Re: squid incept https
26.08.2015 12:37, Леонид Кальмаев пишет: > Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 > порт, далее говорим что мы хотим получить, в случае хттп мы просто просим > нужную нам странички и все методом гет. Если у нес используется https то > перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа > ничего не видит просто есть соединение и все. в случае если есть bamp то мы > создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. > таким образом просматриваем содержимое . А проблема напомню в следующим что > загружается голая страничка без � �тилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. > Более подробно с работой и установкой соединения можно ознакомится тут > http://habrahabr.ru/post/191954/ Вот это правило: -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 как раз и занимается тем что меняет адрес назначения на локальный. И сквид не видит куда именно хотел подключиться клиент без разбора всего SSL соединения.
Re: squid incept https
Леонид Кальмаев - debian-russian@lists.debian.org @ Thu, 27 Aug 2015 10:21:50 +0600: ЛК Руслан, Я просил помощи в реализации именно этого решения. Есть ЛК поставленная задача резать всё что не угодно руководству. И это не дыра в ЛК безопасности а нормальное решение для ограничения трафика. Так, к слову. Это дыра не в безопасности, а в приватности. И сильно подозреваю, что без надлежащего юридического оформления за это можно ответить по закону. И отвечать будет в первую очередь тот, кто реализовал решение. Опять же, у него меньше денег на адвоката... Это безотносительно к технической стороне ситуации, в которой я в данном случае не разбираюсь. Но поведение браузера похоже на загрузить страницу с невалидным сертификатом как-то уговорили, а про стили и картинки он и не спросил, просто молча отказался грузить. Я бы все-таки более внимательно посмотрел на то, как конфигурируется ситуация с подменой сертификата (в этом случае сертификат все же надо установить) и как - без (чистый туннель). Я бы не исключил, что конфигурируются они существенно по-разному, а не просто отключить ssl_bump.
Re: squid incept https
On Thu, Aug 27, 2015 at 10:21:50AM +0600, Леонид Кальмаев wrote: Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. Не хотел в 10 раз влезать в этот бесполезный спор, уродов не переделать, но реально интересно, что это за сайт такой в https которого надо залезть, чтобы отделить кошерный трафик от некошерного? В этой рассылке не принят топквотинг. Это в правилах есть.
Re: squid incept https
Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 13:53:56 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 В каком еще заголовке начального пакета? У тебя же прозрачный прокси и нет connect'а, почитай внимательно описание этой опции на http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с тем что и как ты делаешь, у тебя путаница в голове.
Re: squid incept https
В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев
Re: squid incept https
Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 порт, далее говорим что мы хотим получить, в случае хттп мы просто просим нужную нам странички и все методом гет. Если у нес используется https то перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа ничего не видит просто есть соединение и все. в случае если есть bamp то мы создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. таким образом просматриваем содержимое . А проблема напомню в следующим что загружается голая страничка без стилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. Более подробно с работой и установкой соединения можно ознакомится тут http://habrahabr.ru/post/191954/
Re: squid incept https
Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. 26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru написал: В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2
Re: squid incept https
Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
Re: squid incept https
сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
squid incept https
Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
dropbox через squid.
dropbox через squid. Подскажите пожалуйста что надо чтобы он работал через squid. Работает все что нужно, кроме дропбокса. root@proxy:/etc/squid3# cat /etc/squid3/squid.confacl SSL_ports port 443acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 # httpsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECTacl all src 0.0.0.0/0 # Без этого Skype чувствует себя совсем плохо и не проходит авторизацию на Proxyacl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443acl Skype_UA browser ^skype # Disable SSL interception for certain sites# http://wiki.alpinelinux.org/wiki/Setting_up_Explicit_Squid_Proxyacl no_ssl_interception dstdomain .dropbox.com .hotmail.comssl_bump none localhostssl_bump none no_ssl_interception #acl google dstdomain www.google.com google.com .google.com gstatic.com .gstatic.comacl google dstdom_regex googleacl gstatic dstdom_regex gstaticacl gmail dstdom_regex gmailacl yandex dstdom_regex yandexacl dropbox dstdom_regex dropbox http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost managerhttp_access deny manager http_access allow localhost http_access allow CONNECT all numeric_IPs Skype_UA SSL_ports http_access allow all google SSL_ports Safe_portshttp_access allow all gstatic SSL_ports Safe_portshttp_access allow all gmail SSL_ports Safe_portshttp_access allow all yandex SSL_ports Safe_portshttp_access allow all dropbox SSL_ports Safe_ports # Last line is default, if other's no matches# For these reasons, it is a good idea to have an "deny all" entry at the end of your access lists to avoid potential confusion.http_access deny all http_port 3128 coredump_dir /var/spool/squid3 # Отключаем кешcache deny allcache_dir null /tmp Спасибо! --Faithfully yours, Vladimir Skubriev
Re: dropbox через squid.
09.06.2015 10:14, Vladimir Skubriev пишет: dropbox через squid. Подскажите пожалуйста что надо чтобы он работал через squid. Работает все что нужно, кроме дропбокса. судя по https://www.dropbox.com/help/21 dropbox юзает https т.е. 443 порт наверное стоит проверить в сквидовском конфиге все, что касается acl Safe_ports port 443 p.s. а при вклченном прокси в настрояйках дропбокса в логах сквида ничего нету? -- BW, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/55771cbf.6020...@yandex.ua
squid delay pool
не могу понять что не то сделал. интернет 3 мегабита ьачу чтоб у delay_class 2 2 интернет бил каждму от 256-512 кбит 4 user-а а остальной 2 мегабита разделит поровну остальным классам acl it src /etc/squid/pools/itdep acl hashv src /etc/squid/pools/hashva acl hr src /etc/squid/pools/hr acl xar src /etc/squid/pools/xar acl virtual src 192.168.3.0/24 delay_pools 5 delay_class 1 2 delay_class 2 2 delay_class 3 2 delay_class 4 2 delay_class 5 1 delay_parameters 1 65536/65536 65536/65536 delay_parameters 2 131072/131072 32768/32768 delay_parameters 3 78643/78643 78643/78643 #delay_parameters 4 delay_parameters 5 64000/64000 1/1 delay_access 1 allow it delay_access 1 deny all delay_access 2 allow hashv delay_access 2 deny all delay_access 3 allow hr delay_access 3 deny all delay_access 4 allow xar delay_access 4 deny all delay_access 5 deny virtual delay_access 5 deny all
Re: squid conf
привет всем, после настройки сквида керио впн клиент не подключается. как исправит. даже открыл 4090 не помогает.
