Tcp denied 407 squid: internet — Squid logs show «TCP_DENIED/407» error
Как настроить squid 4.10 посредством авторизации в AD, чтобы не было ошибки «Доступ к кэшу запрещен» ?
Доброго времени суток! Суть проблемы: тестовая машина в домене (винда) не ходит в интернет. На тестовой машине прописан прокси-сервер 10.47.143.178 (тоже пока тестовый), на котором стоит freebsd 12.1. При этом в браузере сначала выдается окно авторизации, в него ввожу данные учетной записи, пробую авторизоваться и в итоге появляется надпись следующего содержания: Ошибка. Доступ к кэшу запрещен. Скрины данной ошибки прикреплены к посту.
Как мне кажется вся проблема в сквиде версии 4.10, а точнее в конфиге сквида. Вот этот конфиг:
auth_param ntlm program /usr/local/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/local/bin/ntlm_auth —helper-protocol-squid-2.5-basic
auth_param basic children 50
auth_param basic realm TESTPROXY
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group. gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Сразу скажу, что конфиг данный был срисован со старого сквида еще 3 версии, не помню точно какой. Пробовал гуглить аналогичный конфиг для версии сквида 4.10, но так ничего и не нашел. Как видно по конфигу аутентификация осуществляется при помощи сетевого протокола NTLM.
Просмотрел логи squid. Вот что выдается в access.log при попытке с тестовой машины клиента при попытке зайти на яндекс:
1587222517.160 1 10.47.143.211 TCP_DENIED/407 4524 GET http://yandex.ru/ — HIER_NONE/- text/html
1587222517.172 2 10.47.143.211 TCP_DENIED/407 4889 GET http://yandex.ru/ — HIER_NONE/- text/html
1587222517.236 61 10.47.143.211 TCP_DENIED/407 5205 GET http://yandex.ru/ testsquid HIER_NONE/- text/html
1587222519.614 12 10.47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html
1587222521.731 24 10. 47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html
1587222523.063 25 10.47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html
1587222523.142 17 10.47.143.211 TCP_DENIED/407 4667 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
1587222523.166 17 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
1587222524.046 17 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
1587222525.363 23 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
1587222526.252 18 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
1587222527. 089 28 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html
А вот что выдается в cache.log:
2020/04/19 19:39:18 kid1| Starting new helpers
2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group.pl’ processes
2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory
2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527164 exited
2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)
2020/04/19 19:39:18 kid1| Starting new helpers
2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group.pl’ processes
2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory
2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527165 exited
2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)
2020/04/19 19:39:18 kid1| Starting new helpers
2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group. pl’ processes
2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory
2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527166 exited
2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)
Соответственно вопрос: что не так с синтаксисом конфига для squid, где закралась ошибка. Читал мануалы, но там не все моменты подробно раскрыты
И вообще может лучше установить squid другой версии?
Интеграция Squid 4.9 с Active Directory на Debian 9 Stretch. Реализация Kerberos аутентификации и LDAP авторизации.
Содержание статьи:
Разберем как настроить связь Squid 4.9 c Active Directory через Kerberos аутентификацию и Basic LDAP авторизацию, для предоставления доступа в интернет по доменным учетным записям и разграничение прав согласно заданным группам безопасности Active Directory.
Исходные данные:
- Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA. LOCAL
- Прокси-сервер Squid 4.9 (squid) на Debian 9 Stretch
Подготовка системы (Debian 9 Stretch)
Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:
| apt-get update && apt-get upgrade -y |
Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):
Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:
| 127.0.0.1 localhost 127.0.1.1 squid.jakonda.local squid |
Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:
| apt-get install ntp ntpdate
ntpdate dc1. jakonda.local |
Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье
Настройка Active Directory (Windows Server 2012 R2)
В DNS зону (JAKONDA.LOCAL), добавляем A-запись файлового сервера:
Создаем служебного пользователя (прим. squid), с бесконечным срок действия пароля.
Создаем KEYTAB-файл (необходим для аутентификации пользователей в Active Directory). В командной строке с правами администраторы выполняем команду (соблюдая регистр):
| ktpass -princ HTTP/[email protected] -mapuser [email protected] -pass Aa1234567 -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out C:\datastore1.keytab |
Полученный KEYTAB-файл, передаем любым удобным способом на файловый сервер (расположение KEYTAB-файла указываем — /etc/squid/squid. keytab). Как передать файл посредством утилиты PuTTY можно прочитать тут
Назначаем права доступа на KEYTAB-файл для использования его прокси-сервером:
| chown proxy:proxy /etc/squid/squid.keytab chmod 640 /etc/squid/squid.keytab |
Настройка Kerberos
Установка пакетов для поддержки аутентификации Kerberos:
| apt-get install krb5-user libsasl2-modules-gssapi-mit |
В ходе установки может появится запрос указать область по-умолчанию для Kerberos, область необходимо его указать в заглавном виде (прим. JAKONDA.LOCAL)
Файл конфигурации Kerberos (/etc/krb5.conf), приводим к виду:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
| [logging] default = FILE:/var/log/krb5libs. log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log
[libdefaults] default_realm = JAKONDA.LOCAL default_keytab_name = /etc/squid/squid.keytab dns_lookup_kdc = false dns_lookup_realm = false forwardable = true ticket_lifetime = 24h
[realms] JAKONDA.LOCAL = { kdc = dc1.jakonda.local default_domain = JAKONDA.LOCAL admin_server = dc1.jakonda.local }
[domain_realm] .jakonda.local = JAKONDA.LOCAL jakonda.local = JAKONDA.LOCAL |
Соответственно подставляем название своего домена вместо jakonda.local/JAKONDA.LOCAL
Проверка работы Kerberos, выполним авторизацию в Active Directory:
| kinit -kV -p HTTP/squid.jakonda.local
Using default cache: /tmp/krb5cc_0 Using principal: HTTP/squid. [email protected] Authenticated to Kerberos v5 |
Удаляем полученный билет:
Настройка Squid
Сперва установим необходимые пакеты для корректной работы механизмов Kerberos и LDAP:
| apt-get install libsasl2-modules-gssapi-mit ldap-utils |
В стартовом скрипте (/etc/init.d/squid) добавим путь к keytab-файлу. В скрипте находим строку DESC=»Squid HTTP Proxy» и ниже дописываем:
| KRB5_KTNAME=/etc/squid/squid.keytab export KRB5_KTNAME |
Применяем изменения в демоне и перезапускаем squid:
| systemctl daemon-reload /etc/init. d/squid restart |
Для использования Kerberos аутентификации и LDAP авторизации, необходимо в файле конфигурации (/etc/squid/squid.conf) указать следующие параметры:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| # ACTIVE DIRECTORY AUTH (KERBEROS) auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/squid.jakonda.local auth_param negotiate children 30 auth_param negotiate keep_alive on
# ACTIVE DIRECTORY AUTH (LDAP) auth_param basic program /usr/lib/squid/basic_ldap_auth -b «dc=jakonda,dc=local» -P -R -D «[email protected]» -w «Aa1234567» -f «sAMAccountName=%s» dc1.jakonda.local auth_param basic realm Squid Basic Auth auth_param basic children 30 auth_param basic credentialsttl 8 hours
acl auth proxy_auth REQUIRED
. .. # http_access allow localnet
# ACTIVE DIRECTORY AUTH USERS http_access allow auth |
ПРИМЕЧАНИЕ. Обращаю внимание что в конфигурации строку http_access allow localnet необходимо закоментировать либо вовсе удалить из конфигурации.
Указанные параметры позволят выход в интернет только авторизованным в Active Directory пользователям. В случае если выход в интернет осуществляется из доменной системы и авторизованным доменным пользователем, то аутентификация будет проходить по методу SSO (Single Sign On), в противном случае будет запрошен ЛОГИН\ПАРОЛЬ (доменной учетной записи) для доступа в интернет.
Для более гибкого управления доступом в интернет конечно же необходимо задействовать Группы безопасности Active Directory. Рассмотрим пример использования групп безопасности в Squid.
Сперва создадим в Active Directory прим. следующие группы безопасности:
| SQUID_FullAccess — Полный доступ SQUID_RestrictedAccess — Ограниченный доступ SQUID_BlockedAccess — Заблокированный доступ |
Для проверки, что хелперы (Kerberos и Basic LDAP) отрабатывают корректно, выполним для каждого из них запрос, в котором проверим членство пользователя squid в группе безопасности SQUID_FullAccess.
Для Kergeros, выполним запрос:
| /usr/lib/squid/ext_kerberos_ldap_group_acl -a -i -g SQUID_FullAccess -D JAKONDA.LOCAL squid
kerberos_ldap_group.cc(432): pid=12787 :2020/01/29 16:30:59| kerberos_ldap_group: INFO: Got User: squid set default domain: JAKONDA.LOCAL kerberos_ldap_group.cc(437): pid=12787 :2020/01/29 16:30:59| kerberos_ldap_group: INFO: Got User: squid Domain: JAKONDA.LOCAL support_member.cc(127): pid=12787 :2020/01/29 16:30:59| kerberos_ldap_group: INFO: User squid is member of group@domain SQUID_FullAccess@NULL OK |
Для Basic LDAP, выполним запрос:
| /usr/lib/squid/ext_ldap_group_acl -b «dc=jakonda,dc=local» -P -R -K -D «[email protected]» -w «Aa1234567» -f «(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%g,OU=Security Groups,DC=jakonda,DC=local))» -h dc1. jakonda.local -d squid SQUID_FullAccess
ext_ldap_group_acl.cc(589): pid=11760 :Connected OK ext_ldap_group_acl.cc(736): pid=11760 :group filter ‘(&(objectclass=person)(sAMAccountName=squid)(memberOf=cn=SQUID_FullAccess,OU=Security Groups,DC=jakonda,DC=local))’, searchbase ‘dc=jakonda,dc=local’ OK |
ПРИМЕЧАНИЕ. В случае если все работает корректно, то ответ на запрос в случае положительного результата, будет OK или же ERR. В моем случае пользователь squid имеет членство в группе SQUID_FullAccess
Теперь в файле конфигурации (/etc/squid/squid.conf) укажем следующие параметры:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
| # EXTENTION KERBEROS GROUP AUTH external_acl_type kerberos_full_access ttl=900 negative_ttl=900 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g SQUID_FullAccess -D JAKONDA. LOCAL external_acl_type kerberos_restricted_access ttl=900 negative_ttl=900 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g SQUID_RestrictedAccess -D JAKONDA.LOCAL external_acl_type kerberos_blocked_access ttl=900 negative_ttl=900 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g SQUID_BlockedAccess -D JAKONDA.LOCAL
# EXTENTION LDAP GROUP AUTH external_acl_type ldap_group ttl=900 %LOGIN /usr/lib/squid/ext_ldap_group_acl -b «dc=jakonda,dc=local» -P -R -K -D «[email protected]» -w «Aa1234567» -f «(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%g,OU=Security Groups,DC=jakonda,DC=local))» -h dc1.jakonda.local
# ACL KERBEROS GROUP acl kerberos_full_access external kerberos_full_access acl kerberos_restricted_access external kerberos_restricted_access acl kerberos_blocked_access external kerberos_blocked_access
# ACL LDAP GROUP acl ldap_full_access external ldap_group SQUID_FullAccess acl ldap_restricted_access external ldap_group SQUID_RestrictedAccess acl ldap_blocked_access external ldap_group SQUID_BlockedAccess |
Для общего понимания указанных выше параметров, небольшое пояснение. Сперва описывается механизм работы хелпера Kerberos, в котором мы указываем в какой группе необходимо проверять членство пользователя. Для каждой группы указывается отдельный хелпер Kerberos.
Далее описывается механизм работы хелпера Basic LDAP, в котором указывается учетная запись (я использую ту для которой делался keytab-файл) с помощью которой будет просматриваться каталог LDAP, а так же задается область в которой находятся группы безопасности. Далее задаются ACL (Access Lists), которые сопоставляются с указанными хелперами.
Зададим порядок обработки определенных выше ACL:
| http_access allow kerberos_full_access http_access allow ldap_full_access
http_access deny kerberos_blocked_access http_access deny ldap_blocked_access
http_access deny kerberos_restricted_access !allowedsites http_access deny ldap_restricted_access !allowedsites
http_access deny blockedsites http_access deny blockedsites
http_access allow auth http_access deny all |
Применяем внесенные изменения в файл конфигурации:
На этом настройка squid завершена, можно приступать к проверке работы. Для этого на пользовательских ПК необходимо задать использование Прокси-сервера (Свойствах обозревателя — Подключения — Настройка сети). В поле «Адрес« указываем FQDN имя системы Squid, в моем случае это squid.jakonda.local и заданный порт.
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
Как установить и настроить частный анонимный прокси-сервер Squid на базе Linux Ubuntu/Debian
Задача: установить и настроить частный анонимный прокси-сервер Squid на базе Linux Ubuntu/Debian.
Видео инструкция на нашем YouTube канале:
Итак поехали, у нас система:
[email protected]:~# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16. 04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.6 LTS"
[email protected]:~#
Обновим репозиторий нашей системы:
[email protected]:~# apt-get update
Hit:1 http://mirrors.digitalocean.com/ubuntu xenial InRelease
Get:2 http://mirrors.digitalocean.com/ubuntu xenial-updates InRelease [109 kB]
Get:3 http://mirrors.digitalocean.com/ubuntu xenial-backports InRelease [107 kB]
Get:4 http://security.ubuntu.com/ubuntu xenial-security InRelease [109 kB]
Get:5 http://mirrors.digitalocean.com/ubuntu xenial/universe i386 Packages [7,512 kB]
Get:6 http://mirrors.digitalocean.com/ubuntu xenial/universe Translation-en [4,354 kB]
Get:7 http://mirrors.digitalocean.com/ubuntu xenial/multiverse i386 Packages [140 kB]
Get:8 http://mirrors.digitalocean.com/ubuntu xenial/multiverse Translation-en [106 kB]
Get:9 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 Packages [813 kB]
Get:10 http://mirrors. digitalocean.com/ubuntu xenial-updates/main Translation-en [376 kB]
Get:11 http://mirrors.digitalocean.com/ubuntu xenial-updates/universe i386 Packages [682 kB]
Get:12 http://mirrors.digitalocean.com/ubuntu xenial-updates/universe Translation-en [309 kB]
Get:13 http://mirrors.digitalocean.com/ubuntu xenial-updates/multiverse i386 Packages [15.8 kB]
Get:14 http://mirrors.digitalocean.com/ubuntu xenial-updates/multiverse Translation-en [8,440 B]
Get:15 http://mirrors.digitalocean.com/ubuntu xenial-backports/main i386 Packages [7,288 B]
Get:16 http://mirrors.digitalocean.com/ubuntu xenial-backports/main Translation-en [4,456 B]
Get:17 http://mirrors.digitalocean.com/ubuntu xenial-backports/universe i386 Packages [7,488 B]
Get:18 http://mirrors.digitalocean.com/ubuntu xenial-backports/universe Translation-en [4,184 B]
Get:19 http://security.ubuntu.com/ubuntu xenial-security/main i386 Packages [530 kB]
Get:20 http://security.ubuntu.com/ubuntu xenial-security/main Translation-en [261 kB]
Get:21 http://security. ubuntu.com/ubuntu xenial-security/universe i386 Packages [377 kB]
Get:22 http://security.ubuntu.com/ubuntu xenial-security/universe Translation-en [175 kB]
Get:23 http://security.ubuntu.com/ubuntu xenial-security/multiverse i386 Packages [5,764 B]
Get:24 http://security.ubuntu.com/ubuntu xenial-security/multiverse Translation-en [2,676 B]
Fetched 16.0 MB in 6s (2,624 kB/s)
Reading package lists... Done
[email protected]:~#
Обновляем пакеты:
[email protected]:~# apt-get dist-upgrade
Reading package lists... 0%
Reading package lists... 100%
Reading package lists... Done
Building dependency tree... 0%
Building dependency tree... 0%
Building dependency tree... 50%
Building dependency tree... 50%
Building dependency tree
Reading state information... 0%
Reading state information... 5%
Reading state information... Done
Calculating upgrade. .. 0%
Calculating upgrade... 10%
Calculating upgrade... Done
The following NEW packages will be installed:
linux-headers-4.4.0-145 linux-headers-4.4.0-145-generic linux-image-4.4.0-145-generic linux-modules-4.4.0-145-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils busybox-initramfs busybox-static grub-common grub-pc grub-pc-bin grub2-common libapt-inst2.0 libapt-pkg5.0 libpam-systemd
libpolkit-agent-1-0 libpolkit-backend-1-0 libpolkit-gobject-1-0 libsystemd0 libudev1 linux-headers-generic linux-headers-virtual linux-image-virtual
linux-virtual ntfs-3g policykit-1 rsyslog snapd systemd systemd-sysv ubuntu-core-launcher udev
29 upgraded, 4 newly installed, 0 to remove and 0 not upgraded.
Need to get 51.8 MB of archives.
After this operation, 127 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
0% [Working]
Get:1 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libapt-pkg5. 0 i386 1.2.31 [752 kB]
0% [1 libapt-pkg5.0 0 B/752 kB 0%]
2% [Working]
Get:2 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libapt-inst2.0 i386 1.2.31 [57.5 kB]
2% [2 libapt-inst2.0 0 B/57.5 kB 0%]
2% [Working]
Get:3 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt i386 1.2.31 [1,104 kB]
2% [3 apt 0 B/1,104 kB 0%]
5% [Working]
Get:4 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt-utils i386 1.2.31 [205 kB]
5% [4 apt-utils 0 B/205 kB 0%]
6% [Working]
Get:5 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 systemd-sysv i386 229-4ubuntu21.19 [11.3 kB]
6% [5 systemd-sysv 0 B/11.3 kB 0%]
6% [Working]
Get:6 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpam-systemd i386 229-4ubuntu21.19 [123 kB]
6% [6 libpam-systemd 0 B/123 kB 0%]
7% [Working]
Get:7 http://mirrors. digitalocean.com/ubuntu xenial-updates/main i386 libsystemd0 i386 229-4ubuntu21.19 [222 kB]
7% [7 libsystemd0 0 B/222 kB 0%]
8% [Working]
Get:8 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 systemd i386 229-4ubuntu21.19 [3,653 kB]
8% [8 systemd 0 B/3,653 kB 0%]
14% [Working]
Get:9 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 udev i386 229-4ubuntu21.19 [1,000 kB]
14% [9 udev 0 B/1,000 kB 0%]
16% [Working]
Get:10 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libudev1 i386 229-4ubuntu21.19 [57.1 kB]
16% [10 libudev1 0 B/57.1 kB 0%]
17% [Working]
Get:11 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 ntfs-3g i386 1:2015.3.14AR.1-1ubuntu0.2 [518 kB]
17% [11 ntfs-3g 0 B/518 kB 0%]
19% [Working]
Get:12 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-pc i386 2.02~beta2-36ubuntu3. 21 [198 kB]
19% [12 grub-pc 0 B/198 kB 0%]
19% [Working]
Get:13 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-pc-bin i386 2.02~beta2-36ubuntu3.21 [917 kB]
19% [13 grub-pc-bin 0 B/917 kB 0%]
22% [Working]
Get:14 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub2-common i386 2.02~beta2-36ubuntu3.21 [545 kB]
22% [14 grub2-common 0 B/545 kB 0%]
23% [Working]
Get:15 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-common i386 2.02~beta2-36ubuntu3.21 [1,741 kB]
23% [15 grub-common 0 B/1,741 kB 0%]
26% [Working]
Get:16 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 ubuntu-core-launcher i386 2.37.4ubuntu0.1 [1,572 B]
26% [16 ubuntu-core-launcher 0 B/1,572 B 0%]
27% [Working]
Get:17 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 snapd i386 2.37.4ubuntu0.1 [10.5 MB]
27% [17 snapd 0 B/10. 5 MB 0%]
44% [Working]
Get:18 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 busybox-initramfs i386 1:1.22.0-15ubuntu1.4 [166 kB]
44% [18 busybox-initramfs 0 B/166 kB 0%]
45% [Working]
Get:19 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 rsyslog i386 8.16.0-1ubuntu3.1 [399 kB]
45% [19 rsyslog 0 B/399 kB 0%]
46% [Working]
Get:20 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt-transport-https i386 1.2.31 [28.5 kB]
46% [20 apt-transport-https 0 B/28.5 kB 0%]
46% [Working]
Get:21 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 busybox-static i386 1:1.22.0-15ubuntu1.4 [798 kB]
46% [21 busybox-static 0 B/798 kB 0%]
48% [Working]
Get:22 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-gobject-1-0 i386 0.105-14.1ubuntu0.5 [38.5 kB]
48% [22 libpolkit-gobject-1-0 0 B/38. 5 kB 0%]
49% [Working]
Get:23 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-agent-1-0 i386 0.105-14.1ubuntu0.5 [15.8 kB]
49% [23 libpolkit-agent-1-0 0 B/15.8 kB 0%]
50% [Working]
Get:24 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-backend-1-0 i386 0.105-14.1ubuntu0.5 [41.3 kB]
50% [24 libpolkit-backend-1-0 0 B/41.3 kB 0%]
50% [Working]
Get:25 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-4.4.0-145 all 4.4.0-145.171 [10.0 MB]
50% [25 linux-headers-4.4.0-145 0 B/10.0 MB 0%]
66% [Working]
Get:26 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-4.4.0-145-generic i386 4.4.0-145.171 [803 kB]
66% [26 linux-headers-4.4.0-145-generic 0 B/803 kB 0%]
68% [Working]
Get:27 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-modules-4.4.0-145-generic i386 4. 4.0-145.171 [11.0 MB]
68% [27 linux-modules-4.4.0-145-generic 0 B/11.0 MB 0%]
86% [Working]
Get:28 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-image-4.4.0-145-generic i386 4.4.0-145.171 [6,782 kB]
86% [28 linux-image-4.4.0-145-generic 0 B/6,782 kB 0%]
97% [Working]
Get:29 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-virtual i386 4.4.0.145.153 [1,776 B]
97% [29 linux-virtual 0 B/1,776 B 0%]
97% [Working]
Get:30 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-image-virtual i386 4.4.0.145.153 [2,694 B]
97% [30 linux-image-virtual 0 B/2,694 B 0%]
98% [Working]
Get:31 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-virtual i386 4.4.0.145.153 [1,760 B]
98% [31 linux-headers-virtual 0 B/1,760 B 0%]
99% [Working]
Get:32 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-generic i386 4. 4.0.145.153 [2,568 B]
99% [32 linux-headers-generic 0 B/2,568 B 0%]
99% [Working]
Get:33 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 policykit-1 i386 0.105-14.1ubuntu0.5 [53.0 kB]
99% [33 policykit-1 0 B/53.0 kB 0%]
100% [Working]
Fetched 51.8 MB in 1s (41.6 MB/s)
Extracting templates from packages: 90%
Extracting templates from packages: 100%
Preconfiguring packages ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database . .. 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54199 files and directories currently installed.)
Preparing to unpack .../libapt-pkg5.0_1.2.31_i386.deb ...
Unpacking libapt-pkg5.0:i386 (1.2.31) over (1.2.29ubuntu0.1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libapt-pkg5.0:i386 (1.2.31) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database . .. 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54199 files and directories currently installed.)
Preparing to unpack .../libapt-inst2.0_1.2.31_i386.deb ...
Unpacking libapt-inst2.0:i386 (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../archives/apt_1.2.31_i386.deb ...
Unpacking apt (1.2.31) over (1.2.29ubuntu0.1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up apt (1.2.31) ...
Installing new version of config file /etc/apt/apt.conf.d/01autoremove ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database . .. 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../apt-utils_1.2.31_i386.deb ...
Unpacking apt-utils (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../systemd-sysv_229-4ubuntu21.19_i386.deb ...
Unpacking systemd-sysv (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up systemd-sysv (229-4ubuntu21.19) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database .. . 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../libpam-systemd_229-4ubuntu21.19_i386.deb ...
Unpacking libpam-systemd:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Preparing to unpack .../libsystemd0_229-4ubuntu21.19_i386.deb ...
Unpacking libsystemd0:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libsystemd0:i386 (229-4ubuntu21.19) ...
Processing triggers for libc-bin (2. 23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../systemd_229-4ubuntu21.19_i386.deb ...
Unpacking systemd (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for dbus (1.10.6-1ubuntu3.3) ...
Processing triggers for man-db (2. 7.5-1) ...
Setting up systemd (229-4ubuntu21.19) ...
addgroup: The group `systemd-journal' already exists as a system group. Exiting.
[/usr/lib/tmpfiles.d/var.conf:14] Duplicate line for path "/var/log", ignoring.
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../udev_229-4ubuntu21. 19_i386.deb ...
Unpacking udev (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Preparing to unpack .../libudev1_229-4ubuntu21.19_i386.deb ...
Unpacking libudev1:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libudev1:i386 (229-4ubuntu21.19) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database . .. 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../ntfs-3g_1%3a2015.3.14AR.1-1ubuntu0.2_i386.deb ...
Unpacking ntfs-3g (1:2015.3.14AR.1-1ubuntu0.2) over (1:2015.3.14AR.1-1ubuntu0.1) ...
Preparing to unpack .../grub-pc_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub-pc (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub-pc-bin_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub-pc-bin (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub2-common_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub2-common (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub-common_2.02~beta2-36ubuntu3.21_i386. deb ...
Unpacking grub-common (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../ubuntu-core-launcher_2.37.4ubuntu0.1_i386.deb ...
Unpacking ubuntu-core-launcher (2.37.4ubuntu0.1) over (2.37.4) ...
Preparing to unpack .../snapd_2.37.4ubuntu0.1_i386.deb ...
Unpacking snapd (2.37.4ubuntu0.1) over (2.37.4) ...
Preparing to unpack .../busybox-initramfs_1%3a1.22.0-15ubuntu1.4_i386.deb ...
Unpacking busybox-initramfs (1:1.22.0-15ubuntu1.4) over (1:1.22.0-15ubuntu1) ...
Preparing to unpack .../rsyslog_8.16.0-1ubuntu3.1_i386.deb ...
Unpacking rsyslog (8.16.0-1ubuntu3.1) over (8.16.0-1ubuntu3) ...
Preparing to unpack .../apt-transport-https_1.2.31_i386.deb ...
Unpacking apt-transport-https (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../busybox-static_1%3a1.22.0-15ubuntu1.4_i386.deb ...
Unpacking busybox-static (1:1.22.0-15ubuntu1.4) over (1:1.22.0-15ubuntu1) ...
Preparing to unpack . ../libpolkit-gobject-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-gobject-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Preparing to unpack .../libpolkit-agent-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-agent-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Preparing to unpack .../libpolkit-backend-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-backend-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Selecting previously unselected package linux-headers-4.4.0-145.
Preparing to unpack .../linux-headers-4.4.0-145_4.4.0-145.171_all.deb ...
Unpacking linux-headers-4.4.0-145 (4.4.0-145.171) ...
Selecting previously unselected package linux-headers-4.4.0-145-generic.
Preparing to unpack .../linux-headers-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-headers-4.4.0-145-generic (4.4.0-145.171) ...
Selecting previously unselected package linux-modules-4. 4.0-145-generic.
Preparing to unpack .../linux-modules-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-modules-4.4.0-145-generic (4.4.0-145.171) ...
Selecting previously unselected package linux-image-4.4.0-145-generic.
Preparing to unpack .../linux-image-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-image-4.4.0-145-generic (4.4.0-145.171) ...
Preparing to unpack .../linux-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-image-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-image-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-headers-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-headers-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-headers-generic_4.4.0.145.153_i386.deb ...
Unpacking linux-headers-generic (4.4.0.145.153) over (4.4.0.143.151) .. .
Preparing to unpack .../policykit-1_0.105-14.1ubuntu0.5_i386.deb ...
Created symlink from /run/systemd/system/polkitd.service to /dev/null.
Unpacking policykit-1 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Processing triggers for initramfs-tools (0.122ubuntu8.14) ...
update-initramfs: Generating /boot/initrd.img-4.4.0-143-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for install-info (6.1.0.dfsg.1-5) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for mime-support (3.59ubuntu1) ...
Processing triggers for dbus (1.10.6-1ubuntu3.3) ...
Setting up libapt-inst2.0:i386 (1.2.31) ...
Setting up apt-utils (1.2.31) ...
Setting up libpam-systemd:i386 (229-4ubuntu21.19) ...
Setting up udev (229-4ubuntu21. 19) ...
addgroup: The group `input' already exists as a system group. Exiting.
update-initramfs: deferring update (trigger activated)
Setting up ntfs-3g (1:2015.3.14AR.1-1ubuntu0.2) ...
Setting up grub-common (2.02~beta2-36ubuntu3.21) ...
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Setting up grub2-common (2.02~beta2-36ubuntu3.21) ...
Setting up grub-pc-bin (2.02~beta2-36ubuntu3.21) ...
Setting up grub-pc (2.02~beta2-36ubuntu3.21) ...
Installing for i386-pc platform.
Installation finished. No error reported.
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-4.4.0-145-generic
Found linux image: /boot/vmlinuz-4.4.0-143-generic
Found initrd image: /boot/initrd.img-4.4.0-143-generic
done
Setting up snapd (2.37.4ubuntu0.1) ...
md5sum: /etc/apparmor.d/usr.lib.snapd.snap-confine: No such file or directory
snapd.failure.service is a disabled or a static unit, not starting it.
snapd.snap-repair.service is a disabled or a static unit, not starting it.
Setting up ubuntu-core-launcher (2.37.4ubuntu0.1) ...
Setting up busybox-initramfs (1:1.22.0-15ubuntu1.4) ...
Setting up rsyslog (8.16.0-1ubuntu3.1) ...
Installing new version of config file /etc/logrotate.d/rsyslog ...
The user `syslog' is already a member of `adm'.
Skipping profile in /etc/apparmor.d/disable: usr.sbin.rsyslogd
Setting up apt-transport-https (1.2.31) ...
Setting up busybox-static (1:1.22.0-15ubuntu1.4) ...
Setting up libpolkit-gobject-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up libpolkit-agent-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up libpolkit-backend-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up linux-headers-4.4.0-145 (4.4.0-145.171) ...
Setting up linux-headers-4.4.0-145-generic (4.4.0-145.171) ...
Setting up linux-modules-4.4.0-145-generic (4.4.0-145.171) ...
Setting up linux-image-4.4.0-145-generic (4.4. 0-145.171) ...
I: /vmlinuz is now a symlink to boot/vmlinuz-4.4.0-145-generic
I: /initrd.img is now a symlink to boot/initrd.img-4.4.0-145-generic
Setting up linux-image-virtual (4.4.0.145.153) ...
Setting up linux-headers-generic (4.4.0.145.153) ...
Setting up linux-headers-virtual (4.4.0.145.153) ...
Setting up linux-virtual (4.4.0.145.153) ...
Setting up policykit-1 (0.105-14.1ubuntu0.5) ...
Removed symlink /run/systemd/system/polkitd.service.
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for initramfs-tools (0.122ubuntu8.14) ...
update-initramfs: Generating /boot/initrd.img-4.4.0-143-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
Processing triggers for linux-image-4.4.0-145-generic (4.4.0-145.171) ...
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-4.4.0-145-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
/etc/kernel/postinst. d/x-grub-legacy-ec2:
Searching for GRUB installation directory ... found: /boot/grub
Searching for default file ... found: /boot/grub/default
Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst
Searching for splash image ... none found, skipping ...
Found kernel: /boot/vmlinuz-4.4.0-143-generic
Found kernel: /boot/vmlinuz-4.4.0-145-generic
Found kernel: /boot/vmlinuz-4.4.0-143-generic
Replacing config file /run/grub/menu.lst with new version
Updating /boot/grub/menu.lst ... done
/etc/kernel/postinst.d/zz-update-grub:
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-4.4.0-145-generic
Found initrd image: /boot/initrd.img-4.4.0-145-generic
Found linux image: /boot/vmlinuz-4.4.0-143-generic
Found initrd image: /boot/initrd.img-4.4.0-143-generic
done
[email protected]:~#
Так как у нас обновилось ядро Linux, то нужно перегрузить систему:
[email protected]:~# shutdown -r now
Установим прокси-сервер Squid3:
[email protected]:~# apt-get install squid3 apache2-utils
Reading package lists. .. Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libapr1 libaprutil1 libecap3 libltdl7 squid squid-common squid-langpack ssl-cert
Suggested packages:
squidclient squid-cgi squid-purge smbclient winbindd openssl-blacklist
The following NEW packages will be installed:
apache2-utils libapr1 libaprutil1 libecap3 libltdl7 squid squid-common squid-langpack squid3 ssl-cert
0 upgraded, 10 newly installed, 0 to remove and 0 not upgraded.
Need to get 3,031 kB of archives.
After this operation, 12.6 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
Get:1 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libecap3 i386 1.0.1-3ubuntu3 [17.3 kB]
Get:2 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libltdl7 i386 2.4.6-0.1 [40.0 kB]
Get:3 http://mirrors.digitalocean.com/ubuntu xenial/main i386 squid-langpack all 20150704-1 [145 kB]
Get:4 http://mirrors. digitalocean.com/ubuntu xenial-updates/main i386 squid-common all 3.5.12-1ubuntu7.6 [175 kB]
Get:5 http://mirrors.digitalocean.com/ubuntu xenial/main i386 ssl-cert all 1.0.37 [16.9 kB]
Get:6 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 squid i386 3.5.12-1ubuntu7.6 [2,339 kB]
Get:7 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 squid3 all 3.5.12-1ubuntu7.6 [32.5 kB]
Get:8 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libapr1 i386 1.5.2-3 [95.1 kB]
Get:9 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libaprutil1 i386 1.5.4-1build1 [82.7 kB]
Get:10 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apache2-utils i386 2.4.18-2ubuntu3.10 [86.5 kB]
Fetched 3,031 kB in 0s (17.7 MB/s)
Preconfiguring packages ...
Selecting previously unselected package libecap3:i386.
(Reading database ... 82212 files and directories currently installed.)
Preparing to unpack .../libecap3_1.0. 1-3ubuntu3_i386.deb ...
Unpacking libecap3:i386 (1.0.1-3ubuntu3) ...
Selecting previously unselected package libltdl7:i386.
Preparing to unpack .../libltdl7_2.4.6-0.1_i386.deb ...
Unpacking libltdl7:i386 (2.4.6-0.1) ...
Selecting previously unselected package squid-langpack.
Preparing to unpack .../squid-langpack_20150704-1_all.deb ...
Unpacking squid-langpack (20150704-1) ...
Selecting previously unselected package squid-common.
Preparing to unpack .../squid-common_3.5.12-1ubuntu7.6_all.deb ...
Unpacking squid-common (3.5.12-1ubuntu7.6) ...
Selecting previously unselected package ssl-cert.
Preparing to unpack .../ssl-cert_1.0.37_all.deb ...
Unpacking ssl-cert (1.0.37) ...
Selecting previously unselected package squid.
Preparing to unpack .../squid_3.5.12-1ubuntu7.6_i386.deb ...
Unpacking squid (3.5.12-1ubuntu7.6) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2. 7.5-1) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for ufw (0.35-0ubuntu2) ...
Setting up libecap3:i386 (1.0.1-3ubuntu3) ...
Setting up libltdl7:i386 (2.4.6-0.1) ...
Setting up squid-langpack (20150704-1) ...
Setting up squid-common (3.5.12-1ubuntu7.6) ...
Setting up ssl-cert (1.0.37) ...
Setting up squid (3.5.12-1ubuntu7.6) ...
Skipping profile in /etc/apparmor.d/disable: usr.sbin.squid
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for ufw (0.35-0ubuntu2) ...
Selecting previously unselected package squid3.
(Reading database ... 84513 files and directories currently installed.)
Preparing to unpack .../squid3_3.5.12-1ubuntu7.6_all.deb ...
Unpacking squid3 (3.5.12-1ubuntu7.6) ...
Selecting previously unselected package libapr1:i386.
Preparing to unpack .../libapr1_1.5.2-3_i386.deb ...
Unpacking libapr1:i386 (1.5.2-3) ...
Selecting previously unselected package libaprutil1:i386.
Preparing to unpack .../libaprutil1_1.5.4-1build1_i386.deb ...
Unpacking libaprutil1:i386 (1.5.4-1build1) ...
Selecting previously unselected package apache2-utils.
Preparing to unpack .../apache2-utils_2.4.18-2ubuntu3.10_i386.deb ...
Unpacking apache2-utils (2.4.18-2ubuntu3.10) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up squid3 (3.5.12-1ubuntu7.6) ...
Setting up libapr1:i386 (1.5.2-3) ...
Setting up libaprutil1:i386 (1.5.4-1build1) ...
Setting up apache2-utils (2.4.18-2ubuntu3.10) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
[email protected]:~#
На всякий случай делаем резервную копию файла настроек squid3:
[email protected]:/etc/squid# cp squid. conf squid.conf.default
Редактируем файл конфигурации пркси сервера Squid3 до такого вида:
vim /etc/squid/squid.conf
# порт на котром доступен прокси
http_port 3128
dns_nameservers 208.67.222.222 208.67.220.220
# авторизация, подробности ниже
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
auth_param basic children 5 startup=5 idle=1
auth_param basic realm Welcome to Free VPN Proxy Master
auth_param basic credentialsttl 2 hours
acl all src all
acl Users proxy_auth REQUIRED
# пускать товарища с этого ip без пароля
acl KnownUsers src "/etc/squid3/KnownUsers.acl"
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
# доступ только с доверенных ip или по паролю
http_access allow KnownUsers
http_access allow Users
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all
# превращаем squid в анонимный прокси
forwarded_for off
header_access From deny all
header_access Server deny all
header_access User-Agent deny all
header_replace User-Agent Mozilla/5. gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
Запускаем squid3:
[email protected]:/etc/squid# service squid restart
Содержимое файла доверенных сетей:
[email protected]:/etc/squid# cat KnownUsers.acl
# KnownUsers
176.38.167.50
176.38.167.49
176.38.167.48
176.38.167.41
213.111.122.3
Содержимое файла аутентификации пользователей:
[email protected]:/etc/squid# cat passwd
free:$apr1$cEBF38co$VGRaiNX18nrv/cz.Lelr10
Добавляем нового пользователя:
[email protected]:/etc/squid# htpasswd /etc/squid/passwd MC
New password:
Re-type new password:
Adding password for user MC
Устанавливаем Pi-Hole
curl -sSL https://install. pi-hole.net | bash
Вот и все!
Спасибо за уделенное время на прочтение статьи! Возможно, вам также пригодится статья об удалённом знакомстве с Linux Shell (Terminal) с помощью PHP Shell.
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco и Linux с трудоустройством!
Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
- Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
- Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
- Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
- Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
- Если хотите индивидуальный график — обсудим и осуществим.
- Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
- отредактировать резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Squid — Пользователи — TCP_DENIED / 407 с SSL-сайтами, но сайт доступен …
сообщает обо всех пользователях каждого метода. Возможно, кто-то сможет просветить это
## ГЛОБАЛЬНЫЕ ПРАВИЛА ОТКАЗА
http_access deny! Safe_ports
http_access deny MSNMessenger CNP_172SUBNETS! IP_MSNMESSENGER
http_access запретить StopDirectIP! IP_CONNECTALLOW
http_access deny CONNECT! SSL_Ports! CNP_172SUBNETS
http_access deny POST! SSL_Ports! RTMP_ports! CNP_172SUBNETS
# Метод POST / CONNECT РАЗРЕШЕН #
http_access разрешить ПОДКЛЮЧЕНИЕ CNP_172SUBNETS
http_access разрешить POST CNP_172SUBNETS
> Привет, Ник
>
> Спасибо за это объяснение.Я думаю ты прав. Могло ли это
> в конечном итоге будет проблемой безопасности, чтобы позволить неаутентифицированному
> https-трафик с «http_access allow CONNECT SSL_ports»? Возможно
> да, может и нет. Является ли такое поведение частью факта с SSL / HTTPS или
> Можно ли решить эту проблему в будущем выпуске Squid? Ты
> разрешить CONNECT-метод в вашей настройке?
>
> С уважением,
> Том
>
> 28.08.2010 Ник Кэрнкросс [скрытый адрес электронной почты]>:
>> Том,
>>
>> Просто чтобы сказать, что я думаю (поскольку у вас почти такие же настройки, как у меня, я
>> подумайте): вы всегда получите этот 407 на данный момент.Кальмар требует
>> аутентифицированный пользователь перед разрешением страницы, но вы не можете аутентифицироваться
>> каждый метод (по крайней мере, то, что я нашел) в моей настройке.
>>
>> Независимо от того, NTLM это или Kerberos и т. Д. Ваше правило о
>> connect Я думаю, нужно разрешить подключение ssl_ports ВЫШЕ вашего разрешения
>> INTERNET_ACCESS, потому что вы просто запрещаете метод CONNECT (не
>> то же, что и метод GET) в противном случае с использованием портов, отличных от SSL. Есть
>> Нечего и говорить о разрешении.
>>>
>>
>>
>> Думаю, что правильно ….
>> Ник
>>
>>
>>
>> 27 августа 2010 г., в 10:09, «Том Тукс» [скрытый адрес электронной почты]> написал:
>>
>>> Привет, Амос
>>>
>>> Большое спасибо за эту информацию.
>>>
>>> Это нормально, что все https-запросы имеют эту ошибку?
>>> 1282899033.246 0 xx.xx.xx.xx TCP_DENIED / 407 3720 ПОДКЛЮЧИТЬСЯ
>>> mail.google.com:443 — НЕТ / — text / html
>>>
>>> Как я уже упоминал: сайты, которые запрещены в access.log,
>>> нормально доступны и корректно отображается (это то, что я не
>>> пойми …. ммм ….).
>>> Я думаю, что у меня нет правил, которые явно требуют другого
>>> аутентификация вместо кербероса. Вот выдержка из моих
>>> кальмар.conf:
>>>
>>> ACL «INTERNET_ACCESS» — это external_acl с squid_kerb_ldap:
>>> http_access deny! Safe_ports
>>> http_access deny CONNECT! SSL_ports
>>>
>>> # Блокировать недействительных пользователей
>>> http_access deny! INTERNET_ACCESS
>>> http_access разрешить INTERNET_ACCESS
>>> http_access запретить все
>>>
>>> Когда я отслеживаю http / https-трафик с помощью httpfox (firefox-addon), то
>>> Я тоже не получил ни ошибок, ни отказов.
>>>
>>> Спасибо за помощь.
>>> Том
>>>
>>>
>>> 27.08.2010 Амос Джеффрис [скрытый адрес электронной почты]>:
>>>> Том Тукс написал:
>>>>>
>>>>> Привет
>>>>>
>>>>> Для каждого HTTPS-сайта у меня есть следующая tcp_denied / 407-запись в
>>>>> access.log:
>>>>> 282895826.492 1 хх.xx.xx.xx TCP_DENIED / 407 3720 ПОДКЛЮЧИТЬСЯ
>>>>> mail.google.com:443 — НЕТ / — text / html
>>>>> 1282896033.320 1 xx.xx.xx.xx TCP_DENIED / 407 3744 ПОДКЛЮЧИТЬСЯ
>>>>> secure-www.novell.com:443 — НЕТ / — text / html
>>>>>
>>>>> Сайты, запрещенные в access.log, хоть и доступны,
>>>>> но у меня такая ошибка. Мне кажется, что кальмару нужен пользователь
>>>>> аутентификация.Но это должно быть дано с
>>>>> kerberos-аутентификация,
>>>>> который отлично работает.
>>>>>
>>>>> У меня настроены следующие директивы (по умолчанию):
>>>>> acl SSL_ports порт 443
>>>>> acl CONNECT метод CONNECT
>>>>> http_access deny CONNECT! SSL_ports
>>>>>
>>>>>
>>>>> Может кто-нибудь объяснить мне такое поведение?
>>>>
>>>> запросы CONNECT к портам SSL (также известные как HTTPS) пройдут эту защиту
>>>> барьер и переходи к проверке других твоих правил. Один из тех других
>>>> правила
>>>> включает аутентификацию прокси.
>>>>
>>>> Все запросы, требующие аутентификации, но не обеспечивающие ее, получают
>>>> 407 или
>>>> 401 ответ, требующий от браузера предоставить некоторые учетные данные.
>>>> Это
>>>> верно для всех типов аутентификации.
>>>>
>>>> Работающие браузеры с доступом к необходимым учетным данным пришлют
>>>> их на
>>>> повторный запрос и преодолеть эту проблему.
>>>>
>>>> Амос
>>>> —
>>>> Пожалуйста, используйте
>>>> Current Stable Squid 2.7.STABLE9 или 3.1.7
>>>> Требуются бета-тестеры для 3.2.0.1
>>>>
>>
>>
>> Информация, содержащаяся в этом электронном письме, носит конфиденциальный характер.
>> и предназначен только для адресата. Если вы не тот
>> адресат, любое раскрытие, копирование или распространение вами запрещено
>> и может быть незаконным.Раскрытие информации любой стороне, кроме адресата,
>> случайно или иным образом, не предназначен для отказа от привилегий или
>> конфиденциальность. Интернет-связь небезопасна и поэтому
>> Conde Nast не несет юридической ответственности за содержание этого
>> сообщение. Любые высказанные взгляды или мнения принадлежат автору.
>>
>> The Conde Nast Publications Ltd (№ 226900), Vogue House, Ганновер.
>> Square, Лондон W1S 1JU
>>
Информация, содержащаяся в этом электронном письме, носит конфиденциальный характер и предназначена только для адресата.Если вы не являетесь предполагаемым адресатом, любое раскрытие, копирование или распространение вами запрещено и может быть незаконным. Раскрытие информации любой стороне, кроме адресата, непреднамеренное или иное, не означает отказа от привилегий или конфиденциальности. Связь в Интернете не является безопасной, поэтому Conde Nast не несет юридической ответственности за содержание этого сообщения. Любые высказанные взгляды или мнения принадлежат автору.
The Conde Nast Publications Ltd (No.226900), Vogue House, Ганновер-сквер, Лондон, W1S 1JU
Squid — Пользователи — TCP_DENIED / 407 при использовании NCSA-AUTH и потокового видео
Мы используем Debian-пакет Squid 2. 7 Stable3 на машине Debian Lenny.
с настроенным ncsa-auth, действующим как центральный Интернет-прокси.
Все пользователи / пароли хранятся в / etc / squid / passwd на локальном хосте и только
аутентифицированных пользователей могут просматривать сайты за пределами интрасети.
Проблем с аутентификацией пока нет.
Но у нас проблема с воспроизведением видео со стороны http://www.wdr.de, они есть
предоставляет медиа-потоки на основе flash, например:
http://www.wdr.de/mediathek/html/regional/2009/07/30/aktuelle-stunde-kuendigung.xml
Доступ к этим страницам возможен без проблем, и стартовое изображение
Отображается
видео. Когда мы пытаемся воспроизвести видео, мы получаем «сеть
Ошибка
»и« файл не найден »в окне flasharea через несколько секунд.
Нет проблем с воспроизведением аудиопотока с этого сайта или flash-роликов для
пример с youtube.com или golem.de
Наши клиенты, всегда с установленным flashplugin:
Firefox 3. 5 (Win), Firefox 3.6 (Linux) и Chrome (Linux).
В журнале access.log мы видим «тестовый» серфинг авторизованного пользователя
www.wdr.de.
При запуске видео казалось бы потерял аутентификацию
, а затем заканчивается на tcp-denied / 407.
При отключении NCSA-AUTH в squid мы можем воспроизводить видео без каких-либо
проблем.
выдержка из нашего squid.conf
=======================
http_port 8080
иерархия_стоплист cgi-bin?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 МБ
каталог_кэша ufs / var / spool / squid 1024 16 16
cache_access_log /var/log/squid/access.log
журнал_кеша / var / журнал / squid / cache.бревно
журнал_хранилища_кэша /var/log/squid/store.log
таблица_меню /etc/squid/mime.conf
log_mime_hdrs на
ftp_user [скрытый адрес электронной почты]
dns_nameservers 192.xxx.y.z
программа-перенаправления / usr / local / bin / squidGuard -c /etc/squid/squidguard. conf
redirect_children 10
auth_param основная программа / usr / lib / squid / ncsa_auth / etc / squid / passwd
auth_param basic children 5
auth_param basic realm Anmeldung am internen Proxy
auth_param basic credentialsttl 2 часа
acl все src 0.0.0.0 / 0.0.0.0
протокол диспетчера acl cache_object
acl локальный хост src 127.0.0.1/255.255.255.255
acl SSL_ports порт 443563 1494 2598 1604
acl Safe_ports порт 80
acl Safe_ports порт 21
acl Порт Safe_ports 443563
acl Safe_ports порт 1025-65535
acl метод CONNECT CONNECT
ТРЕБУЕТСЯ
acl anwender proxy_auth
acl sysadmins proxy_auth «/ etc / squid / sysadmins»
acl в интранете src 172.16.10.0 / 24
acl wochentag time SMTWHFA
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access разрешить системным администраторам
http_access deny! Wochentag
http_access deny! Anwender
http_access разрешить интранет
http_access разрешить localhost
http_access запретить все
icp_access deny all
cache_effective_user прокси
cache_effective_group прокси
logfile_rotate 0
cachemgr_passwd нет меню информации
каталог_значков / usr / share / squid / icons
forwarded_for выкл.
icp_port 0
=================================
Выписка о доступе.бревно:
=================================
1278570915.514 39 172.16.19.222 TCP_MISS / 200 647 ПОЛУЧИТЬ
http://www.wdr.de/mediathek/codebase/img/icon/pfeil-im-kreis-reiterdunkel.gif;jsessionid=4799D61CDD27EBD84D4961AD11F40B09.mediathek4
test DIRECT / 149.219.195.51 image / gif [Хост: www.wddr.com .de \ r \ nПрокси-соединение:
keep-alive \ r \ nUser-Agent: Mozilla / 5.0 (X11; U; Linux i686; en-US)
AppleWebKit / 533.4 (KHTML, как Gecko) Chrome / 5.0.375.99
Safari / 533.4 \ r \ nСправочник:
http://www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml\r\nProxy-Authorization:
Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:
gzip, deflate, sdch \ r \ nAccept-Language:
de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:
ISO-8859-1, utf-8; q = 0,7, *; q = 0,3 \ r \ n Cookie:
JSESSIONID = 4799D61CDD27EBD84D4961AD11F40B09. mediathek4 \ r \ n] [HTTP / 1.0 200
ОК \ r \ nДата: четверг, 8 июля 2010 г., 06:35:15 GMT \ r \ nСервер: Apache \ r \ nПоследние изменения:
Вт, 28 августа 2007 г. 17:55:02
GMT \ r \ nETag: «3df1eb-f8-438c62c22c980» \ r \ nДиапазоны принятия:
байт \ r \ nДлина содержимого: 248 \ r \ nТип содержимого: image / gif \ r \ nX-Cache: MISS from
прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.1
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nПодключение:
keep-alive \ r \ nПрокси-соединение: keep-alive \ r \ n \ r]
1278570915.534 64 172.16.19.222 TCP_MISS / 302 524 ПОЛУЧИТЬ
http://wdr.ivwbox.de/cgi-bin/ivw/CP/;www.wdr.de/mediathek/html/regional/rueckschau/2010/07/07/lokalzeit_ruhr.xml?r=http%3A/ /www.wdr.de/studio/essen/lokalzeit/beitrag02.html
test DIRECT / 149.219.195.195 text / plain [Хост:
wdr.ivwbox.de \ r \ nПрокси-соединение: keep-alive \ r \ nАгент пользователя: Mozilla / 5. 0
(X11; U; Linux i686; en-US) AppleWebKit / 533.4 (KHTML, например Gecko)
Chrome / 5.0.375.99 Safari / 533.4 \ r \ nСсылка:
http://www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml\r\nProxy-Authorization:
Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:
gzip, deflate, sdch \ r \ nAccept-Language:
de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:
ISO-8859-1, utf-8; q = 0.7, *; q = 0,3 \ r \ nCookie: srp = 00e54c35718a85c20006 \ r \ n]
[HTTP / 1.0 302 временно перемещен \ r \ nСервер: srp / 2ac \ r \ nДата: четверг, 8 июля 2010 г.
06:35:14 GMT \ r \ nПоследнее изменение: Вт, 22 августа 2000 г. 15:05:01 GMT \ r \ nПрагма:
без кеширования \ r \ nCache-Control: без кеширования, требуется повторная проверка \ r \ n Срок действия: 0 \ r \ nP3P:
policyref = «http://www.ivwbox.de/p3p.xml», CP = «NOI DSP PSAo НАШ НОР
UNI «\ r \ nSet-Cookie: srp = 00e54c35718a85c20006;
путь = / \ r \ nРасположение: /blank. gif\r\nContent-Type: text / plain \ r \ nX-Cache: MISS
с прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
1278570928.401 239 172.16.19.222 TCP_MISS / 302 524 ПОЛУЧИТЬ
http://wdr.ivwbox.de/cgi-bin/ivw/CP/;www.wdr.de/mediathek/medien/videos_gffstream.fcod.llnwd.net_a792_e1_mp4:media_extern_loke_20100707_144098_web-m.mp4?r=http /www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml
test DIRECT / 149.219.195.195 text / plain [Хост:
wdr.ivwbox.de \ r \ nПрокси-соединение: keep-alive \ r \ nАгент пользователя: Mozilla / 5.0
(X11; U; Linux i686; en-US) AppleWebKit / 533.4 (KHTML, например Gecko)
Chrome / 5.0.375.99 Safari / 533.4 \ r \ nСсылка:
http://www.wdr.de/themen/global/flashplayer/wsPlayer.swf\r\nProxy-Authorization:
Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:
gzip, deflate, sdch \ r \ nAccept-Language:
de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:
ISO-8859-1, utf-8; q = 0. 7, *; q = 0,3 \ r \ nCookie: srp = 00e54c35718a85c20006 \ r \ n]
[HTTP / 1.0 302 временно перемещен \ r \ nСервер: srp / 2ac \ r \ nДата: четверг, 8 июля 2010 г.
06:35:27 GMT \ r \ nПоследнее изменение: Вт, 22 августа 2000 г. 15:05:01 GMT \ r \ nПрагма:
без кеширования \ r \ nCache-Control: без кеширования, требуется повторная проверка \ r \ n Срок действия: 0 \ r \ nP3P:
policyref = «http://www.ivwbox.de/p3p.xml», CP = «NOI DSP PSAo НАШ НОР
UNI «\ r \ nSet-Cookie: srp = 00e54c35718a85c20006;
путь = / \ r \ nРасположение: /blank.gif\r\nContent-Type: text / plain \ r \ nX-Cache: MISS
с прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
1278570929.836 0 172.16.19.222 TCP_DENIED / 407 1822 POST
http://gffstream.fcod.llnwd.net/fcs/ident2 — НЕТ / — text / html [Хост:
gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:
* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:
Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси
Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля
2010 06:35:29 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:
1360 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:29 GMT \ r \ nX-Squid-Error:
ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am
internen Proxy «\ r \ nX-Cache: MISS from
proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
1278570929.843 0 172.16.19.222 TCP_DENIED / 407 1810 POST
http://gffstream.fcod.llnwd.net/open/1 — НЕТ / — text / html [Хост:
gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:
* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:
Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nUser-Agent: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси
Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля
2010 06:35:29 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:
1348 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:29 GMT \ r \ nX-Squid-Error:
ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am
internen Proxy «\ r \ nX-Cache: MISS from
proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
1278570931.992 0 172.16.19.222 TCP_DENIED / 407 1822 POST
http://gffstream.fcod.llnwd.net/fcs/ident2 — НЕТ / — text / html [Хост:
gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:
* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:
Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси
Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля
2010 06:35:31 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:
1360 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:31 GMT \ r \ nX-Squid-Error:
ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am
internen Proxy «\ r \ nX-Cache: MISS from
proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
1278570931.996 0 172.16.19.222 TCP_DENIED / 407 1810 POST
http://gffstream.fcod.llnwd.net/open/1 — НЕТ / — text / html [Хост:
gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:
* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:
Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nUser-Agent: Shockwave Flash \ r \ nПодключение:
Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:
application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси
Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля
2010 06:35:31 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:
1348 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:31 GMT \ r \ nX-Squid-Error:
ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am
internen Proxy «\ r \ nX-Cache: MISS from
proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0
proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]
================
Squid — Пользователи — Kerberos TCP / ОТКАЗАНО 407
Спасибо, Амос, обновлюсь до 3.1.19
auth_param программа согласования / usr / local / bin /gotiate_wrapper -d —ntlm / usr / bin / ntlm_auth —diagnostics —helper-protocol = squid-2.5-ntlmssp —domain = ПРИМЕР —kerberos / usr / lib / squid3 / squid_kerb_auth -d
auth_param переговоры детей 10
auth_param согласовать keep_alive off
auth_param Программа NTLM / usr / bin / ntlm_auth —diagnostics —helper-protocol = squid-2. 5-ntlmssp —domain = ПРИМЕР
auth_param NTLM дети 10
auth_param ntlm keep_alive выключен
auth_param основная программа / usr / lib / squid3 / squid_ldap_auth -R -b «dc = example, dc = local» -D [скрытый адрес электронной почты] -W /etc/squid3/ldappass.txt -f sAMAccountName =% s -h exch01 .example.local
auth_param basic children 10
auth_param Интернет-прокси базового уровня
auth_param basic credentialsttl 1 минута
ТРЕБУЕТСЯ
пароль acl proxy_auth
протокол диспетчера acl cache_object
acl localhost src 127.0,0.1 / 32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet SRC 192.168.0.0/24
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # gopher
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файловый менеджер
acl Safe_ports порт 777 # многоязычный http
acl метод CONNECT CONNECT
http_access разрешить диспетчер localhost
http_access deny manager
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access deny! Пароль
http_access разрешить пароль
http_access разрешить localhost
http_access запретить все
icp_access deny all
htcp_access запретить все
http_port 3128
иерархия_стоплист cgi-bin?
журнал_доступа / var / log / squid3 / access. суслик: 1440 0% 1440
шаблон_обновления (cgi-bin | \?) 0 0% 0
refresh_pattern. 0 20% 4320
icp_port 3130
каталог_коредампа / var / spool / squid3
—— Исходное сообщение ——
От: Амоса Джеффриса [mailto: [скрытый адрес электронной почты]]
Отправлено: 8 марта 2012 14:44
Кому: [скрытый адрес электронной почты]
Тема: Re: [squid-users] Kerberos TCP / DENIED 407
9 марта 2012 г. в 1:07 JC Putter написал:
> Амос,
>
> Спасибо за ответ.
>
> Извините, я имел ввиду 3.0 STABLE 19.
Пожалуйста, обновите как минимум до 3.0.STABLE26, затем, если возможно, до 3.1.19.
Между ними есть несколько серьезных уязвимостей.
> Клиент Zimbra Desktop подключается через порт 443, и у меня есть
> стандартный ACL;
>
> http_access deny! Safe_ports
> http_access deny! SSL_ports
>
> однако, когда я меняю ACL на (очень небезопасно)
>
> http_access разрешить CONNECT (без исключения! SSL_ports) клиент zimbra подключается. ..
>
> не слишком уверен, что мой ACL неверен, или если необходимо добавить дополнительные порты в ACL, однако, согласно Zimbra, 443 — единственный требуемый.
Список ACL, который вы указали выше, не является значением по умолчанию. Правильное значение по умолчанию:
http_access deny CONNECT! SSL_ports
SSL_Port должны содержать только порты HTTPS, к которым вы разрешаете запросы.
> Я выполнил трассировку wirehark и могу подтвердить, что прокси-сервер предлагает все настроенные схемы проверки подлинности, а клиент отвечает билетом Kerberos.
Хорошо. Казалось бы, какая-то другая часть конфигурации. Если вам нужен точный анализ, опубликуйте свою конфигурацию полностью (без комментариев и пустых строк).
Амос
http — прокси-сервер squid — как разрешить соединение TCP — получение TCP_DENIAL / 400 с ERR_INVALID_DOMAIN
У меня есть устройство, которому необходимо подключиться к интернет-сервису по tcp: 80, но в сети нет прямого доступа в интернет. Поэтому я использую прокси-сервер Squid, чтобы решить эту проблему.
Устройство позволяет мне вводить прокси-сервер, порт, имя пользователя и пароль.
Я выяснил, что устройство использует http CONNECT вместо http GET (который отлично работает с моим браузером).
При попытке подключения устройство выдает ошибку http 400.
Squid access.log дает мне только это:
1338885433.033 0 172.22.140.129 TCP_DENIED / 400 1728 CONNECT: 0 - НЕТ / - текст / html
Итак, я захватил пакеты, чтобы действительно увидеть, что происходит:
Запрос от устройства:
ПОДКЛЮЧИТЕ мой домен.com: 0 HTTP / 1.0 Пользовательский агент: Sequencer / 5.5.0.5539
Ответ от squid:
HTTP / 1.0 400 неверный запрос squid / 2.7.STABLE9 Ошибка X-Squid: ERR_INVALID_URL 0 Закрыть
Мой squid.conf:
auth_param основная программа / usr / lib / squid / pam_auth auth_param basic children 5 auth_param basic realm Squid прокси-кеширующий веб-сервер auth_param basic credentialsttl 2 часа auth_param basic casesensitive off acl all src all прото cache_object диспетчера acl acl localhost src 127. 0,0.1 / 32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl localnet src 10.0.0.0/8 # RFC1918 возможная внутренняя сеть acl localnet src 172.16.0.0/12 # RFC1918 возможная внутренняя сеть acl localnet src 192.168.0.0/16 # RFC1918 возможная внутренняя сеть acl SSL_ports порт 443 # https acl SSL_ports порт 563 # snews acl SSL_ports порт 873 # rsync acl Safe_ports порт 80 # http acl Safe_ports порт 21 # ftp acl Safe_ports порт 443 # https acl Safe_ports порт 70 # gopher acl Safe_ports порт 210 # wais acl Safe_ports port 1025-65535 # незарегистрированные порты acl Safe_ports порт 280 # http-mgmt acl Safe_ports порт 488 # gss-http acl Safe_ports порт 591 # файловый менеджер acl Safe_ports порт 777 # многоязычный http acl Safe_ports порт 631 # чашки acl Safe_ports порт 873 # rsync acl Safe_ports порт 901 # SWAT acl метод продувки PURGE acl CONNECT метод CONNECT acl checkpw proxy_auth ТРЕБУЕТСЯ http_access разрешить диспетчер localhost http_access deny manager http_access разрешить очистку localhost http_access запретить чистку http_access deny! Safe_ports http_access разрешить CONNECT http_access разрешить локальную сеть http_access разрешить localhost http_access разрешить проверку всех http_access запретить все icp_access разрешить локальную сеть icp_access запретить все http_port 3128 иерархия_стоплист cgi-bin? access_log / var / log / squid / access. Apache broken_vary_encoding разрешить apache extension_methods ОТЧЕТ ОБ ОБЪЕДИНЕНИИ MKACTIVITY CHECKOUT файл_хостов / etc / hosts forwarded_for выкл. каталог_коредумпа / var / spool / squid
Есть ли какое-нибудь решение, чтобы избавиться от ERR_INVALID_URL? Я неправильно понял концепцию прокси-сервера squid или запрос от устройства недействителен?
Сообщите мне, если потребуется дополнительная информация.
Заранее спасибо,
Кристиан.
Squid работает но не выдает страницу
У меня кальмар (v4.8) установлен на виртуальной машине, назовем его маршрутизатором , , эта машина может подключаться как к Интернету, так и к внутренней сети, которая ведет к другой виртуальной машине, хранилище .
Хочу squid на:
- работают как прокси-сервер кеша, а
- работают как в прямом, так и в прозрачном режиме.
Я не читал никого, кто делал бы то же самое, но я видел некоторые конфигурации Squid, в которых указано более одного порта для прослушивания, и по крайней мере один из них может иметь переключатель перехвата . Я должен сказать, что у меня также есть другой интерфейс ( host-only ), который соединяет маршрутизатор с хостом (фактическая машина), этот интерфейс предназначен только для тестирования некоторых функций.
фактов:
- С помощью веб-браузера с хоста :
- Меня просят ввести учетные данные
- Если я ввожу неправильные учетные данные, меня снова спросят
- Если я наберу правильный, он продолжится
- Если я попытаюсь перейти на веб-страницу, которой нет в белом списке, я вижу баннер Squid
- Если я попытаюсь перейти на разрешенную веб-страницу… он просто продолжает загружаться, ничего не показывая
- С помощью приложения командной строки из хранилища :
- Если я попытаюсь получить черную страницу (не в белом списке), я получаю:
- Веб-страница HTML с ERR_ACCESS_DENIED (
curl
)-o - Текстовый файл с ОШИБКА 403: Запрещено (
wget
)-o - В обоих случаях получаю от
доступ. C
) Я вижу изaccess.log
: NONE_ABORTED / 000 0 GET http: // whiteurl — HIER_NONE / — — и вообще ничего вcache.log
. - Выдача
curl -x "http: // user: pass @ domain: 8080"
:- Если учетные данные неверны, я получаю файл HTML с ERR_CACHE_ACCESS_DENIED .
Файлaccess.log
: TCP_DENIED / 407 размер GET http: // url user HIER_NONE / — text / html и ничего в кеше.журнал
. - Если учетные данные верны:
- Страница черного списка: я действительно понял.
Файлaccess.log
: TCP_MISS / 200 размер GET http: // blackurl пользователь HIER_DIRECT / ipurl (или TCP_REFRESH_MODIFIED ) и ничего в кэше .log - Страница белого списка: мне не удается получить что-либо, и когда я прерываюсь, я попадаю на
access. log
: TCP_MISS_ABORTED / 000 0 GET http: // whiteurl — HIER_NONE / — — , ничего в кеше.журнал
. - ПРИМЕЧАНИЕ. Я по ошибке попытался получить страницу, которая привела меня к перенаправлению, поэтому я получил 301 Перемещено навсегда . Файл
access.log
: TCP_MISS / 301 размер GET http: // whitepage — HIER_DIRECT / ipurl и ничего вcache.log
. - ПРИМЕЧАНИЕ. Предыдущая страница была в моем белом списке .
- ПРИМЕЧАНИЕ. Если я запрашиваю запрещенную страницу с учетными данными, она всегда появляется в конце URL-адреса.
- Страница черного списка: я действительно понял.
- Если учетные данные неверны, я получаю файл HTML с ERR_CACHE_ACCESS_DENIED .
- Веб-страница HTML с ERR_ACCESS_DENIED (
- Если я попытаюсь получить черную страницу (не в белом списке), я получаю:
Мой конфигурационный файл squid ( /etc/squid/squid.conf
):
http_port 8080
http_port 3128 перехват
dns_nameservers 127.0.0.1 1.1.1.1 # Иногда squid не загружает сервер имён из /etc/resolv.conf
# Место хранения
каталог_кеша ufs / var / cache / squid 3000 16 256
maximum_object_size 250 МБ
refresh_pattern -i ". + \. (mp4 | mkv | webm | iso) $" 0 20% 2880
# Аутентификация
auth_param основная программа / usr / lib / squid / basic_db_auth \
--user "user" --password "pass" \
--table "table" --usercol "userinsomelang" --passwdcol "passinsomelang" --md5 \
--сопротивляться
auth_param основные дети 10
auth_param базовая область "Прокси-сервер Squid"
auth_param basic credentialsttl 1 час
auth param basic casesensitive on
# Списков ACL
acl whitedomain srcdomain.mydomain.com
acl whitehosts src "/etc/squid/files/whitehosts.list"
acl whites dstdomain "/etc/squid/files/whitesites.list"
acl блокирует сайты dstdomain "/etc/squid/files/blacksites.list"
acl blockurl url_regex -i "/etc/squid/files/block_url.list"
время работы acl Пн-Пт 8: 00-17: 00
acl рабочее время HF 18: 00-23: 00
acl safeports порт 80
acl safeports порт 443
acl safeports порт 1025-65535
acl db_auth proxy_auth ТРЕБУЕТСЯ
acl CONNECT method CONNECT # Понятия не имею, для чего это нужно
# Действия
http_access запретить blockurl
http_access разрешить белые
http_access разрешить работу
http_access deny! safeports
http_access разрешить db_auth whitehosts
http_access запретить все
Я думаю, что моя конфигурация iptables
в маршрутизаторе не нужна, вы можете понять, что она хорошо работает с этими журналами. И я использую минимум, чтобы проверить, что это не из-за этого.
Я также провел анализ пакетов, я могу видеть пакеты, поступающие из внутренней сети, пакеты, исходящие и входящие от моего внешнего сетевого адаптера (разрешение имени, связанное с запрашиваемыми страницами), и все.
Итак, я вижу две основные проблемы, их может быть больше:
- Я не могу получить страницы белого списка (прозрачный или прямой режим).
- Я могу получить страницы черного списка с правильными учетными данными, но только из командной строки, я не могу этого добиться с помощью своего веб-браузера.
Как это исправить? Почему это так работает?
Squid 3.5.20 не аутентифицируется через Active Directory и Kerberos
Я делаю прозрачный прокси через AD и Kerberos V5. CentOS присоединился к домену Windows с областью:
[root @ vs-otr-squid02 ~] # список областей
domain.ru
тип: kerberos
realm-name: DOMAIN. RU
доменное имя: domain.ru
настроен: kerberos-member
программное обеспечение сервера: активный каталог
клиентское программное обеспечение: sssd
требуемый-пакет: oddjob
требуемый-пакет: oddjob-mkhomedir
обязательный пакет: sssd
обязательный пакет: adcli
требуемый-пакет: samba-common-tools
форматы входа в систему:% U @ domain.RU
логин-политика: разрешить-царство-логины
Информация о кальмарах:
Кэш Squid: версия 3.5.20
Название службы: кальмар
параметры конфигурации: '--build = x86_64-redhat-linux-gnu' '--host = x86_64-redhat-linux-gnu' '--program-prefix =' '--prefix = / usr' '--exec- префикс = / usr '' --bindir = / usr / bin '' --sbindir = / usr / sbin '' --sysconfdir = / etc '' --datadir = / usr / share '' --includedir = / usr / include '' --libdir = / usr / lib64 '' --libexecdir = / usr / libexec '' --sharedstatedir = / var / lib '' --mandir = / usr / share / man '' --infodir = / usr / share / info '' --disable-strict-error-check '' --exec_prefix = / usr '' --libexecdir = / usr / lib64 / squid '' --localstatedir = / var '' --datadir = / usr / share / squid '' --sysconfdir = / etc / squid '' --with-logdir = $ (localstatedir) / log / squid '' --with-pidfile = $ (localstatedir) / run / squid. pid '' --disable-dependency-tracking '' --enable-eui '' --enable-follow-x-forwarded-for '' --enable-auth '' --enable-auth-basic = DB, LDAP , MSNT-multi-domain, NCSA, NIS, PAM, POP3, RADIUS, SASL, SMB, SMB_LM, getpwnam '' --enable-auth-ntlm = smb_lm, fake '' --enable-auth-digest = file, LDAP , eDirectory '' --enable-auth -gotiate = kerberos '' --enable-external-acl-helpers = file_userip, LDAP_group, time_quota, session, unix_group, wbinfo_group, kerberos_ldap_group '' --enable-cache-digests '' - -enable-cachemgr-hostname = localhost '' --enable-delay -pool '' --enable-epoll '' --enable-identify-lookups '' --enable-linux-netfilter '' --enable-remove- policy = heap, lru '' --enable-snmp '' --enable-ssl-crtd '' --enable-storeio = aufs, diskd, rock, ufs '' --enable-wccpv2 '' --enable-esi '' --enable-ecap '' --with-aio '' --with-default-user = squid '' --with-dl '' --with-openssl '' --with-pthreads '' - disable-arch-native '' build_alias = x86_64-redhat-linux-gnu '' host_alias = x86_64-redhat-linux-gnu '' CFLAGS = -O2 -g -pipe -Wall -Wp, -D_FORTIFY_SOURCE = 2 -fexceptions -f stack-protector-strong --param = ssp-buffer-size = 4 -grecord-gcc-Switches -m64 -mtune = generic -fpie '' LDFLAGS = -Wl, -z, relro -pie -Wl, -z, relro -Wl, -z, сейчас '' CXXFLAGS = -O2 -g -pipe -Wall -Wp, -D_FORTIFY_SOURCE = 2 -fexceptions -fstack-protector-strong --param = ssp-buffer-size = 4 -grecord-gcc- переключатели -m64 -mtune = generic -fpie '' PKG_CONFIG_PATH =: / usr / lib64 / pkgconfig: / usr / share / pkgconfig '
Содержимое файла Keytab:
слот КВНО Принципал
---- ---- ------------------------------------------ ---------------------------
1 3 HTTP / vs-otr-squid02 @ ДОМЕН. RU
Пользователь AD — squid2018, для него сделан этот файл keytab. Убедитесь:
[root @ vs-otr-squid02 ~] # kinit HTTP/[email protected]
Пароль для HTTP/[email protected]:
Пароль для squid2018 принят, получен билет:
[root @ vs-otr-squid02 ~] # список
Кэш билетов: KEYRING: постоянный: 0: 0
Принципал по умолчанию: HTTP/[email protected]
Действительный начиная с истечения срока действия принципала обслуживания
27.06.2018 12:05:09 27.06.2018 22:05:09 krbtgt / ДОМЕН[email protected]
продлить до 04.07.2018 12:04:52
Удалить.
Настройки /etc/squid/squid.conf
# Active Directory
auth_param программа согласования / usr / lib64 / squid /gotiate_kerberos_auth -s HTTP/[email protected]
auth_param согласовать детей 600
auth_param согласовать keep_alive off
external_acl_type ad_group_member_check ttl = 120% ВХОД / usr / lib64 / squid / ext_ldap_group_acl -d -v3 -P -R -K -b "DC = domain, DC = ru" -D "vs-otr-squid02 @ domain. ru "-w VerySecretPassword -f" (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) "-h hs-dc-1.domain.ru
# Аутентифицировать
acl auth proxy_auth ТРЕБУЕТСЯ
acl ad_users external ad_group_member_check full_access
# Стандартные порты
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # gopher
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файловый менеджер
acl Safe_ports порт 777 # многоязычный http
acl CONNECT метод CONNECT
# Стандартное разрешение
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access разрешить диспетчер локального хоста
http_access deny manager
http_access разрешить localhost
http_access разрешить аутентификацию
# Разрешение для пользователей AD
http_access разрешить ad_users
# Отрицай все остальное
http_access запретить все
# Порты прокси
Сибирский порт 172. суслик: 1440 0% 1440
шаблон_обновления -i (/ cgi-bin / | \?) 0 0% 0
refresh_pattern. 0 20% 4320
# DNS
dns_nameservers 172.31.2.113
dns_v4_first на
Squid рабочий статус:
[root @ vs-otr-squid02 ~] # systemctl status squid
● squid.service - прокси для кеширования Squid
Загружено: загружено (/usr/lib/systemd/system/squid.service; включено; предустановка поставщика: отключено)
Активен: активен (работает) с Ср 27.06.2018 11:31:08 МСК; 42мин назад
Процесс: 2753 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (код = завершен, статус = 0 / УСПЕШНО)
Процесс: 2762 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (код = завершен, статус = 0 / УСПЕШНО)
Процесс: 2756 ExecStartPre = / usr / libexec / squid / cache_swap.sh (код = завершен, статус = 0 / УСПЕШНО)
Основной PID: 2765 (кальмар)
CGroup: /system.slice/squid.service
├─2765 / usr / sbin / squid -f /etc/squid/squid.conf
├─2767 (squid-1) -f /etc/squid/squid. conf
├─2768 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
├─2769 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D vs-otr-squid02 @ domain.ru -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc -1.domain.ru
├─2770 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
├─2771 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D vs-otr-squid02 @ domain.ru -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc -1. domain.ru
├─2772 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
└─2773 (файл-журнал-демон) /var/log/squid/access.log
27 июня, 11:31:08 vs-otr-squid02 systemd [1]: Запуск прокси-сервера кеширования Squid...
27 июня, 11:31:08 vs-otr-squid02 squid [2765]: Squid Parent: начнется 1 ребенок
27 июня, 11:31:08 vs-otr-squid02 squid [2765]: Родитель Squid: (squid-1) процесс 2767 запущен
27 июня, 11:31:08 vs-otr-squid02 systemd [1]: запущен прокси-сервер кеширования Squid.
Но браузер показывает окошко для ввода имени и пароля, чего быть не должно. Хорошо, я ввел, но это не принято, а в /var/log/squid/cache.log:
2018.06.27 12:19:16 kid1 | Принятие перехваченных NAT соединений сокета HTTP на local = 172.31.4.64: 3127 удаленный = [::] FD 24 флага = 41
2018. 06.27 12: 19: 29 | Текущий каталог: /
2018.06.27 12:19:29 kid1 | Подготовка к выключению после 0 запросов
2018.06.27 12:19:29 kid1 | Ожидание 30 секунд завершения активных подключений
2018.06.27 12:19:29 kid1 | Закрытие HTTP-порта 172.31.4.64:3128
2018.06.27 12:19:29 kid1 | Закрытие HTTP-порта 172.31.4.64:3127
2018.06.27 12:19:29 kid1 | Текущий каталог: /
2018.06.27 12:19:29 kid1 | Запуск Squid Cache версии 3.5.20 для x86_64-redhat-linux-gnu ...
2018.06.27 12:19:29 kid1 | Название службы: кальмар
2018.06.27 12:19:29 kid1 | ID процесса 2858
2018.06.27 12:19:29 kid1 | Роли процесса: работник
2018.06.27 12:19:29 kid1 | Имеется 16384 файловых дескриптора
2018.06.27 12:19:29 kid1 | Инициализация IP-кеша...
2018.06.27 12:19:29 kid1 | Сокет DNS создан в [::], FD 8
2018.06.27 12:19:29 kid1 | Сокет DNS создан в 0.0.0.0, FD 10
2018.06.27 12:19:29 kid1 | Добавление сервера имен 172.31.2.113 из squid.conf
2018.06.27 12:19:29 kid1 | helperOpenServers: запуск 0/600 процессов "gotiate_kerberos_auth "
2018. 06.27 12:19:29 kid1 | helperStatefulOpenServers: никаких процессов "gotiate_kerberos_auth "не требуется.
2018.06.27 12:19:29 kid1 | helperOpenServers: Запуск 5/5 процессов ext_ldap_group_acl
2018.06.27 12:19:29 kid1 | Файл журнала: демон открытия журнала: / var / log / squid / access.бревно
2018.06.27 12:19:29 kid1 | Демон файла журнала: открытие журнала /var/log/squid/access.log
2018.06.27 12:19:29 kid1 | Включен дайджест локального кеша; перестраивать / перезаписывать каждые 3600/3600 секунд
2018.06.27 12:19:29 kid1 | Ведение журнала отключено
2018.06.27 12:19:29 kid1 | Swap maxSize 0 + 262144 КБ, ориентировочно 20164 объекта
2018.06.27 12:19:29 kid1 | Целевое количество ковшей: 1008
2018.06.27 12:19:29 kid1 | Использование ведер 8192 Store
2018.06.27 12:19:29 kid1 | Максимальный размер памяти: 262144 КБ
2018.06.27 12:19:29 kid1 | Максимальный размер свопа: 0 КБ
2018.06.27 12:19:29 kid1 | Использование выбора каталога с наименьшей загрузкой
2018.06.27 12:19:29 kid1 | Текущий каталог: /
2018. 06.27 12:19:29 kid1 | Завершена загрузка типов и значков MIME.2018.06.27 12:19:29 kid1 | HTCP отключен.
2018.06.27 12:19:29 kid1 | Модулей плагина Squid загружено: 0
2018.06.27 12:19:29 kid1 | Поддержка адаптации отключена.
2018.06.27 12:19:29 kid1 | Принятие соединений сокета HTTP на local = 172.31.4.64: 3128 remote = [::] FD 23 flags = 9
2018.06.27 12:19:29 kid1 | Принятие перехваченных NAT соединений сокета HTTP на local = 172.31.4.64: 3127 remote = [::] FD 24 flags = 41
2018.06.27 12:19:30 kid1 | storeLateRelease: выпущено 0 объектов
2018.06.27 12:19:46 kid1 | Запуск новых помощников по аутентификатору переговоров...
2018.06.27 12:19:46 kid1 | helperOpenServers: запуск процессов 1/600'gotiate_kerberos_auth '
2018.06.27 12:19:46 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:50 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018. 06.27 12:19:51 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:51 kid1 | ОШИБКА: Согласование проверки подлинности пользователя.Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:19:55 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:19:55 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:57 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:59 kid1 | ОШИБКА: Согласование проверки подлинности пользователя.Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:00 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:03 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:06 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
/ var / log / squid / access.журнал
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - текст / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT яндекс.ru: 443 - HIER_NONE / - текст / html
1530088115.039 4 172. 31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.сеть: 443 - HIER_NONE / - текст / html
1530088115.047 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088116.578 1 172.31.10.71 TCP_DENIED / 407 4333 CONNECT cdn.syndication.twimg.com:443 - HIER_NONE / - text / html
1530088116.585 7 172.31.10.71 TCP_DENIED / 407 4313 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
1530088116.585 6 172.31.10.71 TCP_DENIED / 407 4269 CONNECT 3dnews.ru:443 - HIER_NONE / - text / html
1530088116.585 1 172.31.10.71 TCP_DENIED / 407 5648 POST http: // top-fwz1. mail.ru/tracker? - HIER_NONE / - текст / html
1530088116.596 18 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088118.941 0 172.31.10.71 TCP_DENIED / 407 4236 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE / - text / html
1530088118.946 0 172.31.10.71 TCP_DENIED / 407 4341 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE / - text / html
1530088121.934 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088121.938 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088125.390 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088125.393 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091186.082 0 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091186.103 17 172.31.10.71 TCP_DENIED / 407 4269 CONNECT яндекс. ru: 443 - HIER_NONE / - текст / html
1530091190.539 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091191.307 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091191.770 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.390 0 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.395 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT сек.api.browser.yandex.ru:443 - HIER_NONE / - текст / html
1530091195.396 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.398 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091197.499 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091199.183 0 172.31.10.71 TCP_DENIED / 407 4348 GET http://forundex.ru/unix%20linux/favicon.ico - HIER_NONE / - text / html
1530091199. 185 0 172.31.10.71 TCP_DENIED / 407 4453 GET http://forundex.ru/unix%20linux/favicon.ico - HIER_NONE / - text / html
1530091200.420 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091200.423 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091203.169 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT cdn.syndication.twimg.com:443 - HIER_NONE / - text / html
1530091203.172 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT cdn.синдикация.twimg.com:443 - HIER_NONE / - текст / html
1530091206.171 0 172.31.10.71 TCP_DENIED / 407 4208 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
1530091206.174 0 172.31.10.71 TCP_DENIED / 407 4313 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
Мне нужна помощь. Спасибо за продвижение.
Squid TCP_DENIED / 403 4037 GET http://detectportal.firefox.com/success.txt — HIER_NONE / — text / html
Я только что установил Squid 3. 5.27 на сервере Ubuntu 18.04
пользователь @ ubuntu: ~ $ lsb_release -a
Модулей LSB нет.
Идентификатор распространителя: Ubuntu
Описание: Ubuntu 18.04 LTS
Релиз: 18.04
Кодовое имя: бионический
пользователь @ ubuntu: ~ $
пользователь @ ubuntu: ~ $ dpkg -l | grep squid
ii squid 3.5.27-1ubuntu1 amd64 Полнофункциональный кеш веб-прокси (HTTP-прокси)
ii squid-common 3.5.27-1ubuntu1 все полнофункциональный кеш веб-прокси (HTTP-прокси) - общие файлы
ii squid-langpack 20170901-1 все локализованные страницы ошибок для Squid
пользователь @ ubuntu: ~ $
пользователь @ ubuntu: ~ $ squid -v
Кэш Squid: Версия 3.5,27
Название службы: кальмар
Ubuntu Linux
параметры конфигурации: '--build = x86_64-linux-gnu' '--prefix = / usr' '--includedir = $ {prefix} / include' '--mandir = $ {prefix} / share / man' '- -infodir = $ {prefix} / share / info '' --sysconfdir = / etc '' --localstatedir = / var '' --libexecdir = $ {prefix} / lib / squid3 '' --srcdir =. ' '--disable-keeper-mode' --disable-dependency-tracking '--disable-silent-rules' BUILDCXXFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3- 3. 5.27 =. -fstack-protector-strong -Wformat -Werror = format-security -Wno-error = deprecated -Wno-error = format-truncation -Wdate-time -D_FORTIFY_SOURCE = 2 -Wl, -Bsymbolic-functions -Wl, -z, relro -Wl, -z, теперь -Wl, - по необходимости '' --datadir = / usr / share / squid '' --sysconfdir = / etc / squid '' --libexecdir = / usr / lib / squid ' '--mandir = / usr / share / man' '--enable-inline' '--disable-arch-native' '--enable-async-io = 8' '--enable-storeio = ufs, aufs, diskd, rock '' --enable-remove-policies = lru, heap '' --enable-delay -pool '' --enable-cache-digests '' --enable-icap-client '' --enable-follow -x-forwarded-for '' --enable-auth-basic = DB, fake, getpwnam, LDAP, NCSA, NIS, PAM, POP3, RADIUS, SASL, SMB '' --enable-auth-digest = файл, LDAP '' --enable-auth -gotiate = kerberos, wrapper '' --enable-auth-ntlm = fake, smb_lm '' --enable-external-acl-helpers = file_userip, kerberos_ldap_group, LDAP_group, session, SQL_session, time_quota, unix_group, wbinfo_group '' --enable-url-rewrite-helpers = fake '' --enable-eui '' --enable-esi '' --enable-icmp '' --enable-zph-qos '' - включить-ecap '' - disable-translation '' --with-swapdir = / var / spool / squid '' --with-logdir = / var / log / squid '' --with-pidfile = / var / run / squid. pid '' --with-filedescriptors = 65536 '' --with-large-files '' --with-default-user = proxy '' --enable-build-info = Ubuntu linux '' --enable-linux- netfilter '' build_alias = x86_64-linux-gnu '' CFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3-3.5.27 =. -fstack-protector-strong -Wformat -Werror = format-security -Wall '' LDFLAGS = -Wl, -Bsymbolic-functions -Wl, -z, relro -Wl, -z, now -Wl, - as-required ' 'CPPFLAGS = -Wdate-time -D_FORTIFY_SOURCE = 2' 'CXXFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3-3.5.27 =.-fstack-protector-strong -Wformat -Werror = безопасность-формат -Wno-error = не рекомендуется -Wno-error = усечение-формат '
пользователь @ ubuntu: ~ $
К сожалению, не работает. Это /var/log/squid/access.log
пользователь @ ubuntu: ~ $ sudo tail -F /var/log/squid/access.log
1530545854.655 1 192.168.0.254 TCP_DENIED / 403 4037 GET http://detectportal.firefox.com/success.txt - HIER_NONE / - text / html
1530545857.