forum.opennet.ru - "Помогите закрыть дырку в SQUID, SOS!!!" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите закрыть дырку в SQUID, SOS!!!"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите закрыть дырку в SQUID, SOS!!!"
Сообщение от alexsf (ok) on 29-Мрт-07, 16:12
У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что проходят все кому не лень. Хотя должны ходить только те, кто попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess. Вот конфиг сквида: ############## ### GLOBAL ### ############## cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_dir ufs /var/cache/squid 16384 16 256 forwarded_for xxx.xxx.xxx.xxx cache_mgr legion@proxy.asdkalsdkasd.com.ua quick_abort_min 0 KB quick_abort_max 0 KB http_port 8080 ###################### ##### AUTH_PARAM ##### ###################### auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 10 auth_param ntlm max_challenge_reuses 0 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours ################# ###### ACL ###### ################# acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_objects acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 5190 acl Safe_ports port 21 70 80 210 280 443 488 563 591 777 901 1025-65535 acl purge method PURGE acl CONNECT method CONNECT acl bad_url url_regex "/etc/squid/bad_url" acl microsoft url_regex "/etc/squid/microsoft" acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$ .mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$ acl adLowSpeed proxy_auth REQUIRED LowInternetAccess acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess acl adHighSpeed proxy_auth REQUIRED HighInternetAccess ######################### ###### HTTP_ACCESS ###### ######################### never_direct allow all http_access allow manager localhost http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow adLowSpeed !bad_url !bad_files !microsoft http_access allow adMediumSpeed !bad_url !bad_files !microsoft http_access allow adHighSpeed !bad_url !bad_files !microsoft http_access deny all ######################### ###### DELAY_POOLS ###### ######################### #delay_pools 3 #delay_class 1 1 #delay_parameters 1 5000/5000 #delay_access 1 allow adLowSpeed #delay_access 1 deny all #delay_class 2 1 #delay_parameters 2 15000/15000 #delay_access 2 allow adMediumSpeed #delay_access 2 deny all #delay_class 3 1 #delay_parameters 3 50000/50000 #delay_access 3 allow adHighSpeed #delay_access 3 deny all Проходят все пользователи домена, которые хотят, независимо от того, в какой группе состоят. Помогите, где дырка!!!! Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться в живых :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Помогите закрыть дырку в SQUID, SOS!!!, ncp, 17:07 , 29-Мрт-07, (1)
Помогите закрыть дырку в SQUID, SOS!!!, Kliver, 18:04 , 29-Мрт-07, (2)

Помогите закрыть дырку в SQUID, SOS!!!, alexsf, 18:06 , 29-Мрт-07, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "Помогите закрыть дырку в SQUID, SOS!!!"

Сообщение от ncp (??) on 29-Мрт-07, 17:07

>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
>
>#########################
>###### HTTP_ACCESS ######
>#########################
>
>never_direct allow all
>
>http_access allow manager localhost
>http_access allow purge localhost
>http_access deny purge
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>http_access allow localhost
>
>http_access allow adLowSpeed !bad_url !bad_files !microsoft
>http_access allow adMediumSpeed !bad_url !bad_files !microsoft
>http_access allow adHighSpeed !bad_url !bad_files !microsoft
>http_access deny all
>
>
>#########################
>###### DELAY_POOLS ######
>#########################
>
>#delay_pools 3
>
>#delay_class 1 1
>#delay_parameters 1 5000/5000
>#delay_access 1 allow adLowSpeed
>#delay_access 1 deny all
>
>#delay_class 2 1
>#delay_parameters 2 15000/15000
>#delay_access 2 allow adMediumSpeed
>#delay_access 2 deny all
>
>#delay_class 3 1
>#delay_parameters 3 50000/50000
>#delay_access 3 allow adHighSpeed
>#delay_access 3 deny all
>
>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)

Уже должны были порезать... Жаль...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите закрыть дырку в SQUID, SOS!!!"

Сообщение от Kliver on 29-Мрт-07, 18:04

>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
А где написано, что здесь можно писать имя группы AD? Тут только имена пользоватлей или REQUIRED без всяких параметров.
Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
или смотри https://www.opennet.ru/tips/info/1007.shtml
>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите закрыть дырку в SQUID, SOS!!!"

