The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCSA"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCSA"
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 27-Янв-03, 15:41  (MSK)
Я уже неделю бражу в инете в поисках помощи, собираю документацию и всё что связано с Squid-ом, но всё тщетно. НЕРАБОТАЕТ! Помогите пожалуйста, что я делаю не так! Всё вродебы создал, путе все правильные, даже HTPASSWD утилитой  пароли внес, но .... Даже и не пахнет работой...
Мне нужно, чтобы пользователи моей сети заходили каждый со своим поролем и именем в инет. Хотябы так для начала...

Или хотябы рабочий листинг вышлите на мыло мне для версии 2.5.

Вот мой листинг squid.conf

# #
http_port 3128

#  TAG: https_port
# Note: This option is only available if Squid is rebuilt with the
cache_mem 8 MB

#  TAG: cache_swap_low (percent, 0-100)
#  TAG: cache_swap_high (percent, 0-100)
cache_dir ufs /usr/local/squid/var/cache 100 16 256

#  TAG: cache_access_log
# Logs the client request activity.  Contains an entry for
# every HTTP and ICP queries received. To disable, enter "none".
cache_access_log /usr/local/squid/var/logs/access.log

# output,  Full debugging (level 9) can result in a very large
# log file, so be careful.  The magic word "ALL" sets debugging
# levels for all sections.  We recommend normally running with
# "ALL,1".
# debug_options ALL,1

#  TAG: log_fqdn on|off
# Turn this on if you wish to log fully qualified domain names
# in the access.log. To do this Squid does a DNS lookup of all
# IP's connecting to it. This can (in some situations) increase
# latency, which makes your cache seem slower for interactive
# browsing.
# log_fqdn off

#  TAG: client_netmask
# A netmask for client addresses in logfiles and cachemgr output.
# Change this to protect the privacy of your cache clients.
# A netmask of will log all IP's in that range with
# the last digit set to '0'.
# client_netmask

# -----------------------------------------------------------------------------

#  TAG: ftp_user
# If you want the anonymous login password to be more informative
# (and enable the use of picky ftp servers), set this to something
# reasonable for your domain, like
# The reason why this is domainless by default is that the
# request can be made on the behalf of a user in any domain,
# depending on how the cache is used.
# Some ftp server also validate that the email address is valid
# (for example
# ftp_user Squid@

#  TAG: ftp_list_width
# Sets the width of ftp listings. This should be set to fit in
# the width of a standard browser. Setting this too small
# can cut off long filenames when browsing ftp sites.
# ftp_list_width 32

#  TAG: ftp_passive
# If your firewall does not allow Squid to use passive
# connections, then turn off this option.
# ftp_passive on

#  TAG: ftp_sanitycheck
# For security and data integrity reasons Squid by default performs
# sanity checks of the addresses of FTP data connections ensure the
# data connection is to the requested server. If you need to allow
# FTP connections to servers using another IP address for the data
# connection then turn this off.
# === Parameters for the basic scheme follow. ===
# "program" cmdline
# Specify the command for the external authenticator.  Such a
# program reads a line containing "username password" and replies
# "OK" or "ERR" in an endless loop.  If you use an authenticator,
# make sure you have 1 acl of type proxy_auth.  By default, the
# authenticate_program is not used.
# If you want to use the traditional proxy authentication,
# jump over to the ../auth_modules/NCSA directory and
# type:
# % make
# % make install
# Then, set this line to something like
auth_param basic program /usr/local/squid/libexec/ncsa_auth /usr/local/squid/etc/passwd
# === NTLM scheme options follow ===
# "program" cmdline
# Specify the command for the external ntlm authenticator.
# Such a program reads a line containing the uuencoded NEGOTIATE
# and replies with the ntlm CHALLENGE, then waits for the
# response and answers with "OK" or "ERR" in an endless loop.
# If you use an ntlm authenticator, make sure you have 1 acl
# of type proxy_auth.  By default, the ntlm authenticator_program
# is not used.
# auth_param ntlm program /usr/local/squid/bin/ntlm_auth
# "children" numberofchildren
# The number of authenticator processes to spawn (no default).
# If you start too few Squid will have to wait for them to
# process a backlog of credential verifications, slowing it
# down. When crendential verifications are done via a (slow)
# network you are likely to need lots of authenticator
# processes.
# auth_param ntlm children 5
# "max_challenge_reuses" number
# The maximum number of times a challenge given by a ntlm
# authentication helper can be reused. Increasing this number
# increases your exposure to replay attacks on your network.
# 0 means use the challenge only once.  (disable challenge
# caching) See max_ntlm_challenge_lifetime for more information.
# auth_param ntlm max_challenge_reuses 0
# "max_challenge_lifetime" timespan
# The maximum time period that a ntlm challenge is reused
# over.  The actual period will be the minimum of this time
# AND the number of reused challenges.
# auth_param ntlm max_challenge_lifetime 2 minutes
#Recommended minimum configuration:
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 2 minutes
#auth_param basic program <uncomment and complete this line>
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#  TAG: authenticate_cache_garbage_interval
# The time period between garbage collection across the
# username cache.  This is a tradeoff between memory utilisation
# (long intervals - say 2 days) and CPU (short intervals -
# say 1 minute). Only change if you have good reason to.
# authenticate_cache_garbage_interval 1 hour