Re: squid conf
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 30.01.2014 14:33, Martin Danielyan пишет: привет всем, после настройки сквида керио впн клиент не подключается. как исправит. даже открыл 4090 не помогает. жесть - -- Истово бью челом, системный управитель сети, раб Божий, Виталий. -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJS6hLCAAoJEFVXfR2g/jxFWmgIAIzI17sutilDxiAILPt637ck FqFn6iYam8NjRsrA3cfjJC6vS4UCIRLtGO2OtId5s7PQVMtkP5SVj9j8FsA74/O7 VdO8HvS3OYj5a0uyqc8EpuD9YVQFkS5V/er4PcK90iCvoT2rAuWebCDjMFGnNRuR z9dvozdxgOYtmddR7BQ41Nr9oGT03lb7E1auGxSBAAUQpRBS4I/45cyd6avlgNxf ramJ1fkb0z8r+azb0ah3q2Vec4m4AeQCp5L4IbAcp/1jftte1wOLWlaPD1p2BzRs ebnPRtNLeNeKyofC8dV1xiy7nmuOq2OepqLg0avk20n4fpWvqpxrXJ9gkQfxJ6k= =m1V0 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52ea12c2.8040...@ruta.ru
squid conf
Привет всем. у меня возникла проблем в centos 6.5 c squid 3.4.2, после цонфигуре make дает ошибку make [1]: *** [assert.lo] Error 1 make [1]: Leaving directory /root/Downloads/squid-3.4.2/compat make: *** [all-recursive] Error 1
Re: squid conf
28.01.2014 21:21, Martin Danielyan пишет: Привет всем. у меня возникла проблем в centos 6.5 c squid 3.4.2, после цонфигуре make дает ошибку make [1]: *** [assert.lo] Error 1 make [1]: Leaving directory /root/Downloads/squid-3.4.2/compat make: *** [all-recursive] Error 1 прекратите компилировать и ставьте из пакетов. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2BAC8-CentOS.Squid-3.4_-Beta не говоря уже о том, что это не debian
?????? squid
Могу ли я заставить Squid ходить напрямую на некоторые сайты? я в дефаулт конфиг файле изменить следующее # ACL sajt pramoj #acl yahoo dstdomain /etc/squid/pramoj.squid #always_direct allow yahoo # ACL blocksites acl blocksites dstdomain /etc/squid/blockedsites.squid # ACL blockkeywords acl blockkeywords url_regex -i /etc/squid/blockkeywords.squid # ACL blockip acl blockip src /etc/squid/blockip.squid # ACL allowip acl allowip src /etc/squid/allowip.squid # # Recommended minimum Access Permission configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny access to blockip http_access deny blockip # Deny access to blocksites ACL http_access deny blocksites !allowip # Deny access to blockkeywords ACL http_access deny blockkeywords !allowip #Restrict download size reply_body_max_size 1024 KB !allowip но не работает блокировка ip или не те ip дал. например 217.20.147.94 однокласники и плюс другие его ip которие нашел по whois 217.20.144.140 217.20.149.60 217.20.153.196 212.20.146.244 нечего не блокировалос пришлось regex-у запретит доступ. и да как видно из конфига reply_body_max_size 1024 KB !allowip тут я чтот не то написал, зделал 1Мб , но после http://www.speedtest.net/ она показивает вес трафик по дефаулту с проваидером?? и этот !allow ip правильно я написал чтобы он допустил какомту ip вес трафик это мо фаил #allow ip 192.168.1.5 (admin) 217.20.147.94 одноклассники (зайти по ip)
Re: удолить директории и файлы от Squid cache_dir
On Tue, 8 Oct 2013, Eugene Berdnikov wrote: On Tue, Oct 08, 2013 at 11:23:36AM +0600, Andrey Rahmatullin wrote: On Tue, Oct 08, 2013 at 12:59:47AM +0400, Artem Chuprina wrote: Там urandom, а автор идиот. у них цель не просто удалить файлы а ещё затереть всё ровно чем AR /dev/zero для этих целей не хуже. Есть подозрение, что все-таки хуже, если речь идет о вытаскивании информации плюс-минус спецсредствами. Если мы о спецсредствах, то надо сразу на другом уровне обсуждение вести, я думаю. Нееет, как можно, сквидовский кэш нужно тереть только спецсредствами! :) А в первую очередь следует подумать о средствах для прочистки мозгов. Правильнее говорить для деконтaминации. Многие используют CH₃-CH₂-OH. Регулярное протирание коры головного мозга эффективно удаляет кеш без надежды на восстановление. Да хотя бы даже и кальмарам. Ю.
Re: удолить директории и файлы от Squid cache_dir
Eugene Berdnikov - debian-russian@lists.debian.org @ Tue, 8 Oct 2013 09:56:44 +0400: Там urandom, а автор идиот. у них цель не просто удалить файлы а ещё затереть всё ровно чем AR /dev/zero для этих целей не хуже. Есть подозрение, что все-таки хуже, если речь идет о вытаскивании информации плюс-минус спецсредствами. Если мы о спецсредствах, то надо сразу на другом уровне обсуждение вести, я думаю. EB Нееет, как можно, сквидовский кэш нужно тереть только спецсредствами! :) EB А в первую очередь следует подумать о средствах для прочистки мозгов. Это уже вбоквел, тут уже речь идет не о сквидовском кэше, а о dd :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87vc18z1dl@wizzle.ran.pp.ru
Re: удолить директории и файлы от Squid cache_dir
Andrey Rahmatullin - debian-russian@lists.debian.org @ Tue, 8 Oct 2013 11:23:36 +0600: Там urandom, а автор идиот. у них цель не просто удалить файлы а ещё затереть всё ровно чем AR /dev/zero для этих целей не хуже. Есть подозрение, что все-таки хуже, если речь идет о вытаскивании информации плюс-минус спецсредствами. AR Если мы о спецсредствах, то надо сразу на другом уровне обсуждение вести, AR я думаю. Если о совсем спецсредствах, то да, а если о плюс-минус, то не обязательно. Мимо меня пробегали слухи, что плюс-минус на эту тему, в общем, доступен гражданам, которые не применяют терморектального криптоанализа. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87r4bwz14m@wizzle.ran.pp.ru
Re: удолить директории и файлы от Squid cache_dir
01:58 Mon 07 Oct, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго Что-то вроде такого? mv cache_dir cache_dir.old squid -z ionice -c3 rm -fr cache_dir.old service squid start -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131007083117.gb16...@tataranovich-pc.local.aitoc.com
Re: удолить директории и файлы от Squid cache_dir
Alexander Wiedergold WIEDERGOLD.NET - debian-russian@lists.debian.org @ Mon, 07 Oct 2013 07:58:32 +0200: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго mkfs AWW на партиционе есть другие файлы можно использовать что-то вроде этого dd AWW if=/dev/zero of=/dev/sdb1 bs=1024 count=65536 AWW помню только, что нужно задать начальный блок и конечный. как определить где AWW файлы? Вот после этого точно придется проститься с и другими файлами, и сделать mkfs. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/877gdp31uh@wizzle.ran.pp.ru
Re: удолить директории и файлы от Squid cache_dir
Am 07.10.2013 10:40, schrieb Andrey Tataranovich: 01:58 Mon 07 Oct, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго Что-то вроде такого? mv cache_dir cache_dir.old squid -z ionice -c3 rm -fr cache_dir.old service squid start так и зделали только этот рм длится два дня -- .. http://wiedergold.net/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l2v479$o4q$1...@online.de
Re: удолить директории и файлы от Squid cache_dir
On Mon, Oct 07, 2013 at 10:06:00PM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: Am 07.10.2013 10:40, schrieb Andrey Tataranovich: 01:58 Mon 07 Oct, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго Что-то вроде такого? mv cache_dir cache_dir.old squid -z ionice -c3 rm -fr cache_dir.old service squid start так и зделали только этот рм длится два дня 1. Зачем кэш такого размера? Наверняка у него hit ratio доли процента. :) 2. Если что-то мешает тупо сделать mkfs, то можно перенести cache_dir и всё ценное на другой раздел диска, а к старому таки применить mkfs. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131007203857.gg3...@sie.protva.ru
Re: удолить директории и файлы от Squid cache_dir
Am 07.10.2013 22:40, schrieb Eugene Berdnikov: On Mon, Oct 07, 2013 at 10:06:00PM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: Am 07.10.2013 10:40, schrieb Andrey Tataranovich: 01:58 Mon 07 Oct, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго Что-то вроде такого? mv cache_dir cache_dir.old squid -z ionice -c3 rm -fr cache_dir.old service squid start так и зделали только этот рм длится два дня 1. Зачем кэш такого размера? Наверняка у него hit ratio доли процента. :) 2. Если что-то мешает тупо сделать mkfs, то можно перенести cache_dir и всё ценное на другой раздел диска, а к старому таки применить mkfs. ошибся цифрой в squid.conf и squid -z зделал мне конкретный кеш файлы переместить некуда очень много их backup есть, но лучше пусть rm крутит всои 5 % CPU -- .. http://wiedergold.net/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l2v6m2$ro6$1...@online.de
Re: удолить директории и файлы от Squid cache_dir
Am 07.10.2013 06:10, schrieb Andrey Rahmatullin: On Mon, Oct 07, 2013 at 01:58:04AM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго mkfs кому интересно http://www.ibm.com/developerworks/linux/library/l-lpic1-v3-104-1/ -- .. http://wiedergold.net/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l2v9b3$v3g$1...@online.de
Re: удолить директории и файлы от Squid cache_dir
On Mon, Oct 07, 2013 at 11:33:21PM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: Am 07.10.2013 06:10, schrieb Andrey Rahmatullin: On Mon, Oct 07, 2013 at 01:58:04AM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго mkfs кому интересно http://www.ibm.com/developerworks/linux/library/l-lpic1-v3-104-1/ Это вы нам доку про mkfs нашли? Спасибо. -- WBR, wRAR signature.asc Description: Digital signature
Re: удолить директории и файлы от Squid cache_dir
On Tue, Oct 08, 2013 at 12:59:47AM +0400, Artem Chuprina wrote: Там urandom, а автор идиот. у них цель не просто удалить файлы а ещё затереть всё ровно чем AR /dev/zero для этих целей не хуже. Есть подозрение, что все-таки хуже, если речь идет о вытаскивании информации плюс-минус спецсредствами. Если мы о спецсредствах, то надо сразу на другом уровне обсуждение вести, я думаю. -- WBR, wRAR signature.asc Description: Digital signature
Re: удолить директории и файлы от Squid cache_dir
On Tue, Oct 08, 2013 at 11:23:36AM +0600, Andrey Rahmatullin wrote: On Tue, Oct 08, 2013 at 12:59:47AM +0400, Artem Chuprina wrote: Там urandom, а автор идиот. у них цель не просто удалить файлы а ещё затереть всё ровно чем AR /dev/zero для этих целей не хуже. Есть подозрение, что все-таки хуже, если речь идет о вытаскивании информации плюс-минус спецсредствами. Если мы о спецсредствах, то надо сразу на другом уровне обсуждение вести, я думаю. Нееет, как можно, сквидовский кэш нужно тереть только спецсредствами! :) А в первую очередь следует подумать о средствах для прочистки мозгов. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20131008055644.gi3...@sie.protva.ru
удолить директории и файлы от Squid cache_dir
dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l2sted$ta8$1...@online.de
Re: удолить директории и файлы от Squid cache_dir
On Mon, Oct 07, 2013 at 01:58:04AM +0200, Alexander Wiedergold WIEDERGOLD.NET wrote: dear подскажите как быстро можно удолить старый cache_dir от Squid rm -fR cache_dir/* очень долго mkfs -- WBR, wRAR signature.asc Description: Digital signature
Re: Squid transparent ntlm?
On 26.06.2013 14:11, Victor Wagner wrote: Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) А с какой угодно непрозрачной аутентификацией прозрачное проксирование совместимо? Потому что мне представлялось так, что прозрачное проксирование, оно потому и прозрачное, что прикидывается прямым соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ что либо - не должно, и соответственно несовместимо ни с какой аутентификацией. Очевидно, что прокси может использовать только те виды аутентификации, которые поддерживаются браузером. Представим себе что целевой сайт, на который хочет попасть пользователь, использует тот же вид аутентификации, что и прокси. Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? А как мы будем https аутентифицировать? Все правильно вы описали - или прозрачный прокси или аутентификация в принципе (в том числе и прозрачная). третьего не дано. Можно по ip авторизовать проксиком, но опять же не факт что проксик так умеет в режими transparent -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 26.06.2013 09:13, Petr Bondarenko wrote: Здравствуйте! А подскажите мне люди добрые, не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам Последний раз давно работал с сквидом, и тогда он умел либо NTLM либо прозрачность. забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote: не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos А kerberos совместим с прозранчым проксированием? И если да, то как? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626095913.ga10...@wagner.pp.ru
Re: Squid transparent ntlm?
On 26.06.2013 13:59, Victor Wagner wrote: On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote: не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos А kerberos совместим с прозранчым проксированием? И если да, то как? Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 2013.06.26 at 14:02:01 +0400, Владимир Скубриев wrote: transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) А с какой угодно непрозрачной аутентификацией прозрачное проксирование совместимо? Потому что мне представлялось так, что прозрачное проксирование, оно потому и прозрачное, что прикидывается прямым соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ что либо - не должно, и соответственно несовместимо ни с какой аутентификацией. Очевидно, что прокси может использовать только те виды аутентификации, которые поддерживаются браузером. Представим себе что целевой сайт, на который хочет попасть пользователь, использует тот же вид аутентификации, что и прокси. Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? А как мы будем https аутентифицировать? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626101108.ga10...@wagner.pp.ru
Re: Squid transparent ntlm?
On Wed, Jun 26, 2013 at 02:11:08PM +0400, Victor Wagner wrote: Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? Браузер не обязан считать, что все заголовки идут непосредственно с сайта, благо коды ответов http для авторизации на прокси и на сайте отличаются: 401 (сайт) и 407 (прокси). Плюс наличие заголовков Proxy-Authorization и т.п. То есть прозрачная авторизация на прокси и авторизация на сайте совместимы и технически возможны. Проблема в другом. Нет механизма аутентифицикации прокси для браузера, т.е. метода подтвердить, что именно свой, локальный прокси запрашивает авторизацию. Поэтому браузер не может противостоять элементарной атаке, когда вредительский сайт выдаёт код 407, т.е. прикидывается локальным прокси-сервером, чтобы получить юзеровский логин и пароль. По этой причине все производители браузеров игнорируют код 407 в прямых ответах, этот код и соотвествующе ему хедеры обрабатываются только для явно проксируемых соединений. А как мы будем https аутентифицировать? Ситуация аналогична: браузер может отличить ответ с первыми байтами HTTP/x.x 407 от ssl-ного ServerHello, но всё это нахрен не нужно. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626204602.gn20...@sie.protva.ru
Squid transparent ntlm?
Здравствуйте! А подскажите мне люди добрые, не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? Последний раз давно работал с сквидом, и тогда он умел либо NTLM либо прозрачность. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51ca786a.9010...@gmail.com
[BTS#708728] po-debconf://squid-deb-proxy/ru.po
Hello. -- Best Regards, Yuri Kozlov -- To UNSUBSCRIBE, email to debian-l10n-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130518095301.68af8...@keeper.home.local
Re: Выбор анализатора логов SQUID.
09.03.2011 18:22, Tarasov Sergey пишет: Самое простое - складывать логи в БД, а из базы уже можно получить любого вида выборки. Угумс. Я так и делал в свое время самописным скриптом на питоне. Ничего сложного в написании нету. Главное потом морду для вывода данных из БД написать... -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-645-36-16 (ext. 100) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d7a1eca.4070...@korona-auto.com
Выбор анализатора логов SQUID.
Установил, по совету многих, Lightsquid. Но руководство оказывается хочет систему анализа с разными фильтрами. Чтобы можно было фильтровать данные о трафике в разных диапазонах. Например посмотреть трафик конкретного пользователя только в нерабочее время. Чтобы можно было смотреть не только траффик но и количество обращений. Пробежался по http://www.squid-cache.org/Scripts/ и что-то не увидел там решение соответствующее всем требованиям. На ум приходят только всякие виндовые WebSpy да IAM. Подскажите, возможно ли реализовать требования описанные выше в рамках Linux, и если да то какими приложениями? С уважением, Евгений Видяков -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/495A7CF39A777442B6BEB103DF537FC6014F94E4@servermail2.solvex.local
Re: Выбор анализатора логов SQUID.
09.03.2011 18:39, Евгений Видяков пишет: Установил, по совету многих, Lightsquid. Но руководство оказывается хочет систему анализа с разными фильтрами. Чтобы можно было фильтровать данные о трафике в разных диапазонах. Например посмотреть трафик конкретного пользователя только в нерабочее время. Чтобы можно было смотреть не только траффик но и количество обращений. Пробежался по http://www.squid-cache.org/Scripts/ и что-то не увидел там решение соответствующее всем требованиям. На ум приходят только всякие виндовые WebSpy да IAM. Подскажите, возможно ли реализовать требования описанные выше в рамках Linux, и если да то какими приложениями? С уважением, Евгений Видяков Самое простое - складывать логи в БД, а из базы уже можно получить любого вида выборки. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d779b21.2080...@gmail.com
Re: Выбор анализатора логов SQUID.
09.03.2011 16:39, Евгений Видяков пишет: Установил, по совету многих, Lightsquid. Но руководство оказывается хочет систему анализа с разными фильтрами. Чтобы можно было фильтровать данные о трафике в разных диапазонах. Например посмотреть трафик конкретного пользователя только в нерабочее время. Чтобы можно было смотреть не только траффик но и количество обращений. Пробежался по http://www.squid-cache.org/Scripts/ и что-то не увидел там решение соответствующее всем требованиям. На ум приходят только всякие виндовые WebSpy да IAM. Подскажите, возможно ли реализовать требования описанные выше в рамках Linux, и если да то какими приложениями? С уважением, Евгений Видяков так подправьте... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d77dde5.2010...@gmail.com
Re: Принудительное хэширован ие файлов с сайта в squid
Сегодня пришлось срочно переписывать запрос т.к. при предыдущем хэшировались абсолютно все exe файлы :-D regexp запрос выглядит так: ^http\:\/\/(.*?)windowsupdate\.com(.*?)\.(cab|exe|psf)$ со временем его можно еще сильно доделать, хотя думаю что этого будет вполне достаточно
Re: Принудительное хэширование файлов с сайта в squid
Munko O. Bazarzhapov vec...@gmail.com wrote: Дочитать таки как интегрировать обновления в инсталлятор? Не очень хороший вариант, на компьютерах где стоит старенький комп + 128 мб оперативки, время установки увеличивается приблизительно на 24-40 минут Я говорил - таки дочитать, а не ставить обновления после установки из инсталлера. а так поставил быстро с лицензии, включил автоматическое обновление и пусть они уже у себя в кабинетах перезагружаются (обычно ставится обнова при выключении компа) Я раньше для этого использовал nginx с proxy_store и редиректор к сквиду. Ваш вариант почти то же самое, но в данном случае (моем) можно легко отрегулировать весь проходящий поток и не только для обновлений винды, но и для антивирусов (не для всех) ну и т.д. Ну да, у тебя там Windows 98 повсеместно чтоль? Или squid из паралельной вселенной? WinXp sp1 и выше - для закачки обновлений используют BITS, которая сама занимает не более 10% от ширины видимого винде канала, качает в несколько потоков. А squid - он такой, куски скачанного не кэшиирует. Теперь понятно - почему был использован nginx или всё ёщё не? PS: А про кучи антивирусов и прочее - это мы давно знаем. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/nmtht7-9bp@kenga.kmv.ru
Re: Принудительное хэширован ие файлов с сайта в squid
Вопрос решил опцией refresh_pattern в squid.con добавив туда RegExp refresh_pattern ^http\:\/\/(.*?)\.(cab|exe|psf)43200-100%--43200-override-expire override-lastmod reload-into-ims сохраняет, файлы cab, exe, psf не перекачивает чуть позже допишу правильный запрос что бы касалось только обнов с сайта windowsupdate проверил у себя в локалке скачивая эти обновления с разных компьютеров, скачиваются из кэша squid-а за несколько секунд, задача упростилась, интернет не грузится лишний раз экономя канал для других более важных задач думаю для контор где парк компьютеров не маленький но и не огромный данный способ подойдет в самый раз вместо установки WSUS на виндовую машину
Re: Принудительное хэширован ие файлов с сайта в squid
Дочитать таки как интегрировать обновления в инсталлятор? Не очень хороший вариант, на компьютерах где стоит старенький комп + 128 мб оперативки, время установки увеличивается приблизительно на 24-40 минут а так поставил быстро с лицензии, включил автоматическое обновление и пусть они уже у себя в кабинетах перезагружаются (обычно ставится обнова при выключении компа) Я раньше для этого использовал nginx с proxy_store и редиректор к сквиду. Ваш вариант почти то же самое, но в данном случае (моем) можно легко отрегулировать весь проходящий поток и не только для обновлений винды, но и для антивирусов (не для всех) ну и т.д.
Re: Принудительное хэширование файлов с сайта в squid
Munko O. Bazarzhapov vec...@gmail.com wrote: На работе очень часто приходится переустанавливать Windows системы и каждый раз приходится выкачивать обновления с сайта download.windowsupdate.com в виде файлов на подобии: http://download.windowsupdate.com/msdownload/update/driver/d... Дочитать таки как интегрировать обновления в инсталлятор? Весь трафик в конторе проходит через прозрачный squid как можно принудительно увеличить время хранения файлов http://download.windowsupdate.com/msdownload/update/***/*.cab *.psf *.exe в хэше squid (например 30 дней) ? Я раньше для этого использовал nginx с proxy_store и редиректор к сквиду. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/qb9at7-01t@kenga.kmv.ru
Принудительное хэширование файлов с сайта в squid
На работе очень часто приходится переустанавливать Windows системы и каждый раз приходится выкачивать обновления с сайта download.windowsupdate.com в виде файлов на подобии: http://download.windowsupdate.com/msdownload/update/driver/d... Весь трафик в конторе проходит через прозрачный squid как можно принудительно увеличить время хранения файлов http://download.windowsupdate.com/msdownload/update/***/*.cab *.psf *.exe в хэше squid (например 30 дней) ? WSUS не предлагать, не очень одобряю левый софт на сервере/роутере с debian/ubuntu на борту, да еще и не с репозитариев LLC Master-Byte Munko O. Bazarzhapov JabberID: v...@aginskoe.ru ICQ:169245258 mail: vec...@gmail.com
Re: squid отдает данные из кеша ч ерез раз обновляя данные?
23 июля 2010 г. 14:58 пользователь Peter Pentchev r...@ringlet.net написал: Думаю, вопрос Дениса бил как точно парсятся. Если делается fscanf() (или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется ли заранее, строка пуста ли? Если такой проверки нет и по какой-то причине wget выдаст празный файл, то *scanf() и strto*() выпарсят с него один нуль. Проверьте каким-то образом, wget не выдает ли 0-length files - или допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить. Всего лучшего, Петр Спасибо за ответ Петр. Наверное это моя проблема, не смог внятно объяснить. Да и сам по ходу разбирательства нюансы узнаю. Парсер не встроен в программу. Парсер обрабатывает файлы, которые программа из интернета доставляет через прокси и складывает. Например ожидаемые данные: 1 2 3 5 4 6 5 4 8 А вот как было: 1 2 3 0 0 0 5 4 6 0 0 0 5 4 8 0 0 0 Каждая строка - новый файл. И каждый запрос программой - новый набор цифр. Каждый запрос - исполнение у агента на веб сервере рнр скрипта, а значит данные постоянно отдаются новые, пусть в явном выражении они и не изменились, например. В заголовках ответа у агента нет experation date. Непонятно откуда? Откуда могли все же взяться они - нули? То что это три нуля внутри файла, правильно разделенные управляющими байтам (перенос строки), вводит в заблуждение и указывает что не с потолка взялись. Это правильные данные, но они появляются по команде. Но команды такой не было иначе во втором примере даже вперемешку с нулями данные _не_продолжали_ расти, а опять начинались бы с первого десятка. (то есть ресет имел бы место, но его не было) Есть три составляющие: программа (исходников нет), сквид (промежуточное звено, веб сервер + рнр скрип у агента Откуда могли все же взяться они - нули? С уважением, Дмитрий ПЫ начинаю думать о проблемах на сервере агента.
Re: squid 2 схемы автор изации
Появилась необходимость сделать прокси-сервер с авторизацией для виндовых клиентов. Логины-пароли хранятся в AD. С ntlm авторизацией отлично работает IE и Mozilla - но не работает Opera (уверен, что найдется еще несколько альтернативно одарённых web-клиентов) С basic авторизацией через squid_ldap_auth работает всё - но надо вводить пароль, что неудобно. Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не получилось, squid начинает кушать 100% процессора) Можно, все замечательно работает. По крайней мере в squid-2.7.STABLE3 auth_param ntlm program /usr/bin/ntlm_auth -d 1 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /root/squid_ldap_auth -R -P -v3 -b DC=domain,DC=ru \ -D user -W /etc/squid/ldappsw -H ldap://1.1.1.1:3268 -f sAMAccountName=%s auth_param basic children 2 auth_param basic realm domain.ru Proxy Единственная проблема с авторизацией - это строчка типа http_reply_access allow !auth_users all это, к сожалению, не работает -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c4e83c9.5060...@lmz.ru
squid 2 схемы автори зации
Добрый день! Появилась необходимость сделать прокси-сервер с авторизацией для виндовых клиентов. Логины-пароли хранятся в AD. С ntlm авторизацией отлично работает IE и Mozilla - но не работает Opera (уверен, что найдется еще несколько альтернативно одарённых web-клиентов) С basic авторизацией через squid_ldap_auth работает всё - но надо вводить пароль, что неудобно. Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не получилось, squid начинает кушать 100% процессора) Или запустить 2 экземпляра squid с общим дисковым кешем? Или есть другие идеи? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c494ffa.9030...@gmail.com
Re: squid 2 схемы автор изации
Игорь Чумак пишет: Добрый день! Появилась необходимость сделать прокси-сервер с авторизацией для виндовых клиентов. Логины-пароли хранятся в AD. С ntlm авторизацией отлично работает IE и Mozilla - но не работает Opera (уверен, что найдется еще несколько альтернативно одарённых web-клиентов) С basic авторизацией через squid_ldap_auth работает всё - но надо вводить пароль, что неудобно. Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не получилось, squid начинает кушать 100% процессора) Или запустить 2 экземпляра squid с общим дисковым кешем? Или есть другие идеи? Эм...я лично у себя не развожу зоопарк и не ставлю пользователям альтернативное ПО (как бы не упрашивали). Все используют IE. Знаю что IE сакс, но при должном обновлении системы через wsus особо голову ничего не волнует. -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 (ext. 100) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c4950e4.80...@korona-auto.com
Re: squid отдает данные из кеша ч ерез раз обновляя данные?
Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет. Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? Байт в байт возвращает, что получил. Данные парсятся как раз по управляющим байтам. В прочем, это видно в консоли от запроса до ответа и содержимого. И по этой причине грешу на squid, как промежуточное звено, что он то отдавал данные из интернета, затем из кеша, опять из интернета и затем опять из кеша. А в кеше были нулевые значения скорей всего. сквид кэш делает не от фонаря а на основании expires ответа от сервера Почитал подробней о http. Вот заголовки которые получаю без прокси дома: wget -S http://***.ru/index1.php; Запрос HTTP послан, ожидается ответ... HTTP/1.0 200 OK Date: Fri, 23 Jul 2010 10:27:02 GMT Server: Apache Vary: Accept-Encoding Content-Length: 9 Content-Type: text/html; charset=WINDOWS-1251 X-Cache: MISS from turbine3.ht-systems.ru Connection: keep-alive Длина: 9 [text/html] Сохраняется в каталог: `index1.php.4'. 100%[] 9 --.-K/s в 0s 2010-07-23 14:27:02 (2,17 MB/s) - `index1.php.4' сохранён [9/9] $ cat index1.php.4 437 262 75 А вот, что получаю через прокси: wget -S http://***.ru/index1.php; Запрос Proxy послан, ожидается ответ... HTTP/1.0 200 OK Date: Fri, 23 Jul 2010 10:10:34 GMT Server: Apache Vary: Accept-Encoding Content-Length: 14 Content-Type: text/html; charset=WINDOWS-1251 X-Cache: MISS from turbine3.ht-systems.ru X-Cache: MISS from proxy X-Cache-Lookup: MISS from proxy:3128 Via: 1.0 proxy:3128 (squid/2.6.STABLE12) Proxy-Connection: keep-alive Длина: 14 [text/html] Сохраняется в каталог: `index1.php.3'. 100%[] 9 --.-K/s в 0s $ cat index1.php.3 437 262 75 При выполнении wget -N http://***.ru/index1.php; данные всегда новые - не кешируются значит? Поля в заголовке Last-Modified в обоих случаях нет. Как сквид работает с данными без этого поля? Кстати говоря таких потоков передачи 3 и все они глючили как описано выше. Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен? Программисту софтины или админу сквида предъявлять претензии? дизайнеру всей системы, похоже Угу. Или переделывать и усложнять, или допиливать.
Re: squid отдает да нные из кеша через раз обновляя данные?
On Fri, Jul 23, 2010 at 02:47:24PM +0400, Dmitry A. Zhiglov wrote: Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет. Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? Байт в байт возвращает, что получил. Данные парсятся как раз по управляющим байтам. Думаю, вопрос Дениса бил как точно парсятся. Если делается fscanf() (или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется ли заранее, строка пуста ли? Если такой проверки нет и по какой-то причине wget выдаст празный файл, то *scanf() и strto*() выпарсят с него один нуль. Проверьте каким-то образом, wget не выдает ли 0-length files - или допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить. Всего лучшего, Петр -- Peter Pentchev r...@space.bgr...@ringlet.netr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 because I didn't think of a good beginning of it. signature.asc Description: Digital signature
squid отдает данные из кеша чер ез раз обновляя данные?
Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. В прочем, это видно в консоли от запроса до ответа и содержимого. И по этой причине грешу на squid, как промежуточное звено, что он то отдавал данные из интернета, затем из кеша, опять из интернета и затем опять из кеша. А в кеше были нулевые значения скорей всего. Кстати говоря таких потоков передачи 3 и все они глючили как описано выше. Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен? Программисту софтины или админу сквида предъявлять претензии? С уважением, Дмитрий
Re: squid отдает данные из к еша через раз обновляя д анные?
On Thu, 22 Jul 2010 21:50:09 +0400 Dmitry A. Zhiglov dmitry.zhig...@gmail.com wrote: Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? В прочем, это видно в консоли от запроса до ответа и содержимого. И по этой причине грешу на squid, как промежуточное звено, что он то отдавал данные из интернета, затем из кеша, опять из интернета и затем опять из кеша. А в кеше были нулевые значения скорей всего. сквид кэш делает не от фонаря а на основании expires ответа от сервера Кстати говоря таких потоков передачи 3 и все они глючили как описано выше. Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен? Программисту софтины или админу сквида предъявлять претензии? дизайнеру всей системы, похоже -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100723015918.6f6af...@gmail.com
acl arp в squid
День добрый, в squid.conf указано: # acl aclname arp mac-address ... (xx:xx:xx:xx:xx:xx notation) # # The arp ACL requires the special configure option --enable-arp-acl. # # Furthermore, the ARP ACL code is not portable to all operating systems. # # It works on Linux, Solaris, Windows, FreeBSD, and some # # other *BSD variants. # # [fast] # # # # NOTE: Squid can only determine the MAC address for clients that are on # # the same subnet. If the client is on a different subnet, # # then Squid cannot find out its MAC address. т.е. сквид на основе макадресов может работать с аксесс-листом для хостов, находящихся в той же подсети... Нет ли какого-нибудь способа обойти ограничение? BR, Чертов Вячеслав. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/164081277799...@web125.yandex.ru
Re: acl arp в squid
C S пишет: День добрый, в squid.conf указано: # acl aclname arp mac-address ... (xx:xx:xx:xx:xx:xx notation) # # The arp ACL requires the special configure option --enable-arp-acl. # # Furthermore, the ARP ACL code is not portable to all operating systems. # # It works on Linux, Solaris, Windows, FreeBSD, and some # # other *BSD variants. # # [fast] # # # # NOTE: Squid can only determine the MAC address for clients that are on # # the same subnet. If the client is on a different subnet, # # then Squid cannot find out its MAC address. т.е. сквид на основе макадресов может работать с аксесс-листом для хостов, находящихся в той же подсети... Нет ли какого-нибудь способа обойти ограничение? Сменить MAC? Или ты про подсеть? Если про подсеть - то нет. -- Best regards, Mikhail. - xmpp: ant...@stopicq.ru www: http://www.antmix.pp.ru/ signature.asc Description: OpenPGP digital signature
Re: acl arp в squid
C S - debian-russian @ Tue, 29 Jun 2010 12:19:13 +0400: CS День добрый, CS в squid.conf указано: CS # acl aclname arp mac-address ... (xx:xx:xx:xx:xx:xx notation) CS # # The arp ACL requires the special configure option --enable-arp-acl. CS # # Furthermore, the ARP ACL code is not portable to all operating systems. CS # # It works on Linux, Solaris, Windows, FreeBSD, and some CS # # other *BSD variants. CS # # [fast] CS # # CS # # NOTE: Squid can only determine the MAC address for clients that are on CS # # the same subnet. If the client is on a different subnet, CS # # then Squid cannot find out its MAC address. CS т.е. сквид на основе макадресов может работать с аксесс-листом для хостов, находящихся в той же подсети... CS Нет ли какого-нибудь способа обойти ограничение? Если ты под ограничением имеешь в виду ограничение на ту же подсеть, то только сменой протокола. В смысле, IP. Хотя бы путем смены роутера на бридж. Подробности изложены в любом букваре по TCP/IP. -- Пифагоровы штаны Лобачевскому смешны -- lj user=osd -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/29978...@wizzle.ran.pp.ru
squid + ntlm auth mail.ru
Возникла проблема при работе squid3 + ntlm auth. При попытке прикрепить к письму вложение - выскакивает запрос на аутентификацию на прокси. После ввода данных - зависает намертво. Как сие исправить? -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c1b58a4.9020...@korona-auto.com
Re: Squid Proxy Disclaimer
Igor Drobot wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfb790f.5050...@yandex.ru
Re: Squid Proxy Disclaimer
On Tue, May 25, 2010 at 11:15:27AM +0400, Ed wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? Это captive portal называется. -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100525072811.ga5...@osdn.org.ua
Re: Squid Proxy Disclaimer
Я думаю это делается путем редиректа 80 порта на другой порт, на котором висит апач. -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfb8aae.6070...@korona-auto.com
Re: Squid Proxy Disclaimer
Добрый вечер, On 05/25/2010 09:15 AM, Ed wrote: Igor Drobot wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? Ну почти, просто срабатывает редирект на сайт с дисклеймер просто прочитать и всё. И все просторы интернета доступны. * /Это captive portal называется./ Спасибо в гугле посидел на дунную тему много инфы нашёл, которая дала понять что нужно писать cвою программу... * /Я думаю это делается путем редиректа 80 порта на другой порт, на котором висит апач. / Да но это должно происходить только идин раз! в определённое /X/ время. Типа напоминания дисклеймера. Хотя и идея бекенда дисклеймера уже есть. Программку уже написал осталось на ошибки сегментации и дырки памяти проверить. скоро будет :-)
Squid Proxy Disclaimer
Здравствуйте, помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит у него выскакиват дисклеймер илм перенаправляет на сайт где он будет. Можно и решениея для squidguard или dans guardian или подобным которые можно со сквидом рядом поставить. Все решение инересны, спасибо большое! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfaf2fe.3080...@debianuser.org
Re: прозрачное проксирование -SQUID и авторизация
20 мая 2010 г. 9:45 пользователь Игорь Чумак ichumak2...@gmail.comнаписал: Sapytsky Ilya пишет: -куть windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd. У меня вполне нормально сидят пользователи с терминального сервера в инете и инет доступен только тем, кому рассказано в AD. Я что-то неправильно делал? ХЗ. Если windind'ом спросить у контроллера домена, кто сидит на данном IP (конец цытаты) - что контроллер должен ответить (в случае, когда это таки терминальный сервер с сотней пользователей)? Или вы ntlm_auth использовали? пользовался и тем и другим, выбирая что лучше еще со времен sarge. Когда обновил сервер со сквидом до Squeeze - был приятно удивлен, что там напильник и бубен уже не нужны, поэтому сейчас ntlm_auth искаропки.
Re: прозрачное прокси рование -SQUID и авториза ция
Sapytsky Ilya wrote: windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd. У меня вполне нормально сидят пользователи с терминального сервера в инете и инет доступен только тем, кому рассказано в AD. Я что-то неправильно делал? правильно или неправильно, но я подозреваю, что у вас анализируется не кто сидит на данном IP -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf39707.2090...@yandex.ru
Re: Re: прозрачное проксирование -SQUID и авторизация
] Тогда конфигурацию с wpad применять. Или через групповые политики.
]
настроил WPAD через вебсервер следующим образом:
сопоставим корректный тип mime для скрипта автоматической настройки с
расширением .dat (добавим в конфиг веб-сервера строку):
#vi /etc/apache2/httpd.conf
AddType application/x-ns-proxy-autoconfig .dat
$sudo /etc/init.d/apache2 reload
$sudo touch /var/www/wpad.dat
$sudo nano /var/www/wpad.dat
function FindProxyForURL(url, host)
{
if (isInNet(host, 192.168.1.0, 255.255.255.0))
return DIRECT;
else
return PROXY 192.168.1.77:3180;
}
Скрипт будет передаваться браузеру при его запуске. Если запрошенный адрес
является локальным (сервер находится в вашей сети), то запрос к этому адресу
пойдет минуя прокси-сервер, в то время как все прочие запросы будут им
обработаны.
В Internet Explorer выставляется Сервис-Свойства
Обозревателя-Подключения-Настройка сети-
Использовать сценарий автоматической
настройки-Адрес:http://192.168.1.77/wpad.dat
и теперь, заходя, например на http://www.whatismyip.com/ видим
Your IP Address Is: 78.25.39.xx
Possible Proxy Detected: 1.1 localhost (squid/3.1.3)
теперь получается в squid.conf указать http_port 3128 (убрать http_port
192.168.1.77:3180 transparent ),
squid3 -k reconfigure
а по поводу авторизации пользователей по группам из Active Directory куда
дальше копать?
BR,
Чертов Вячеслав.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/155441274269...@web131.yandex.ru
Re: Re: Re: прозрачное проксирование -SQUID и авторизация
] теперь получается в squid.conf указать http_port 3128 (убрать http_port 192.168.1.77:3180 transparent ), ] squid3 -k reconfigure ] а по поводу авторизации пользователей по группам из Active Directory куда дальше копать? в squid.conf указать параметры auth_param ntlm ? BR, Чертов Вячеслав. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/543311274273...@web105.yandex.ru
Re: прозрачное проксирование -SQUID и авторизация
C S ll75...@yandex.ua wrote:
] Тогда конфигурацию с wpad применять. Или через групповые политики.
]
настроил WPAD через вебсервер следующим образом:
сопоставим корректный тип mime для скрипта автоматической настройки с
расширением .dat (добавим в конфиг веб-сервера строку):
#vi /etc/apache2/httpd.conf
AddType application/x-ns-proxy-autoconfig .dat
$sudo /etc/init.d/apache2 reload
$sudo touch /var/www/wpad.dat
$sudo nano /var/www/wpad.dat
function FindProxyForURL(url, host)
{
if (isInNet(host, 192.168.1.0, 255.255.255.0))
return DIRECT;
else
return PROXY 192.168.1.77:3180;
}
Скрипт будет передаваться браузеру при его запуске. Если запрошенный адрес
является локальным (сервер находится в вашей сети), то запрос к этому адресу
пойдет минуя прокси-сервер, в то время как все прочие запросы будут им
обработаны.
В Internet Explorer выставляется Сервис-Свойства
Обозревателя-Подключения-Настройка сети-
Использовать сценарий автоматической
настройки-Адрес:http://192.168.1.77/wpad.dat
Изврат конечно, через политики - проще.
и теперь, заходя, например на http://www.whatismyip.com/ видим
Your IP Address Is: 78.25.39.xx
Possible Proxy Detected: 1.1 localhost (squid/3.1.3)
теперь получается в squid.conf указать http_port 3128 (убрать http_port
192.168.1.77:3180 transparent ),
squid3 -k reconfigure
а по поводу авторизации пользователей по группам из Active Directory куда
дальше копать?
google://squid+AD+ntlm_auth
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/g24dc7-dob@kenga.kmv.ru
Re: прозрачное прок сирование -SQUID и авто ризация
Sapytsky Ilya пишет: -куть windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd. У меня вполне нормально сидят пользователи с терминального сервера в инете и инет доступен только тем, кому рассказано в AD. Я что-то неправильно делал? ХЗ. Если windind'ом спросить у контроллера домена, кто сидит на данном IP (конец цытаты) - что контроллер должен ответить (в случае, когда это таки терминальный сервер с сотней пользователей)? Или вы ntlm_auth использовали? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf4cc72.6090...@gmail.com
Re: Re: прозрачное проксирование -SQUID и авторизация
. ] Это не возможно. ] Смысл прозрачного проксирования при авторизации пропадает. ] ну а ntlm авторизация и подразумевает, что пароль у вас спрашиваться не будет, ] а будет браться из AD. ] ] Всё-таки окончательно не понимаю почему невозможно (( когда пользователь зарегистрировался в Windows-домене - Internet Explorer автоматически принимает логин, пароль и домен, под которыми он в домене зарегистрировался... Т.о. с помощью NTLM-авторизации можно автоматически регистрироваться в SQUID без ручного подтверждения логина и пароля. BR, Чертов Вячеслав. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/307191274177...@web138.yandex.ru
Re: прозрачное прокси рование -SQUID и авториза ция
C S wrote: Подскажите плз, да или нет, возможна ли авторизация пользователей, при которой войдя в домен в Internet Explorer не нужно будет указывать логин и пароль при прозрачном проксировании я думаю Вам нужно что-то вроде этого: http://homepage.ntlworld.com./jonathan.deboynepollard/FGA/web-browser-auto-proxy-configuration.html -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf270c1.8050...@yandex.ru
Re: Re: прозрачное проксирование -SQUID и авторизация
] я думаю Вам нужно что-то вроде этого: ] http://homepage.ntlworld.com./jonathan.deboynepollard/FGA/web-browser-auto-proxy-configuration.html ] действительно, насколько я понимаю это именно то, что нужно... я вообще верно представляю ситуацию или где-то есть дополнения: зачем нужен именно прозрачный прокси? Чтобы явно не прописывать настройки у каждого юзера и юзер в большинстве своём и не догадывался, что ходит через прокси, isn't it? Если только для этого, то можно настроить автоопределение прокси. Это делается на сервере DNS посредством WPAD. или настроить политиками безопасности на виндовом сервере принудительные параметры прокси Всё верно или я что-то пропустил? -- BR, Чертов Вячеслав. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/324241274180...@web122.yandex.ru
Re: прозрачное прокси рование -SQUID и авториза ция
C S пишет: ] я думаю Вам нужно что-то вроде этого: ] http://homepage.ntlworld.com./jonathan.deboynepollard/FGA/web-browser-auto-proxy-configuration.html ] действительно, насколько я понимаю это именно то, что нужно... я вообще верно представляю ситуацию или где-то есть дополнения: зачем нужен именно прозрачный прокси? Чтобы явно не прописывать настройки у каждого юзера и юзер в большинстве своём и не догадывался, что ходит через прокси, isn't it? Если только для этого, то можно настроить автоопределение прокси. Это делается на сервере DNS посредством WPAD. или настроить политиками безопасности на виндовом сервере принудительные параметры прокси Всё верно или я что-то пропустил? -- BR, Чертов Вячеслав. Я использую схему с wpad. Работает без проблем. Есть свои нюансы, но они решаемы. -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf27df3.3080...@korona-auto.com
Re: прозрачное прок сирование -SQUID и авто ризация
Andrey Melnikoff пишет: C S ll75...@yandex.ua wrote: День добрый, squid работает в прозрачном режиме в связке c WCCP на cisco-1811. Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что при прозрачном проксировании авторизация невозможна и баста ..(( причины никто не указал..(может плохо гуглил...) Всё очень просто - прокся не знает, это для нее пароль или для проксируемого сайта. Подскажите плз, да или нет, возможна ли авторизация пользователей, при которой войдя в домен в Internet Explorer не нужно будет указывать логин и пароль при прозрачном проксировании windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bf29839.5040...@gmail.com
Re: прозрачное проксирование -SQUID и авторизация
Игорь Чумак ichumak2...@gmail.com wrote: squid работает в прозрачном режиме в связке c WCCP на cisco-1811. Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что при прозрачном проксировании авторизация невозможна и баста ..(( причины никто не указал..(может плохо гуглил...) Всё очень просто - прокся не знает, это для нее пароль или для проксируемого сайта. Подскажите плз, да или нет, возможна ли авторизация пользователей, при которой войдя в домен в Internet Explorer не нужно будет указывать логин и пароль при прозрачном проксировании windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. Тогда конфигурацию с wpad применять. Или через групповые политики. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/l1rac7-a1c@kenga.kmv.ru
Re: прозрачное проксир ование -SQUID и авторизация
On Tue, May 18, 2010 at 12:28:41PM +0400, C S wrote: День добрый, squid работает в прозрачном режиме в связке c WCCP на cisco-1811. Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что при прозрачном проксировании авторизация невозможна и баста ..(( причины никто не указал..(может плохо гуглил...) Причины в области безопасности: злодейский сервер может выслать клиенту код 407 и выкатить Proxy-Authenticate с риалмом очень похожим на домашний риалм юзера, так что обманутый юзер отдаст свой нейм и домашний пароль. :) Чтобы не допустить этого, надо блокировать на прокси сквозные запросы авторизации. Но и это крайне рискованно: достаточно случайно отключить прозрачное проксирование, как юзеры ломанутся во внешний мир со своими паролями. Такой случайностью может стать привоз ноута из офиса домой: при выходе из хибернейта браузер не знает, что сообщать каждому серверу интернета офисный нейм и пароль хозяина больше не нужно. :))) В общем, нюансов там много, а шансы растерять пароли велики, поэтому производители браузеров дружно стали трактовать статус 407 в ответах на прямые запросы как generic error. Так оно и засохло. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100518170215.ga19...@protva.ru
Re: прозрачное проксирование -SQUID и авторизация
18 мая 2010 г. 17:38 пользователь Игорь Чумак ichumak2...@gmail.comнаписал: Andrey Melnikoff пишет: C S ll75...@yandex.ua wrote: День добрый, squid работает в прозрачном режиме в связке c WCCP на cisco-1811. Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что при прозрачном проксировании авторизация невозможна и баста ..(( причины никто не указал..(может плохо гуглил...) Всё очень просто - прокся не знает, это для нее пароль или для проксируемого сайта. Подскажите плз, да или нет, возможна ли авторизация пользователей, при которой войдя в домен в Internet Explorer не нужно будет указывать логин и пароль при прозрачном проксировании windind'ом спросить у контроллера домена, кто сидит на данном IP и пускать в зависимости от этого ? Не годится. На данном IP сидит терминальный сервер с сотней пользователей. толи я что-то не понимаю, толи Вы не знаете принципов работы winbindd. У меня вполне нормально сидят пользователи с терминального сервера в инете и инет доступен только тем, кому рассказано в AD. Я что-то неправильно делал?
Re: STC - SQUID Traffic Counter
А к LDAP'у эта штука прикручивается? 14.05.10, 12:43, Вереск evgeny_ver...@mail.ru: Есть довольно любопытная система учёта траффика, живёт вот тут: http://stc.nixdev.org/ В данный момент умеет довольно много, но авторам удаётся лишь поддерживать проект в боле-мене живом состоянии, на развитие уже не хватает времени. Может быть, кто-нибудь заинтересуется этой системой и продолжит развитие? Особенности: 1. Отсутствие БД, исполняемого бинарника 2. Работа на Perl (собственно всё это - набор скриптов) 3. Чрезвычайно хорошая скорость работы 4. Простота установки 5. Паразитирует на SQUID (SQUID2.x, SQUID3), SquidGuard, SARG 6. Есть наработки (патчи) для подсчёта непроксированного трафика (килл-фича, однако!) 7. Без привязки к дистрибутиву 8. Возможности, сравнимые с SAMS 9. Более удачный Web-морд, чем у SAMS 10. Очень терпеливый разработчик :-) Сам я в Perl мало что понимаю, учиться есть в планах, но пока дойду до рабочего состояния - облезу :-) Пока учусь это дело в пакет запаковывать и просто ставить. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52291273822...@web147.yandex.ru
Re: STC - SQUID Traffic Counter
Да, есть патч. Но надо включить его в основную ветку, на сколько я знаю. Основной вид авторизации - по логин-паролю. Но LDAP\AD есть примеры работы. 14.05.2010 11:39, Bykanov Sergey пишет: А к LDAP'у эта штука прикручивается? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bed0271.3090...@mail.ru
STC - SQUID Traffic Counter
Есть довольно любопытная система учёта траффика, живёт вот тут: http://stc.nixdev.org/ В данный момент умеет довольно много, но авторам удаётся лишь поддерживать проект в боле-мене живом состоянии, на развитие уже не хватает времени. Может быть, кто-нибудь заинтересуется этой системой и продолжит развитие? Особенности: 1. Отсутствие БД, исполняемого бинарника 2. Работа на Perl (собственно всё это - набор скриптов) 3. Чрезвычайно хорошая скорость работы 4. Простота установки 5. Паразитирует на SQUID (SQUID2.x, SQUID3), SquidGuard, SARG 6. Есть наработки (патчи) для подсчёта непроксированного трафика (килл-фича, однако!) 7. Без привязки к дистрибутиву 8. Возможности, сравнимые с SAMS 9. Более удачный Web-морд, чем у SAMS 10. Очень терпеливый разработчик :-) Сам я в Perl мало что понимаю, учиться есть в планах, но пока дойду до рабочего состояния - облезу :-) Пока учусь это дело в пакет запаковывать и просто ставить. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bece2e4.5020...@mail.ru
Re: Замена SQUID+SAMS
29 апреля 2010 г. 9:42 пользователь Вереск evgeny_ver...@mail.ru написал: но альтернативы SAMS не встречал пока... По идее, если будет авторизация в LDAP, то SAMS не нужен как пользователе-управлялка. А вот чем ограничить траф наадо думать squidguard? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd92a39.9080...@mail.ru
Замена SQUID+SAMS
Добрый день, многоуважаемый ALL! Сейчас у меня стоит Proxy SQUID и SAMS, ставил не я, а вот теперь надо это дело перенести на другое железо, включая HDD. Вот и подумал под шумок, а не заменить ли мне эту связку чем-нибудь более другим. А то выглядит это всё монструозно-костыльно. Требования: 1. Проксирование HTTP\HTTPS\FTP, непрозрачное 2. Авторизация по IP (потом - в LDAP) 3. Группы пользователей: разрешено всё, разрешено всё кроме blacklist, разрешено только whitelist 4. Ограничение объёма трафика пользователям, хорошо бы еще и скорость зарезать. 5. Желательно логгирование пользователь\где ходил\что качал -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd92457.8080...@mail.ru
Re: Замена SQUID+SAMS
29.04.10, 10:16, Вереск evgeny_ver...@mail.ru: ] Добрый день, многоуважаемый ALL! ] ] Сейчас у меня стоит Proxy SQUID и SAMS, ставил не я, а вот теперь надо ] это дело перенести на другое железо, включая HDD. Вот и подумал под ] шумок, а не заменить ли мне эту связку чем-нибудь более другим. А то ] выглядит это всё монструозно-костыльно. ] Требования: ] 1. Проксирование HTTP\HTTPS\FTP, непрозрачное ] 2. Авторизация по IP (потом - в LDAP) ] 3. Группы пользователей: разрешено всё, разрешено всё кроме blacklist, ] разрешено только whitelist ] 4. Ограничение объёма трафика пользователям, хорошо бы еще и скорость ] зарезать. ] 5. Желательно логгирование пользователь\где ходил\что качал ] ] ] сейчас пытаюсь настроить SQUID+WCCP+TPROXY = прозрачный прокси (http://habrahabr.ru/blogs/sysadm/86031/) но альтернативы SAMS не встречал пока... может на freshmeat.net что-то появилось... BR -- Чертов Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/82941272522...@web146.yandex.ru
Re: Замена SQUID+SAMS
но альтернативы SAMS не встречал пока... По идее, если будет авторизация в LDAP, то SAMS не нужен как пользователе-управлялка. А вот чем ограничить траф наадо думать -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd92a39.9080...@mail.ru
Re: squid: запретить скач ивать exe-файлы
Чумак Игорь wrote: 25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. расширение может быть любым - pif, scr, dll, ... плюс есть дропперы - которые докачивают недостающие части по http, для них расширение совершенно роли не играет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd5a061.1010...@yandex.ru
Re: squid: запретить ск ачивать exe-файлы
Ed пишет: Чумак Игорь wrote: 25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. расширение может быть любым - pif, scr, dll, ... В конфигах того же dansguardian это учтено плюс есть дропперы - которые докачивают недостающие части по http, для них расширение совершенно роли не играет. Я бы на месте аффтаров недостающие части ещё и шифровал - сигнатурный анализ сразу идёт лесом. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd5a6c6.70...@gmail.com
squid: запретить скачив ать exe-файлы
антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd436e3.9020...@yandex.ru
Re: squid: запретить скач ивать exe-файлы
25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. Кроме того, зараза с расширением .vbs тоже бывает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd44d60.50...@gmail.com
Re: squid,разделение п ользователей на кла ссы
06.04.2010 20:16, Roman Makurin пишет: Посмотрел, ncsa модуль, не умеет присваивать группы пользователям, так вот, собственно и вопрос, как можно получить желаемое ? А что мешает написать свой хелпер к сквиду? Я в свое время именно так и сделал - написал на perl хелперы авторизации, статуса и группы. Данные хранятся в MySQL. В принципе в твоей задаче можно ограничиться только одним хелпером (совместить авторизацию и группу) -- With best regards, Alexander Wolf -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bbd6581.3090...@uni-altai.ru
squid,разделени е пользователей на класс ы
Всем привет! Проблема следующего характера, есть squid, dhcp и микро-сеть на ~10 компов. Формально у squid существует два типа ограничений. Ограничения применяются на основе ncsa аутентификации. Сейчас назрела необходимость всё это видоизменить, и сразу встал вопрос более простой управляемости, первое что пришло на ум - создать два типа групп согласно которым и применять ограничения, вот. Посмотрел, ncsa модуль, не умеет присваивать группы пользователям, так вот, собственно и вопрос, как можно получить желаемое ? Если есть какие-то более удачные решения в данном случае, буду рад узнать о них :) Спасибо -- If you think of MS-DOS as mono, and Windows as stereo, then Linux is Dolby Digital and all the music is free... pgpWQDiMJ9nwG.pgp Description: PGP signature
Re: squid,разделение пользовате лей на классы
6 апреля 2010 г. 19:16 пользователь Roman Makurin dro...@gmail.com написал: Посмотрел, ncsa модуль, не умеет присваивать группы пользователям, так вот, собственно и вопрос, как можно получить желаемое ? Если есть какие-то более удачные решения в данном случае, буду рад узнать о них :) squidGuard работает нормально. -- Stanislav
squid, выборочное принуди тельно кеширование дина мических сайтов
Привет. Для принудительно кеширования одного полезного мне сайта, к сожалению сделанного на говн.вики движке, добавил в squid.conf: refresh_pattern ^http://ruby-gnome2.sourceforge.jp 144020% 10080 override-expire override-lastmod ignore-no-cache и чего бы не хотелось бы делать для всех сайтов, но для быстрого результата закомментил # hierarchy_stoplist cgi-bin ? Смотрю в логи и вижу, что для дин. контента, типа http://ruby-gnome2.sourceforge.jp/hiki.cgi?Ruby-GNOME2+API+Reference все равно TCP_MISS Можно ли вообще? И что я не так ...? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
-[ cybr...@yandex.ru 18/11/2009 20:49 (GMT +3) On Tue, 17 Nov 2009 15:35:03 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Запустить несколько сквидов и отдавать каждой подсети свой. Правда кэширование несколько ухудшится. Можно с парентами поиграться попробовать, но маловероятно. -- Best regards, Mikhail xmpp: ant...@stopicq.ru irc: Bart-mdv- @ SolarNet SolarNet: http://www.solarnet.ru/ signature.asc Description: This is a digitally signed message part.
Re: squid tcp_outgoing_address + dhcp
On Wed, 18 Nov 2009 20:49:33 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Никак, предоставить эту возможность ядру. а ядро разве не будет считать пакет прошедший через squid исходящим от самого шлюза? А для записи в другие таблицы - использовать хуки dhclient'а Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом использовать сохраненное значение в exit-hook. не подскажете толковых текстов на русском про хуки? Это небольшой набор скриптов, какая тут может быть документация? man dhclient-script, и другая документация из dhcp3-client. и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы man pppd раздел scripts. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
