1 (2016-02-10 22:16:28 отредактировано sevo44)

Настроил так что разбил на 2 группы пользователей у одних скорость минимальная у других без ограничений

все работает но проблема в том что скорость минимальная и на сайты в локальной сети sad((

и в том что если нет айпи ни какой из групп то скорость идет максимальная а надо чтобы вообще не пускало...

Консоль
[/etc/squid/squid.conf
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl Safe_ports port 777    # Multilingual HTTP
acl Safe_ports port 1025-65535   # Other ports
acl Safe_ports port 631    # CUPS
acl Safe_ports port 210    # WAIS
acl Safe_ports port 873    # RSYNC
acl Safe_ports port 488    # GSS-HTTP
acl Safe_ports port 280    # HTTP-MGMT
acl Safe_ports port 591    # Filemaker
acl Safe_ports port 21    # FTP
acl Safe_ports port 901    # SWAT
acl Safe_ports port 80    # HTTP
acl Safe_ports port 70    # GOPHER
acl SSL_ports port 563    # SNEWS (C)
acl SSL_ports port 443    # HTTPS (C)
acl CONNECT method CONNECT
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports !SSL_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
acl all src 0.0.0.0/0.0.0.0
acl our_networks src 127.0.0.0/8    #localhost
acl our_networks src 192.168.0.1/24    #
acl goodclients src 192.168.0.4 192.168.0.3 192.168.0.5
acl badclients src 192.168.0.2 192.168.0.104
http_access allow our_networks
http_access deny all
delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 allow goodclients
delay_access 1 deny all
delay_access 2 allow badclients
delay_access 2 deny all
delay_parameters 1 -1/-1
delay_parameters 2 16000/16000
http_port 3128 transparent

Проще погасить свет чем разогнать тьму!

2

sevo44, Скорость можно резать через tc. Настроить без ограничений для локалки, а прокси использовать только для доступа.

А вообще это можно сделать и через сквид, но используя ntlm и группы доступа c basic аутентификацией.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

3

sevo44⇓ пишет:

и в том что если нет айпи ни какой из групп то скорость идет максимальная а надо чтобы вообще не пускало...

AD есть в локалке? Если нет, то стоит поднять хотябы для этого. Samba 4 поднимается за 30 минут.

P.S. http_access должен быть ниже чем acl и строчка http_port 3128 transparent делает прокси "прозрачным" и сквиду становится вообще пофигу на все.
З.Ы.Ы. И самое главное. Правила применяются сверху вниз. Если одно отработало, то до конца конфига может никогда и не дойти.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

4

что это за строка? о чем говорит?

Консоль
acl CONNECT method CONNECT

АД в локалке есть

Прокси прозрачный но правила для групп работают вот только на всё!
Что значит через tc? Где поподробней про это почитать?

Проще погасить свет чем разогнать тьму!

5

sevo44, Создай в AD группу для тех кому хочешь дать инет и пусть люди добавленные в эту группу получают доступ в инет. Не надо привязываться к IP, это не верно. Чувак ушел из-за компа, сел другой и уже тоже с инетом.

sevo44⇓ пишет:

Что значит через tc? Где поподробней про это почитать?

https://habrahabr.ru/post/133076/

sevo44⇓ пишет:

Прокси прозрачный но правила для групп работают вот только на всё!

Если настроишь авторизацию через ntlm, то для доменных пользователей тоже будет прокси прозрачный. Для остальных запрос пароля и логина.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

6

Вот смотри мой конфиг сквида на одном предприятии.

http_port 3128

auth_param ntlm children 50

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm  children 25
auth_param ntlm keep_alive off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy MGKB1 BELGOROD
auth_param basic credentialsttl 2 hours

#external_acl_type nt_group children-max=25  children-startup=10  %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
external_acl_type nt_group  %LOGIN /usr/lib64/squid/wbinfo_group.pl

hierarchy_stoplist cgi-bin ?
forward_max_tries 25

coredump_dir /var/spool/squid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#access_log daemon:/var/log/squid/access.log squid

acl manager proto cache_object
acl localhost src 127.0.0.1/32

acl localnet src 192.168.0.0/16
acl inetusers           external nt_group ia
acl insured_user        external nt_group insured
acl SiteMailRu dstdomain health.mail.ru
acl Lab dstdomain lab.vivelasante.ru/WebLab/
acl whitelist url_regex "/etc/squid/Privilegy_list"

#acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 allow inetusers
delay_access 1 deny all
delay_access 2 allow insured_user
delay_access 2 deny all

delay_parameters 1 1250000/1250000  # 10 Mbit/s
delay_parameters 2 1250000/1250000  # 10 Mbit/s

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports whitelist

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports whitelist

http_access allow inetusers
http_access allow insured_user whitelist
http_access allow insured_user SiteMailRu
http_access deny all

http_access allow localnet
http_access deny all
http_access allow localhost
http_access deny all

http_reply_access allow all
icp_access allow all

coredump_dir /var/spool/squid

#Путь к лог-файлу доступа к SQUID(Статистика работы через SQUID)
cache_access_log /var/log/squid/access.log

#Путь к лог-файлу SQUID - в нем события запуска SQUID и дочерних программ
cache_log /var/log/squid/cache.log

# Настроим ротацию логов
logfile_rotate 1
# Отключить удаление параметров передаваемых в URL запросе
strip_query_terms off
logformat squid %ts %6tr %>A %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt

visible_hostname MGKB1-PROXY

error_directory /usr/share/squid/errors/ru
error_default_language ru

cache_mgr dok_star@inbox.ru

Доступ есть только у людей в группах ia и insured. Что бы так работало, надо сервер где у тебя сквид, загнать в домен.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

7

Консоль
acl inetusers           external nt_group ia
acl insured_user        external nt_group insured

как я понял именно это и дает права группам?

acl              - это сама команда
inetusers    - это название для сквида
external     - что это за параметр
nt_group   - это параметр ad  - у меня такой же?
ia               - это группа пользователей

XliN⇓ пишет:

Если настроишь авторизацию через ntlm

Вот с этим тоже пока не понимаю

Проще погасить свет чем разогнать тьму!

8

sevo44, все верно написал. external - это служебное слово сквида.

sevo44⇓ пишет:

XliN⇓ пишет:
Если настроишь авторизацию через ntlm
Вот с этим тоже пока не понимаю

Это протокол авторизации. Т.е. через NTLM у тебя сначала проверяется наличие пользователя, а потом его принадлежность к группе

За это отвечают эти строки

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm  children 25
auth_param ntlm keep_alive off

external_acl_type nt_group  %LOGIN /usr/lib64/squid/wbinfo_group.pl
MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================
Спасибо сказали: sevo441

9

XliN⇓ пишет:

Это протокол авторизации. Т.е. через NTLM

вообщем пока мне туго с этим ... позже вернусь к этой теме
пока у меня стоит срочная задача запускать скрипт sh при старте

Проще погасить свет чем разогнать тьму!

10

XliN⇓ пишет:

AD есть в локалке? Если нет, то стоит поднять хотябы для этого. Samba 4 поднимается за 30 минут.

Помогите пожалуйста поднять!!! У самого не получается никак

Проще погасить свет чем разогнать тьму!

11

sevo44⇓ пишет:

Помогите пожалуйста поднять!!! У самого не получается никак

Ты же сказал что у тебя контроллер домена есть в сети. Тебе просто сервер, где стоит squid, нужно ввести в домен и настраивать его.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

12

XliN⇓ пишет:

Ты же сказал что у тебя контроллер домена есть в сети.

да есть но ситуация поменялась smile перепробовав многие варианты
я опять решил попробовать поработать с altlinux
к моей радости у меня всё получилось и даже главное условие перехода на линух (стабильная работа с 1с 8.3 тут тоже удавалось запустить и работать но вот настроить сохранение документов в файл я так и не осилил)
а теперь узнаю замечательную новость что теперь с 8 новой версией они делают её платной для предприятий.. для дома они конечно все бесплатно оставляют а для организации только за деньги....
пока конечно они все это так прощупывают и никакой официальной информации нет
кроме того как на сайте в лицензии сделали изменения.
но с ними я уже не хочу быть для меня они всегда были как сторонники и распространители СПО в школе и тд... а теперь даже не знаю как и сказать

И другие я пробовал варианты но Магия это тот дистрибутив где почти все работает, где все прозрачно и понятно
вообщем теперь я на 90 процентов с Магией

Потому и встал вопрос с настройкой AD

Проще погасить свет чем разогнать тьму!

13

Как насчет помощи?

Проще погасить свет чем разогнать тьму!

14

sevo44, Как поднять AD на altlinux  я без понятия. Смотри их документацию. Вот если на CentOS - то без проблем.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

15

XliN⇓ пишет:

Как поднять AD на altlinux  я без понятия. Смотри их документацию. Вот если на CentOS - то без проблем.

Не не не только не на altlinux... только не они

А на Magian не стоит? или там это делать сложней?

Проще погасить свет чем разогнать тьму!

16

sevo44⇓ пишет:

А на Magian не стоит? или там это делать сложней?

Не пробовал. Надо посмотреть кстати на виртуалке. Будет время протестирую.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

17

XliN⇓ пишет:

Не пробовал. Надо посмотреть кстати на виртуалке. Будет время протестирую.

Что делать мне я уже установил сервер. Жду рекомендаций с чего начать

Проще погасить свет чем разогнать тьму!