Ответы пользователя по тегу Squid
  • Squid3 привязка пользователя AD к ip при анализе access.log?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Наверное надо начать с того, какой анализатор логов использовать, потому что squid сам логи не обсчитывает.

    ЗЫ: Толку в таком подсчете будет ровно нуль. Без бампинга будет виден некий "внешний" адрес, на который будет считаться весь трафик, что на самом деле конечно же не так. То есть - вот иду я на mail.ru. Сформировалась https-сессия, я с главной mail.ru перехожу на "Знакомства" и там спокойненько себе девочек кадрю в рабочее время. Анализатор логов без бампинга увидит во всех случаях mail.ru. Анализатор логов с бампингом увидит все внутренние перемещения.
    Ответ написан
    Комментировать
  • Как настроить Squid для авторизации паролем только с определённых ip?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    ACL написать соответствующие. Например:

    acl goodip 192.168.1.0/24
    acl badip 10.1.1.0/24
    acl noaccess 10.1.2.0/24

    acl all_acl proxy_auth REQUIRED

    http_access allow goodip
    http_access allow all_acl
    http_access deny all
    Ответ написан
    Комментировать
  • SQUID в pfsense, как настроить списки доступа и полосу пропускания для групп?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А до конфига сквида там не добраться? Настройка доступа по группам сильно нетривиальная вещь, делают ее все по-разному, видимо не смогли в веб-морду вынести.
    Ответ написан
  • Где скачать ext_kerberos_ldap_group_acl для ubuntu-17.04-server-amd64?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В CentOS он входит в пакет squid-helpers
    Ответ написан
    Комментировать
  • Как все таки блокировать google, youtube etc?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Когда решался вопрос с новым прокси с бампингом, статистикой, (блэкджеком и девочками с выдающимися ... достоинствами), то я решил не терминировать соединение на шаге бампа, а выдать старый знакомый access denied, благо пользователи приучены распознавать именно эту фразу :D

    Поэтому рулите доступом, как обычно, в правилах бампинга пропишите только исключения для банков

    Большую часть конфига с описанием групп доступа я опущу - они однотипные
    acl full_acl    proxy_auth -i "/etc/squid/policy/full.acl"
    acl noporno_acl proxy_auth -i "/etc/squid/policy/noporno.acl"
    acl porno url_regex -i "/etc/squid/policy/porno.url"
    http_access allow full_acl
    http_access deny noporno_acl porno
    http_access allow noporno_acl
    http_port 10.1.1.1:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki
    /tls/certs/logsrv_subca-sha256.crt key=/etc/pki/tls/private/logsrv_subca-sha256.key cafile=/etc/
    pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 op
    tions=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
    sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client-sha256.crt
    sslproxy_client_key /etc/pki/tls/private/logsrv_client-sha256.key
    sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
    sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    sslproxy_cafile /etc/pki/tls/certs/squid-cafile.pem
    sslproxy_capath /etc/ssl/certs
    acl step1 at_step SslBump1
    acl step2 at_step SslBump2
    acl step3 at_step SslBump3
    acl nobumpSites ssl::server_name "/etc/squid/policy/ssl_nobump.url"
    ssl_bump peek step1 all
    ssl_bump peek step2 nobumpSites
    ssl_bump splice step3 nobumpSites
    ssl_bump bump all
    acl domainMismatchList dstdom_regex -i "/etc/squid/policy/domain_mismatch.url"
    acl certMismatch all-of domainMismatchList ssl::certDomainMismatch
    sslproxy_cert_error allow certMismatch
    sslproxy_cert_error deny all
    sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
    sslcrtd_children 32 startup=5 idle=1

    Запрещенные домены, в данном случае порносайты, заносятся в файл porno.url. в файле noporno.acl - логины в формате login@WINDOWS.DOMAIN. Сайты, которые не надо бампить - в файле ssl_nobump.url. Сайты, у которых ошибка сертификата, связанная с ленью админа и тем, что сертификат выдан на другое имя - в файле domain_mismatch.url
    JFYI: Не стоит отключать обработку ошибок сертификата. Если словите настоящий MitM - то вас с отключенной обработкой уже ничего не спасет.
    Ответ написан
  • Squid https перенаправление на локальный сайт?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Перенаправление на сайт-заглушку делается не сквидом. Обычно оно делается DNS-ом. Нужно иметь список заблокированных ресурсов и уметь потрошить DNS-запросы. Разумеется, все должны ходить только через конторский DNS без шифрования. Увидев запрос к заблокированному ресурсу, нужно подменять IP в ответе на 127.0.0.1 (ну или там где лежит заглушка).

    Так делают провайдеры.
    Ответ написан
  • Как увидеть полный URL при HTTPS через ssl_bump?

    CityCat4
    @CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
    Если я чешу в затылке - не беда!
    Ну, в общем, как обычно отвечаю сам себе :)

    1. ssl_bump позволяет видеть URL так, как это было бы по HTTP - так что биться за что есть.
    2. Почему не работал вариант выше - я так и не понял, но вот рабочий конфиг
    http_port 10.87.1.39:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/tls/certs/logsrv_subca.crt key=/etc/pki/tls/private/logsrv_subca.key cafile=/etc/pki/tls/rootca/dc3-CA.crt cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem
    sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client.crt
    sslproxy_client_key /etc/pki/tls/private/logsrv_client.key
    sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
    sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    sslproxy_cafile /etc/pki/tls/rootca/dc3-CA.crt
    acl step1 at_step SslBump1
    ssl_bump peek step1
    ssl_bump bump all
    sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
    sslcrtd_children 32 startup=5 idle=1


    Сертификат logsrv_subca.crt - это на самом деле subCA, то есть
    X509v3 Basic Constraints: critical
                    CA:TRUE
                X509v3 Key Usage: critical
                    Digital Signature, Certificate Sign, CRL Sign


    Сертификат dc3-CA.crt - сертификат корневого СA, в котором выпущен logsrv_subca.crt. Его нужно добавить в доверенные корневые сертификаты - и предупреждений о несоответствии сертификатов не будет. Ну, по крайней мере в FF уже проверено (54.0.1).
    Еще одно очень важно замечание - параметры в строке http_port предназначены для стороны, работающей в сторону клиента. Параметры sslproxy_* - для стороны, работающей в сторону сервера
    Ответ написан
    3 комментария
  • Как сделать квоты на доступ в сеть интернет, для рабочих станций локальной сети?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!

