложно, но головой поработать придется

    Доступ для разных групп пользователей - это вообще говоря отдельный и немаленький вопрос, с которым все справляются по-разному, в том числе и через группы в AD :)
    Ответ написан
  • Squid4+HTTPS — Как отключить сообщения предупреждений системы безопасности на клиентах?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Средствами squid такое не исключить, потому что здесь squid ни при чем. В сертификате отсутствует CDP, а в клиенте задана проверка списков отзыва. Соответственно ишак (а это предупреждает ишак) говорит, что "не шмогла".
    Если это сторонний сертификат - то лучше отключить проверку списков отзыва. Если это сертификат, который используется для бампинга ("поддержка https" - имелся в виду бампинг, позволяющий контролировать https-трафик?) - то нужно добавить в него CDP, пусть даже там будет лежать фиктивный пустой CRL.
    Ответ написан
    6 комментариев
  • Как устранить ошибку при сборке Squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Вообще, это ошибка в программе :) Где Вы его такой взяли?
    Ответ написан
  • Как получить куки squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Имеется в виду стартовый ключ шифрования сессии? Вот
    Ответ написан
    Комментировать
  • Как полностью сохранять адреса посещений в squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Если сертификаты не бампятся - то никак. И кроме того, на скрине sarg, а sarg - совсем не часть squid :)
    Ответ написан
    Комментировать
  • Мониторинг посещений сайтов сотрудниками офиса. SQUID или есть альтернативы?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Если я чешу в затылке - не беда!
    В организации все внедряется достаточно просто, если соблюдено первое и главное правило - Принцип Первого Руководителя

    Мониторинг посещаемости тырнета сотрудниками есть одно из основных мероприятий по контролю за (не)целевым расходованием рабочего времени. На самом деле делается все просто, как полено.

    1. Развертывается CA (совсем не обязательно на винде, лучше даже на линухе)
    2. СA выпускает сертфиикаты для прокси
    3. Сертификат CA ставится всем юзерам в доверенные с помощью GPO. Это ключевой момент.
    4. Настройки прокси прописываются всем через GPO
    5. Если нужны группы доступа (а они непременно будут нужны) - делаются группы, манов по этому делу много, кстати я вскоре собираюсь написать подробную статью про это.
    6. После того, как статистика пошла, ее нужно чем-то обрабатывать - squid выдает только сырой лог. Я использую некий велосипед, запиленный давно-давно из форка sarg.

    Причем тут Принцип Первого Руководителя? Придется вносить изменения в настройки юзерских компов и не всех обрадует, что пропал вконтактик :)
    Ответ написан
    Комментировать
  • Почему не запускается squid на FreeBSD 11?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Видимо не Вы его ставили...

    Английским по белому написано, что squid не может открыть порт, прописанный в конфиге. Почему - а фиг его знает. Например, при конвертации машины в новой конфигурации отсутствует сетевуха :)
    Ответ написан
    6 комментариев
  • Как настроить в squid чтобы работал переход на сайт с нестандартным портом?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В конфиге squid.conf. Там есть масса примеров - собственно весь конфиг - это один гигантский пример. Есть также сайт сквида, где каждая директива рассматривается с тошнотворной подробностью и вики, где примеров стопицот.
    Ответ написан
  • Возможно ли в сквиде сделать список исключений?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Исключений из чего? Чтобы не проксировалось? Можно. Конкретный параметр не помню, в squid.conf обычно все параметры до маразма расписаны.
    Ответ написан
    Комментировать