bombording
25-08-2009, 11:12
Добрый день.
Собран новый proxy сервер на DEBIAN LENNY.
Из компонентов стоит: Samba, winbind, squid, SAMS.
Авторизация: ntlm через winbind который связан с windows 2008 доменом.
Обработчик squid: SAMS.
Всё это дело настроено, всё работает. Юзеров пускает в инет, блокирует доступ к ненужным сайтам, которые задаёшь через SAMS. Ошибок в логах нету. Всё прекрасно.
Но, не работает qip и Magent. При конекте пишет что нужно проверить настройки подключения... и т.д. (галочка ntlm авторизация в qip не помогает). Не помогает даже полный доступ юзеров через sams в интернет. Помогает только http_access allow all но это не вариант, сами понимаете.
Конфиг сквина стандартный... по умолчанию. Единственное SAMS добавляет в определённые поля, свои строчки, но ничего странного в них нету.... это всего лишь списки ненужных сайтов и списки пользователей.
Приведу кусок из конфига, это ацлки и http_access:
# TAG: acl
acl _sams_4a5edcd56a5f3 proxy_auth "/etc/squid/4a5edcd56a5f3.sams"
acl _sams_4a5edd075e65d proxy_auth "/etc/squid/4a5edd075e65d.sams"
acl _sams_4a5edd1d0aa59 proxy_auth "/etc/squid/4a5edd1d0aa59.sams"
acl _sams_4a681076e2751 urlpath_regex -i "/etc/squid/4a681076e2751.sams"
acl _sams_4a68107be8657 urlpath_regex -i "/etc/squid/4a68107be8657.sams"
acl _sams_4a681085c6e14 urlpath_regex -i "/etc/squid/4a681085c6e14.sams"
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# TAG: http_access
http_access allow _sams_4a5edcd56a5f3
http_access allow _sams_4a5edd075e65d !_sams_4a681076e2751 !_sams_4a68107be8657 !_sams_4a681085c6e14
http_access allow _sams_4a5edd1d0aa59 !_sams_4a681076e2751 !_sams_4a68107be8657 !_sams_4a681085c6e14
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
Вот что отображается в логах squid при конекте QIP от пользователя testing.t /var/log/squid/access.log
1251183260.252 0 192.168.7.22 TCP_DENIED/407 1770 CONNECT login.icq.com:443 testing.t NONE/- text/html
1251183260.498 0 192.168.7.22 TCP_DENIED/407 1770 CONNECT login.icq.com:443 testing.t NONE/- text/html
Собран новый proxy сервер на DEBIAN LENNY.
Из компонентов стоит: Samba, winbind, squid, SAMS.
Авторизация: ntlm через winbind который связан с windows 2008 доменом.
Обработчик squid: SAMS.
Всё это дело настроено, всё работает. Юзеров пускает в инет, блокирует доступ к ненужным сайтам, которые задаёшь через SAMS. Ошибок в логах нету. Всё прекрасно.
Но, не работает qip и Magent. При конекте пишет что нужно проверить настройки подключения... и т.д. (галочка ntlm авторизация в qip не помогает). Не помогает даже полный доступ юзеров через sams в интернет. Помогает только http_access allow all но это не вариант, сами понимаете.
Конфиг сквина стандартный... по умолчанию. Единственное SAMS добавляет в определённые поля, свои строчки, но ничего странного в них нету.... это всего лишь списки ненужных сайтов и списки пользователей.
Приведу кусок из конфига, это ацлки и http_access:
# TAG: acl
acl _sams_4a5edcd56a5f3 proxy_auth "/etc/squid/4a5edcd56a5f3.sams"
acl _sams_4a5edd075e65d proxy_auth "/etc/squid/4a5edd075e65d.sams"
acl _sams_4a5edd1d0aa59 proxy_auth "/etc/squid/4a5edd1d0aa59.sams"
acl _sams_4a681076e2751 urlpath_regex -i "/etc/squid/4a681076e2751.sams"
acl _sams_4a68107be8657 urlpath_regex -i "/etc/squid/4a68107be8657.sams"
acl _sams_4a681085c6e14 urlpath_regex -i "/etc/squid/4a681085c6e14.sams"
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# TAG: http_access
http_access allow _sams_4a5edcd56a5f3
http_access allow _sams_4a5edd075e65d !_sams_4a681076e2751 !_sams_4a68107be8657 !_sams_4a681085c6e14
http_access allow _sams_4a5edd1d0aa59 !_sams_4a681076e2751 !_sams_4a68107be8657 !_sams_4a681085c6e14
# Allowing or Denying access based on defined access lists
#
# Access to the HTTP port:
# http_access allow|deny [!]aclname ...
#
#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
Вот что отображается в логах squid при конекте QIP от пользователя testing.t /var/log/squid/access.log
1251183260.252 0 192.168.7.22 TCP_DENIED/407 1770 CONNECT login.icq.com:443 testing.t NONE/- text/html
1251183260.498 0 192.168.7.22 TCP_DENIED/407 1770 CONNECT login.icq.com:443 testing.t NONE/- text/html