#  TAG: authenticate_ttl
# The time a user & their credentials stay in the logged in
# user cache since their last request. When the garbage
# interval passes, all user credentials that have passed their
# TTL are removed from memory.
# used.
#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Sets a upper limit on how far into the the file a Range request
# may be to cause Squid to prefetch the whole file. If beyond this
# limit then Squid forwards the Range request as it is and the result
# is NOT cached.
# This is to stop a far ahead range request (lets say start at 17MB)
# from making Squid fetch the whole object up to that point before
# sending anything to the client.
# A value of -1 causes Squid to always fetch the object from the
# beginning so that it may cache the result. (2.0 style)
# A value of 0 causes Squid to never fetch more than the
# client requested. (default)
# range_offset_limit 0 KB

# shutdown_lifetime 30 seconds

# -----------------------------------------------------------------------------

#  TAG: acl
#acl javascript rep_mime_type -i ^application/x-javascript$
#Recommended minimum configuration:
acl all src
acl manager proto cache_object
acl localhost src
acl to_localhost dst
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

#  TAG: http_access
# Allowing or Denying access based on defined access lists
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
# NOTE on default values:
# If there are no "access" lines present, the default is to deny
# the request.
# If none of the "access" lines cause a match, the default is the
# opposite of the last line in the list.  If the last line was
# deny, then the default is allow.  Conversely, if the last line
# is allow, the default will be deny.  For these reasons, it is a
# good idea to have an "deny all" or "allow all" entry at the end
# of your access lists to avoid potential confusion.
# http_access deny all
#Recommended minimum configuration:
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

# Exampe rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src
#http_access allow our_networks

# And finally deny all other access to this proxy
http_access deny all

#  TAG: http_reply_access
#        Allow replies to client requests. This is complementary to http_access.
#        http_reply_access allow|deny [!] aclname ...
#        NOTE: if there are no access lines present, the default is to allow
# all replies
#        If none of the access lines cause a match, then the opposite of the
#        last line will apply. Thus it is good practice to end the rules
#        with an "allow all" or "deny all" entry.
# http_reply_access allow all
#Recommended minimum configuration:
# Insert your own rules here.
# and finally allow by default
http_reply_access allow all

#Allow ICP queries from everyone
icp_access allow all

# ie_refresh off

#  TAG: vary_ignore_expire on|off
# Many HTTP servers supporting Vary gives such objects
# immediate expiry time with no cache-control header
# when requested by a HTTP/1.0 client. This option
# enables Squid to ignore such expiry times until
# HTTP/1.1 is fully implemented.
# WARNING: This may eventually cause some varying
# objects not intended for caching to get cached.
# vary_ignore_expire off

#  TAG: sleep_after_fork (microseconds)
# When this is set to a non-zero value, the main Squid process
# sleeps the specified number of microseconds after a fork()
# system call. This sleep may help the situation where your
# system reports fork() failures due to lack of (virtual)
# memory. Note, however, that if you have a lot of child
# processes, then these sleep delays will add up and your
# Squid will not service requests for some amount of time
# until all the child processes have been started.
# sleep_after_fork 0

Люди добрые помогите, укажите на ошибки....!!!


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от Андрей Искать по авторуВ закладки on 27-Янв-03, 18:30  (MSK)
В acl вставь такую строчку
acl aclname proxy_auth REQUIRED если для всех пользователей равный доступ в интернет если нет то такую
acl aclname proxy_auth asd qwe zxc соответственно для asd qwe zxc

В http_access allow aclname

И будет тебе счастье

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 09:28  (MSK)
А другие ACL отключить надо, эти вот:
#Recommended minimum configuration:
acl all src
acl manager proto cache_object
acl localhost src
acl to_localhost dst
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

Или они нужны?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от Андрей emailИскать по авторуВ закладки on 28-Янв-03, 10:00  (MSK)
>А другие ACL отключить надо, эти вот:
>#Recommended minimum configuration:
>acl all src
>acl manager proto cache_object
>acl localhost src
>acl to_localhost dst
>acl SSL_ports port 443 563
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>Или они нужны?