Сообщение от alexsf (ok) on 29-Мрт-07, 18:06

>А где написано, что здесь можно писать имя группы AD? Тут только
>имена пользоватлей или REQUIRED без всяких параметров.
>Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
>или смотри https://www.opennet.ru/tips/info/1007.shtml
Спасибо большое. Прав на все 100. Помогло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите закрыть дырку в SQUID, SOS!!!"
Сообщение от ncp (??) on 29-Мрт-07, 17:07
>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что >проходят все кому не лень. Хотя должны ходить только те, кто >попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess. > >Вот конфиг сквида: > >############## >### GLOBAL ### >############## > >cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest >hierarchy_stoplist cgi-bin ? >acl QUERY urlpath_regex cgi-bin \? >no_cache deny QUERY >cache_dir ufs /var/cache/squid 16384 16 256 >forwarded_for xxx.xxx.xxx.xxx >cache_mgr legion@proxy.asdkalsdkasd.com.ua >quick_abort_min 0 KB >quick_abort_max 0 KB >http_port 8080 > >###################### >##### AUTH_PARAM ##### >###################### > >auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp >auth_param ntlm children 10 >auth_param ntlm max_challenge_reuses 0 > >auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic >auth_param basic children 10 >auth_param basic realm Squid proxy-caching web server >auth_param basic credentialsttl 2 hours > >################# >###### ACL ###### >################# > >acl all src 0.0.0.0/0.0.0.0 >acl manager proto cache_objects >acl localhost src 127.0.0.1/255.255.255.255 >acl SSL_ports port 443 563 5190 >acl Safe_ports port 21 70 80 210 280 443 488 563 591 >777 901 1025-65535 >acl purge method PURGE >acl CONNECT method CONNECT > >acl bad_url url_regex "/etc/squid/bad_url" >acl microsoft url_regex "/etc/squid/microsoft" >acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$ >.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$ > >acl adLowSpeed proxy_auth REQUIRED LowInternetAccess >acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess >acl adHighSpeed proxy_auth REQUIRED HighInternetAccess > >######################### >###### HTTP_ACCESS ###### >######################### > >never_direct allow all > >http_access allow manager localhost >http_access allow purge localhost >http_access deny purge >http_access deny !Safe_ports >http_access deny CONNECT !SSL_ports >http_access allow localhost > >http_access allow adLowSpeed !bad_url !bad_files !microsoft >http_access allow adMediumSpeed !bad_url !bad_files !microsoft >http_access allow adHighSpeed !bad_url !bad_files !microsoft >http_access deny all > > >######################### >###### DELAY_POOLS ###### >######################### > >#delay_pools 3 > >#delay_class 1 1 >#delay_parameters 1 5000/5000 >#delay_access 1 allow adLowSpeed >#delay_access 1 deny all > >#delay_class 2 1 >#delay_parameters 2 15000/15000 >#delay_access 2 allow adMediumSpeed >#delay_access 2 deny all > >#delay_class 3 1 >#delay_parameters 3 50000/50000 >#delay_access 3 allow adHighSpeed >#delay_access 3 deny all > >Проходят все пользователи домена, которые хотят, независимо от того, в какой группе >состоят. Помогите, где дырка!!!! >Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться >в живых :) Уже должны были порезать... Жаль...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Помогите закрыть дырку в SQUID, SOS!!!"
Сообщение от Kliver on 29-Мрт-07, 18:04
>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что >проходят все кому не лень. Хотя должны ходить только те, кто >попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess. > >Вот конфиг сквида: > >############## >### GLOBAL ### >############## > >cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest >hierarchy_stoplist cgi-bin ? >acl QUERY urlpath_regex cgi-bin \? >no_cache deny QUERY >cache_dir ufs /var/cache/squid 16384 16 256 >forwarded_for xxx.xxx.xxx.xxx >cache_mgr legion@proxy.asdkalsdkasd.com.ua >quick_abort_min 0 KB >quick_abort_max 0 KB >http_port 8080 > >###################### >##### AUTH_PARAM ##### >###################### > >auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp >auth_param ntlm children 10 >auth_param ntlm max_challenge_reuses 0 > >auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic >auth_param basic children 10 >auth_param basic realm Squid proxy-caching web server >auth_param basic credentialsttl 2 hours > >################# >###### ACL ###### >################# > >acl all src 0.0.0.0/0.0.0.0 >acl manager proto cache_objects >acl localhost src 127.0.0.1/255.255.255.255 >acl SSL_ports port 443 563 5190 >acl Safe_ports port 21 70 80 210 280 443 488 563 591 >777 901 1025-65535 >acl purge method PURGE >acl CONNECT method CONNECT > >acl bad_url url_regex "/etc/squid/bad_url" >acl microsoft url_regex "/etc/squid/microsoft" >acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$ >.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$ > >acl adLowSpeed proxy_auth REQUIRED LowInternetAccess >acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess >acl adHighSpeed proxy_auth REQUIRED HighInternetAccess А где написано, что здесь можно писать имя группы AD? Тут только имена пользоватлей или REQUIRED без всяких параметров. Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну или смотри https://www.opennet.ru/tips/info/1007.shtml >Проходят все пользователи домена, которые хотят, независимо от того, в какой группе >состоят. Помогите, где дырка!!!! >Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться >в живых :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите закрыть дырку в SQUID, SOS!!!"
	Сообщение от alexsf (ok) on 29-Мрт-07, 18:06
	>А где написано, что здесь можно писать имя группы AD? Тут только >имена пользоватлей или REQUIRED без всяких параметров. >Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну >или смотри https://www.opennet.ru/tips/info/1007.shtml Спасибо большое. Прав на все 100. Помогло.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]