    Настроить прозрачный прокси + веб интерфейс для мониторинга кто куда ходил


    Squid. Только учтите, что веб-морды у сквида нет, не было и скорее всего и не будет. Sams, Sarg - что-то из этого возможно еще живое. Или велосипед.


    Квотирование трафика для рабочих станций + веб интерфейс для мониторинга и статистики + настройки квот под каждый компьютер.

    Готового софта я не знаю, возможно поможет какой-нибудь opensource billing - в принципе задача схожая.


    Определять компьютер по netbios имени, либо по маку, но в интерфейсе (веб морде) должен отображаться по netbios имени.

    Ээээ, годите, а Вы что квотить будете по IP??? Защиту от смены IP сотрудниками (или кто у вас там будет) - уже продумали?
    Ответ написан
  • Как можно организовать фильтрация трафика на squid для детей?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Задача сразу же распадается как минимум на три.

    - Как "идентифицировать" детей - ведь в сети есть не только дети, но и взрослые?
    - Как сделать так, чтобы "дети" не обходили ограничения?
    - Как собственно реализовать ограничения?

    Только squid понятно, эти вопросы не решает. Это типовые задачи корпоративного админа :)

    Вопрос первый решается либо доменом, либо локальными учетками на прокси. Либо привязкой по макам к определенным IP - здесь уже вопрос, как у Вас IP раздаются.
    Вопрос второй решается блокировкой на прокси анонимайзеров, а также блокировкой выхода в Сеть без прокси. Разумеется, на компах "детей" не должно быть тора, friGate, оперы и других "относительно легальных" средств обхода блокировки
    Вопрос третий решается списком сайтов и соответствующей настройкой squid. Списком порносайтов могу поделиться :)

    Еще есть squidguard, не знаю насколько жив проект, но списки там есть.
    Ответ написан
    4 комментария
  • Какие оптимальные настройки памяти и кэша для Squid, при условии что используется мощный компьютер?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А почему оно должно быть? Скорость загрузки того или иного сайта зависит от тыщи причин кроме скорости работы прокси. А уж линейной зависимости не добиться никогда.

    Можно попробовать покрутить что-нибудь - например я использую diskd вместо aufs и глубину каталогов мне кажется незачем такую делать - путем экспериментов я подобрал для себя глубину 64 64.

    Алгоритм очистки памяти я обычно ставлю LFUDA - тем более что памяти много :)
    Ответ написан
    Комментировать
  • Какой веб-интерфейс выбрать для squid?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А задача какова? Конфиги? Статистика? Если первое, то никакая вебморда не сможет править конфиг именно так как Вам надо - потому что работает она только в пределах той логики, что заложили в нее создатели. Если второе, то можно и sams и sarg. Ну да, не поддерживаются. Но считать-то от этого они не перестанут.

    Для статистики я использую велосипед на основе старой-престарой версии sarg, обвязанной поверх скриптами. Кривенько, но работает...
    Ответ написан
    4 комментария
  • Как исправить ошибку при перезапуске squid3 (v.3.1.6)?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Он похоже конфиг как конфиг не воспринимает. Нужно скачать готовый пакет или самому собрать и подсунуть конфиг от старого сервера или даже вручную откорректировать. Это не так сложно как кажется - главное секции аутентификаторов и ACL.
    Ответ написан
    5 комментариев
  • Может ли squid/3.4.4 блокировать Tor браузер?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Сквид может блокировать сайт torproject.org.
    Выход в сеть в обход прокси может блокироваться файрволлом - это стандартная практика.
    Ответ написан
    Комментировать
  • Установка Squid3, отчеты qui или консоль?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    1. Нет. Squid - это прокси-сервер, апач к нему никакого отношения не имеет
    2. Нет. Ниоткуда. Squid ничего не знает про отчеты - это прокси-сервер. Все отчеты делаются сторонними средствами, например sarg, sams.
    3. Не знаю, никогда не использовал lightsquid, использовал сильно перепиленный sarg + собственные скрипты (кривые, косые, но рабочие)
    4. Есть. И даже не одна - есть множество вариантов интеграции с AD.
    Ответ написан
    Комментировать
  • Backup squid, как?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    На хосте:
    cd /etc
    tar -cvf squid.tar squid

    На виртуалке
    Поставить squid (как ставятся пакеты в бубунте не знаю, у меня центос)
    скопировать архив squid.tar в /etc
    tar -xvf squid.tar

    Сквид обычно хранит все в каталоге /etc/squid. Но есть один момент. Если аутентификация доменная или еще какая - нужно обязательно, чтобы стояли те же хелперы, что использовались, то есть устанавливать желательно тот же пакет, что ставился на хостовую бубунту.
    Ответ написан
    Комментировать
  • Как в SQUID через regex разрешить доступ к сайту?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    ([w]{1,3}\.)?prostobank\.ua/sparvochniki/.*$
    Во всяком случае подобные регекспы у меня работают и на блокировку и на разрешение
    Ответ написан
    Комментировать