Минимум при котором у тебя всё будет работать

acl all src
acl aclname proxy_auth REQUIRED аутентификация через NCSA

http_access allow aclname проходят только авторизованые
http_access deny all всем остальным запрет

В acl и http_access если не знаешь что делает отключи.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 11:00  (MSK)
Спасибо, буду пытать!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от junior emailИскать по авторуВ закладки on 28-Янв-03, 11:23  (MSK)
#auth_param basic program <uncomment and complete this line>
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

Для начала неплохо бы указать путь к программному модулю аутентификации и файлу паролей. Например:
auth_param basic program /usr/local/squid/bin/ncsa_auth /usr/local/squid/bin/passwd

Тут укажи, где у тебя чего находится. А потом смотри в детальном выводе cache.log на что ещё ругается. Не забудь раздать права на файлы и каталоги с которыми работает squid. Нужно, чтобы они имели того же пользователя, от которого стартует сам squid.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 12:45  (MSK)
Понятно! Но у меня нет ни где ncsa_auth! Я после установки Squida ещё и в установочном каталоге нашёл типа scr/auth и там сделал make , make install но этого файла так и не появилось, как быть?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от Андрей emailИскать по авторуВ закладки on 28-Янв-03, 13:45  (MSK)
>Понятно! Но у меня нет ни где ncsa_auth! Я после установки Squida
>ещё и в установочном каталоге нашёл типа scr/auth и там сделал
>make , make install но этого файла так и не появилось,
>как быть?
В Squid 2.5 stable1 оно лежит /каталог с дистрибутивом/helpers/ntlm_auth там делаq make , make install
Файл ncsa_auth должен появиться в /каталог где установлен squid/libexec

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 15:11  (MSK)
Огромнейшее спасибо! Авторизация заработала! Но опять новая проблема!!!
Ввожу логин и пароль - всё ОК, меня пускают в локальную сеть! Загружается локальный сайт на другом серваке, а в инет в доступе отказано - пишет! В чём может быть дело?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от Андрей emailИскать по авторуВ закладки on 28-Янв-03, 15:25  (MSK)
>Огромнейшее спасибо! Авторизация заработала! Но опять новая проблема!!!
>Ввожу логин и пароль - всё ОК, меня пускают в локальную сеть!
>Загружается локальный сайт на другом серваке, а в инет в доступе
>отказано - пишет! В чём может быть дело?

Смотри acl и http_access. В http_access имет значение порядок

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 15:59  (MSK)
Нет не помогает!
Вот листинг! Пожалуйста помогите!

acl all src
acl manager proto cache_object
#acl localhost src
#acl to_localhost dst
#acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 563 # https, snews
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http

acl vlankas proxy_auth REQUIRED

#http_access deny all
http_access allow vlankas

Может я чего лишнего отключил?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 28-Янв-03, 16:04  (MSK)
У меня же в свою сеть доступ есть, значит авторизация работает! Может параметор какой активизировать нужно?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от Андрей emailИскать по авторуВ закладки on 28-Янв-03, 16:19  (MSK)
>У меня же в свою сеть доступ есть, значит авторизация работает! Может
>параметор какой активизировать нужно?

Не мучайся, оставь только

acl all src

http_access allow all  

и проверяй постепенно добавляя правила (смотри по безопасности, с этими настройками через squid могут залезть в локалку)
Просмотри firewall

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от KosyrewVlad emailИскать по авторуВ закладки on 29-Янв-03, 06:59  (MSK)
Привет! Отключил авторизацию, всё работает!
А когда подключаю - нет!
Я в ACL-ах написал:
1. acl all src
2. acl all proxy_auth REQUIRED

3. http_access allow all

Но он так ругаеться на 2 строчку, как мне быть - вроде правильно,
а когда пишу например:

1. acl all src
2. acl vlankas proxy_auth REQUIRED

3. http_access allow vlankas

Всё работает внутри, а в инет не пускает?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от tal Искать по авторуВ закладки on 30-Янв-03, 11:51  (MSK)
>Привет! Отключил авторизацию, всё работает!
>А когда подключаю - нет!
>Я в ACL-ах написал:
>1. acl all src
>2. acl all proxy_auth REQUIRED
>3. http_access allow all
>Но он так ругаеться на 2 строчку, как мне быть - вроде
>а когда пишу например:
>1. acl all src
>2. acl vlankas proxy_auth REQUIRED
>3. http_access allow vlankas
>Всё работает внутри, а в инет не пускает?

У меня вот так и все работает.
acl name_acl proxy_auth user_in_passwd_file

http_access allow name_acl
http_access allow localhost
http_access deny all

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от crazyElephant Искать по авторуВ закладки on 31-Янв-03, 08:16  (MSK)
собирай SQUID с таким ключом и у тебя ncsa_auth появиться сразу при компиляции
а воопще то неплохо документацию прочитать там всё описано более чем популярно
иногда помогает
пароль делаешь АПАЧЕВской тулзой htpasswd вроде зовётся
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCS..."
Сообщение от keepver Искать по авторуВ закладки on 31-Янв-03, 09:55  (MSK)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Пожалуйста  помогите непутёвому админу с Squid 2.5 + NCSA"
Сообщение от gluck Искать по авторуВ закладки on 11-Апр-03, 16:32  (MSK)
Ты добавь acl^

acl pas proxy_auth REQUEST
http_access allow pas

кажется так.. посмотри в конфиге, кажется request разрешает всем юзерам из базы юзеров лазить, если они прошли авторизацию.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Inferno Solutions
Hosting by

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру