Tcp denied 407 squid: internet — Squid logs show «TCP_DENIED/407» error

Как настроить squid 4.10 посредством авторизации в AD, чтобы не было ошибки «Доступ к кэшу запрещен» ?

Доброго времени суток! Суть проблемы: тестовая машина в домене (винда) не ходит в интернет. На тестовой машине прописан прокси-сервер 10.47.143.178 (тоже пока тестовый), на котором стоит freebsd 12.1. При этом в браузере сначала выдается окно авторизации, в него ввожу данные учетной записи, пробую авторизоваться и в итоге появляется надпись следующего содержания: Ошибка. Доступ к кэшу запрещен. Скрины данной ошибки прикреплены к посту.

Как мне кажется вся проблема в сквиде версии 4.10, а точнее в конфиге сквида. Вот этот конфиг:

auth_param ntlm program /usr/local/bin/ntlm_auth —helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 50

auth_param basic program /usr/local/bin/ntlm_auth —helper-protocol-squid-2.5-basic

auth_param basic children 50

auth_param basic realm TESTPROXY

auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group. gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern . 0 20% 4320

Сразу скажу, что конфиг данный был срисован со старого сквида еще 3 версии, не помню точно какой. Пробовал гуглить аналогичный конфиг для версии сквида 4.10, но так ничего и не нашел. Как видно по конфигу аутентификация осуществляется при помощи сетевого протокола NTLM.

Просмотрел логи squid. Вот что выдается в access.log при попытке с тестовой машины клиента при попытке зайти на яндекс:

1587222517.160 1 10.47.143.211 TCP_DENIED/407 4524 GET http://yandex.ru/ — HIER_NONE/- text/html

1587222517.172 2 10.47.143.211 TCP_DENIED/407 4889 GET http://yandex.ru/ — HIER_NONE/- text/html

1587222517.236 61 10.47.143.211 TCP_DENIED/407 5205 GET http://yandex.ru/ testsquid HIER_NONE/- text/html

1587222519.614 12 10.47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html

1587222521.731 24 10. 47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html

1587222523.063 25 10.47.143.211 TCP_DENIED/407 4665 GET http://yandex.ru/ testsquid HIER_NONE/- text/html

1587222523.142 17 10.47.143.211 TCP_DENIED/407 4667 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

1587222523.166 17 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

1587222524.046 17 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

1587222525.363 23 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

1587222526.252 18 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

1587222527. 089 28 10.47.143.211 TCP_DENIED/407 4765 GET http://testproxy.fkp47.local:3128/squid-internal-static/icons/SN.png testsquid HIER_NONE/- text/html

А вот что выдается в cache.log:

2020/04/19 19:39:18 kid1| Starting new helpers

2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group.pl’ processes

2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory

2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527164 exited

2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)

2020/04/19 19:39:18 kid1| Starting new helpers

2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group.pl’ processes

2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory

2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527165 exited

2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)

2020/04/19 19:39:18 kid1| Starting new helpers

2020/04/19 19:39:18 kid1| helperOpenServers: Starting 1/5 ‘wbinfo_group. pl’ processes

2020/04/19 19:39:18 kid1| ipcCreate: /usr/local/libexec/squid/wbinfo_group.pl: (2) No such file or directory

2020/04/19 19:39:18 kid1| WARNING: nt_group #Hlpr4527166 exited

2020/04/19 19:39:18 kid1| Too few nt_group processes are running (need 1/5)

Соответственно вопрос: что не так с синтаксисом конфига для squid, где закралась ошибка. Читал мануалы, но там не все моменты подробно раскрыты

И вообще может лучше установить squid другой версии?

Интеграция Squid 4.9 с Active Directory на Debian 9 Stretch. Реализация Kerberos аутентификации и LDAP авторизации.

Содержание статьи:

Разберем как настроить связь Squid 4.9 c Active Directory через Kerberos аутентификацию и Basic LDAP авторизацию, для предоставления доступа в интернет по доменным учетным записям и разграничение прав согласно заданным группам безопасности Active Directory.

Исходные данные:

• Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA. LOCAL
• Прокси-сервер Squid 4.9 (squid) на Debian 9 Stretch

Подготовка системы (Debian 9 Stretch)

Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

Настройка Active Directory (Windows Server 2012 R2)

В DNS зону (JAKONDA.LOCAL), добавляем A-запись файлового сервера:

Создаем служебного пользователя (прим. squid), с бесконечным срок действия пароля.

Создаем KEYTAB-файл (необходим для аутентификации пользователей в Active Directory). В командной строке с правами администраторы выполняем команду (соблюдая регистр):

Полученный KEYTAB-файл, передаем любым удобным способом на файловый сервер (расположение KEYTAB-файла указываем — /etc/squid/squid. keytab). Как передать файл посредством утилиты PuTTY можно прочитать тут

Назначаем права доступа на KEYTAB-файл для использования его прокси-сервером:

Настройка Kerberos

Установка пакетов для поддержки аутентификации Kerberos:

В ходе установки может появится запрос указать область по-умолчанию для Kerberos, область необходимо его указать в заглавном виде (прим. JAKONDA.LOCAL)

Файл конфигурации Kerberos (/etc/krb5.conf), приводим к виду:

Соответственно подставляем название своего домена вместо jakonda.local/JAKONDA.LOCAL

Проверка работы Kerberos, выполним авторизацию в Active Directory:

Удаляем полученный билет:

Настройка Squid

Сперва установим необходимые пакеты для корректной работы механизмов Kerberos и LDAP:

В стартовом скрипте (/etc/init.d/squid) добавим путь к keytab-файлу. В скрипте находим строку DESC=»Squid HTTP Proxy» и ниже дописываем:

Применяем изменения в демоне и перезапускаем squid:

Для использования Kerberos аутентификации и LDAP авторизации, необходимо в файле конфигурации (/etc/squid/squid.conf) указать следующие параметры:

ПРИМЕЧАНИЕ. Обращаю внимание что в конфигурации строку http_access allow localnet необходимо закоментировать либо вовсе удалить из конфигурации.

Указанные параметры позволят выход в интернет только авторизованным в Active Directory пользователям. В случае если выход в интернет осуществляется из доменной системы и авторизованным доменным пользователем, то аутентификация будет проходить по методу SSO (Single Sign On), в противном случае будет запрошен ЛОГИН\ПАРОЛЬ (доменной учетной записи) для доступа в интернет.

Для более гибкого управления доступом в интернет конечно же необходимо задействовать Группы безопасности Active Directory. Рассмотрим пример использования групп безопасности в Squid.

Сперва создадим в Active Directory прим. следующие группы безопасности:

Для проверки, что хелперы (Kerberos и Basic LDAP) отрабатывают корректно, выполним для каждого из них запрос, в котором проверим членство пользователя squid в группе безопасности SQUID_FullAccess.

Для Kergeros, выполним запрос:

Для Basic LDAP, выполним запрос:

ПРИМЕЧАНИЕ. В случае если все работает корректно, то ответ на запрос в случае положительного результата, будет OK или же ERR. В моем случае пользователь squid имеет членство в группе SQUID_FullAccess

Теперь в файле конфигурации (/etc/squid/squid.conf) укажем следующие параметры:

Для общего понимания указанных выше параметров, небольшое пояснение. Сперва описывается механизм работы хелпера Kerberos, в котором мы указываем в какой группе необходимо проверять членство пользователя. Для каждой группы указывается отдельный хелпер Kerberos.

Далее описывается механизм работы хелпера Basic LDAP, в котором указывается учетная запись (я использую ту для которой делался keytab-файл) с помощью которой будет просматриваться каталог LDAP, а так же задается область в которой находятся группы безопасности. Далее задаются ACL (Access Lists), которые сопоставляются с указанными хелперами.

Зададим порядок обработки определенных выше ACL:

Применяем внесенные изменения в файл конфигурации:

На этом настройка squid завершена, можно приступать к проверке работы. Для этого на пользовательских ПК необходимо задать использование Прокси-сервера (Свойствах обозревателя — Подключения — Настройка сети). В поле «Адрес« указываем FQDN имя системы Squid, в моем случае это squid.jakonda.local и заданный порт.

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА

Как установить и настроить частный анонимный прокси-сервер Squid на базе Linux Ubuntu/Debian

Задача: установить и настроить частный анонимный прокси-сервер Squid на базе Linux Ubuntu/Debian.

Видео инструкция на нашем YouTube канале:

Итак поехали, у нас система:

[email protected]:~# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=16. 04
DISTRIB_CODENAME=xenial
DISTRIB_DESCRIPTION="Ubuntu 16.04.6 LTS"
[email protected]:~#

Обновим репозиторий нашей системы:

[email protected]:~# apt-get update
Hit:1 http://mirrors.digitalocean.com/ubuntu xenial InRelease
Get:2 http://mirrors.digitalocean.com/ubuntu xenial-updates InRelease [109 kB]
Get:3 http://mirrors.digitalocean.com/ubuntu xenial-backports InRelease [107 kB]
Get:4 http://security.ubuntu.com/ubuntu xenial-security InRelease [109 kB]
Get:5 http://mirrors.digitalocean.com/ubuntu xenial/universe i386 Packages [7,512 kB]
Get:6 http://mirrors.digitalocean.com/ubuntu xenial/universe Translation-en [4,354 kB]
Get:7 http://mirrors.digitalocean.com/ubuntu xenial/multiverse i386 Packages [140 kB]
Get:8 http://mirrors.digitalocean.com/ubuntu xenial/multiverse Translation-en [106 kB]
Get:9 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 Packages [813 kB]
Get:10 http://mirrors. digitalocean.com/ubuntu xenial-updates/main Translation-en [376 kB]
Get:11 http://mirrors.digitalocean.com/ubuntu xenial-updates/universe i386 Packages [682 kB]
Get:12 http://mirrors.digitalocean.com/ubuntu xenial-updates/universe Translation-en [309 kB]
Get:13 http://mirrors.digitalocean.com/ubuntu xenial-updates/multiverse i386 Packages [15.8 kB]
Get:14 http://mirrors.digitalocean.com/ubuntu xenial-updates/multiverse Translation-en [8,440 B]
Get:15 http://mirrors.digitalocean.com/ubuntu xenial-backports/main i386 Packages [7,288 B]
Get:16 http://mirrors.digitalocean.com/ubuntu xenial-backports/main Translation-en [4,456 B]
Get:17 http://mirrors.digitalocean.com/ubuntu xenial-backports/universe i386 Packages [7,488 B]
Get:18 http://mirrors.digitalocean.com/ubuntu xenial-backports/universe Translation-en [4,184 B]
Get:19 http://security.ubuntu.com/ubuntu xenial-security/main i386 Packages [530 kB]
Get:20 http://security.ubuntu.com/ubuntu xenial-security/main Translation-en [261 kB]
Get:21 http://security. ubuntu.com/ubuntu xenial-security/universe i386 Packages [377 kB]
Get:22 http://security.ubuntu.com/ubuntu xenial-security/universe Translation-en [175 kB]
Get:23 http://security.ubuntu.com/ubuntu xenial-security/multiverse i386 Packages [5,764 B]
Get:24 http://security.ubuntu.com/ubuntu xenial-security/multiverse Translation-en [2,676 B]
Fetched 16.0 MB in 6s (2,624 kB/s)
Reading package lists... Done
[email protected]:~#

Обновляем пакеты:

[email protected]:~# apt-get dist-upgrade
Reading package lists... 0%
Reading package lists... 100%
Reading package lists... Done
Building dependency tree... 0%
Building dependency tree... 0%
Building dependency tree... 50%
Building dependency tree... 50%
Building dependency tree
Reading state information... 0%
Reading state information... 5%
Reading state information... Done
Calculating upgrade. .. 0%
Calculating upgrade... 10%
Calculating upgrade... Done
The following NEW packages will be installed:
linux-headers-4.4.0-145 linux-headers-4.4.0-145-generic linux-image-4.4.0-145-generic linux-modules-4.4.0-145-generic
The following packages will be upgraded:
apt apt-transport-https apt-utils busybox-initramfs busybox-static grub-common grub-pc grub-pc-bin grub2-common libapt-inst2.0 libapt-pkg5.0 libpam-systemd
libpolkit-agent-1-0 libpolkit-backend-1-0 libpolkit-gobject-1-0 libsystemd0 libudev1 linux-headers-generic linux-headers-virtual linux-image-virtual
linux-virtual ntfs-3g policykit-1 rsyslog snapd systemd systemd-sysv ubuntu-core-launcher udev
29 upgraded, 4 newly installed, 0 to remove and 0 not upgraded.
Need to get 51.8 MB of archives.
After this operation, 127 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
0% [Working]

Get:1 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libapt-pkg5. 0 i386 1.2.31 [752 kB]
0% [1 libapt-pkg5.0 0 B/752 kB 0%]

2% [Working]

Get:2 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libapt-inst2.0 i386 1.2.31 [57.5 kB]
2% [2 libapt-inst2.0 0 B/57.5 kB 0%]

2% [Working]

Get:3 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt i386 1.2.31 [1,104 kB]
2% [3 apt 0 B/1,104 kB 0%]

5% [Working]

Get:4 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt-utils i386 1.2.31 [205 kB]
5% [4 apt-utils 0 B/205 kB 0%]

6% [Working]

Get:5 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 systemd-sysv i386 229-4ubuntu21.19 [11.3 kB]
6% [5 systemd-sysv 0 B/11.3 kB 0%]

6% [Working]

Get:6 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpam-systemd i386 229-4ubuntu21.19 [123 kB]
6% [6 libpam-systemd 0 B/123 kB 0%]

7% [Working]

Get:7 http://mirrors. digitalocean.com/ubuntu xenial-updates/main i386 libsystemd0 i386 229-4ubuntu21.19 [222 kB]
7% [7 libsystemd0 0 B/222 kB 0%]

8% [Working]

Get:8 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 systemd i386 229-4ubuntu21.19 [3,653 kB]
8% [8 systemd 0 B/3,653 kB 0%]

14% [Working]

Get:9 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 udev i386 229-4ubuntu21.19 [1,000 kB]
14% [9 udev 0 B/1,000 kB 0%]

16% [Working]

Get:10 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libudev1 i386 229-4ubuntu21.19 [57.1 kB]
16% [10 libudev1 0 B/57.1 kB 0%]

17% [Working]

Get:11 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 ntfs-3g i386 1:2015.3.14AR.1-1ubuntu0.2 [518 kB]
17% [11 ntfs-3g 0 B/518 kB 0%]

19% [Working]

Get:12 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-pc i386 2.02~beta2-36ubuntu3. 21 [198 kB]
19% [12 grub-pc 0 B/198 kB 0%]

19% [Working]

Get:13 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-pc-bin i386 2.02~beta2-36ubuntu3.21 [917 kB]
19% [13 grub-pc-bin 0 B/917 kB 0%]

22% [Working]

Get:14 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub2-common i386 2.02~beta2-36ubuntu3.21 [545 kB]
22% [14 grub2-common 0 B/545 kB 0%]

23% [Working]

Get:15 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 grub-common i386 2.02~beta2-36ubuntu3.21 [1,741 kB]
23% [15 grub-common 0 B/1,741 kB 0%]

26% [Working]

Get:16 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 ubuntu-core-launcher i386 2.37.4ubuntu0.1 [1,572 B]
26% [16 ubuntu-core-launcher 0 B/1,572 B 0%]

27% [Working]

Get:17 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 snapd i386 2.37.4ubuntu0.1 [10.5 MB]
27% [17 snapd 0 B/10. 5 MB 0%]

44% [Working]

Get:18 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 busybox-initramfs i386 1:1.22.0-15ubuntu1.4 [166 kB]
44% [18 busybox-initramfs 0 B/166 kB 0%]

45% [Working]

Get:19 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 rsyslog i386 8.16.0-1ubuntu3.1 [399 kB]
45% [19 rsyslog 0 B/399 kB 0%]

46% [Working]

Get:20 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apt-transport-https i386 1.2.31 [28.5 kB]
46% [20 apt-transport-https 0 B/28.5 kB 0%]

46% [Working]

Get:21 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 busybox-static i386 1:1.22.0-15ubuntu1.4 [798 kB]
46% [21 busybox-static 0 B/798 kB 0%]

48% [Working]

Get:22 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-gobject-1-0 i386 0.105-14.1ubuntu0.5 [38.5 kB]
48% [22 libpolkit-gobject-1-0 0 B/38. 5 kB 0%]

49% [Working]

Get:23 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-agent-1-0 i386 0.105-14.1ubuntu0.5 [15.8 kB]
49% [23 libpolkit-agent-1-0 0 B/15.8 kB 0%]

50% [Working]

Get:24 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 libpolkit-backend-1-0 i386 0.105-14.1ubuntu0.5 [41.3 kB]
50% [24 libpolkit-backend-1-0 0 B/41.3 kB 0%]

50% [Working]

Get:25 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-4.4.0-145 all 4.4.0-145.171 [10.0 MB]
50% [25 linux-headers-4.4.0-145 0 B/10.0 MB 0%]

66% [Working]

Get:26 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-4.4.0-145-generic i386 4.4.0-145.171 [803 kB]
66% [26 linux-headers-4.4.0-145-generic 0 B/803 kB 0%]

68% [Working]

Get:27 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-modules-4.4.0-145-generic i386 4. 4.0-145.171 [11.0 MB]
68% [27 linux-modules-4.4.0-145-generic 0 B/11.0 MB 0%]

86% [Working]

Get:28 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-image-4.4.0-145-generic i386 4.4.0-145.171 [6,782 kB]
86% [28 linux-image-4.4.0-145-generic 0 B/6,782 kB 0%]

97% [Working]

Get:29 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-virtual i386 4.4.0.145.153 [1,776 B]
97% [29 linux-virtual 0 B/1,776 B 0%]

97% [Working]

Get:30 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-image-virtual i386 4.4.0.145.153 [2,694 B]
97% [30 linux-image-virtual 0 B/2,694 B 0%]

98% [Working]

Get:31 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-virtual i386 4.4.0.145.153 [1,760 B]
98% [31 linux-headers-virtual 0 B/1,760 B 0%]

99% [Working]

Get:32 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 linux-headers-generic i386 4. 4.0.145.153 [2,568 B]
99% [32 linux-headers-generic 0 B/2,568 B 0%]

99% [Working]

Get:33 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 policykit-1 i386 0.105-14.1ubuntu0.5 [53.0 kB]
99% [33 policykit-1 0 B/53.0 kB 0%]

100% [Working]

Fetched 51.8 MB in 1s (41.6 MB/s)
Extracting templates from packages: 90%
Extracting templates from packages: 100%
Preconfiguring packages ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database . .. 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54199 files and directories currently installed.)
Preparing to unpack .../libapt-pkg5.0_1.2.31_i386.deb ...
Unpacking libapt-pkg5.0:i386 (1.2.31) over (1.2.29ubuntu0.1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libapt-pkg5.0:i386 (1.2.31) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database . .. 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54199 files and directories currently installed.)
Preparing to unpack .../libapt-inst2.0_1.2.31_i386.deb ...
Unpacking libapt-inst2.0:i386 (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../archives/apt_1.2.31_i386.deb ...
Unpacking apt (1.2.31) over (1.2.29ubuntu0.1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up apt (1.2.31) ...
Installing new version of config file /etc/apt/apt.conf.d/01autoremove ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database . .. 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../apt-utils_1.2.31_i386.deb ...
Unpacking apt-utils (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../systemd-sysv_229-4ubuntu21.19_i386.deb ...
Unpacking systemd-sysv (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up systemd-sysv (229-4ubuntu21.19) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database .. . 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../libpam-systemd_229-4ubuntu21.19_i386.deb ...
Unpacking libpam-systemd:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Preparing to unpack .../libsystemd0_229-4ubuntu21.19_i386.deb ...
Unpacking libsystemd0:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libsystemd0:i386 (229-4ubuntu21.19) ...
Processing triggers for libc-bin (2. 23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../systemd_229-4ubuntu21.19_i386.deb ...
Unpacking systemd (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for dbus (1.10.6-1ubuntu3.3) ...
Processing triggers for man-db (2. 7.5-1) ...
Setting up systemd (229-4ubuntu21.19) ...
addgroup: The group `systemd-journal' already exists as a system group. Exiting.
[/usr/lib/tmpfiles.d/var.conf:14] Duplicate line for path "/var/log", ignoring.
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database ... 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../udev_229-4ubuntu21. 19_i386.deb ...
Unpacking udev (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Preparing to unpack .../libudev1_229-4ubuntu21.19_i386.deb ...
Unpacking libudev1:i386 (229-4ubuntu21.19) over (229-4ubuntu21.17) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Setting up libudev1:i386 (229-4ubuntu21.19) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
(Reading database ...
(Reading database ... 5%
(Reading database ... 10%
(Reading database ... 15%
(Reading database ... 20%
(Reading database ... 25%
(Reading database ... 30%
(Reading database ... 35%
(Reading database ... 40%
(Reading database ... 45%
(Reading database ... 50%
(Reading database ... 55%
(Reading database ... 60%
(Reading database ... 65%
(Reading database . .. 70%
(Reading database ... 75%
(Reading database ... 80%
(Reading database ... 85%
(Reading database ... 90%
(Reading database ... 95%
(Reading database ... 100%
(Reading database ... 54208 files and directories currently installed.)
Preparing to unpack .../ntfs-3g_1%3a2015.3.14AR.1-1ubuntu0.2_i386.deb ...
Unpacking ntfs-3g (1:2015.3.14AR.1-1ubuntu0.2) over (1:2015.3.14AR.1-1ubuntu0.1) ...
Preparing to unpack .../grub-pc_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub-pc (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub-pc-bin_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub-pc-bin (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub2-common_2.02~beta2-36ubuntu3.21_i386.deb ...
Unpacking grub2-common (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../grub-common_2.02~beta2-36ubuntu3.21_i386. deb ...
Unpacking grub-common (2.02~beta2-36ubuntu3.21) over (2.02~beta2-36ubuntu3.20) ...
Preparing to unpack .../ubuntu-core-launcher_2.37.4ubuntu0.1_i386.deb ...
Unpacking ubuntu-core-launcher (2.37.4ubuntu0.1) over (2.37.4) ...
Preparing to unpack .../snapd_2.37.4ubuntu0.1_i386.deb ...
Unpacking snapd (2.37.4ubuntu0.1) over (2.37.4) ...
Preparing to unpack .../busybox-initramfs_1%3a1.22.0-15ubuntu1.4_i386.deb ...
Unpacking busybox-initramfs (1:1.22.0-15ubuntu1.4) over (1:1.22.0-15ubuntu1) ...
Preparing to unpack .../rsyslog_8.16.0-1ubuntu3.1_i386.deb ...
Unpacking rsyslog (8.16.0-1ubuntu3.1) over (8.16.0-1ubuntu3) ...
Preparing to unpack .../apt-transport-https_1.2.31_i386.deb ...
Unpacking apt-transport-https (1.2.31) over (1.2.29ubuntu0.1) ...
Preparing to unpack .../busybox-static_1%3a1.22.0-15ubuntu1.4_i386.deb ...
Unpacking busybox-static (1:1.22.0-15ubuntu1.4) over (1:1.22.0-15ubuntu1) ...
Preparing to unpack . ../libpolkit-gobject-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-gobject-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Preparing to unpack .../libpolkit-agent-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-agent-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Preparing to unpack .../libpolkit-backend-1-0_0.105-14.1ubuntu0.5_i386.deb ...
Unpacking libpolkit-backend-1-0:i386 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Selecting previously unselected package linux-headers-4.4.0-145.
Preparing to unpack .../linux-headers-4.4.0-145_4.4.0-145.171_all.deb ...
Unpacking linux-headers-4.4.0-145 (4.4.0-145.171) ...
Selecting previously unselected package linux-headers-4.4.0-145-generic.
Preparing to unpack .../linux-headers-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-headers-4.4.0-145-generic (4.4.0-145.171) ...
Selecting previously unselected package linux-modules-4. 4.0-145-generic.
Preparing to unpack .../linux-modules-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-modules-4.4.0-145-generic (4.4.0-145.171) ...
Selecting previously unselected package linux-image-4.4.0-145-generic.
Preparing to unpack .../linux-image-4.4.0-145-generic_4.4.0-145.171_i386.deb ...
Unpacking linux-image-4.4.0-145-generic (4.4.0-145.171) ...
Preparing to unpack .../linux-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-image-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-image-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-headers-virtual_4.4.0.145.153_i386.deb ...
Unpacking linux-headers-virtual (4.4.0.145.153) over (4.4.0.143.151) ...
Preparing to unpack .../linux-headers-generic_4.4.0.145.153_i386.deb ...
Unpacking linux-headers-generic (4.4.0.145.153) over (4.4.0.143.151) .. .
Preparing to unpack .../policykit-1_0.105-14.1ubuntu0.5_i386.deb ...
Created symlink from /run/systemd/system/polkitd.service to /dev/null.
Unpacking policykit-1 (0.105-14.1ubuntu0.5) over (0.105-14.1ubuntu0.4) ...
Processing triggers for initramfs-tools (0.122ubuntu8.14) ...
update-initramfs: Generating /boot/initrd.img-4.4.0-143-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Processing triggers for install-info (6.1.0.dfsg.1-5) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for mime-support (3.59ubuntu1) ...
Processing triggers for dbus (1.10.6-1ubuntu3.3) ...
Setting up libapt-inst2.0:i386 (1.2.31) ...
Setting up apt-utils (1.2.31) ...
Setting up libpam-systemd:i386 (229-4ubuntu21.19) ...
Setting up udev (229-4ubuntu21. 19) ...
addgroup: The group `input' already exists as a system group. Exiting.
update-initramfs: deferring update (trigger activated)
Setting up ntfs-3g (1:2015.3.14AR.1-1ubuntu0.2) ...
Setting up grub-common (2.02~beta2-36ubuntu3.21) ...
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Setting up grub2-common (2.02~beta2-36ubuntu3.21) ...
Setting up grub-pc-bin (2.02~beta2-36ubuntu3.21) ...
Setting up grub-pc (2.02~beta2-36ubuntu3.21) ...
Installing for i386-pc platform.
Installation finished. No error reported.
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-4.4.0-145-generic
Found linux image: /boot/vmlinuz-4.4.0-143-generic
Found initrd image: /boot/initrd.img-4.4.0-143-generic
done
Setting up snapd (2.37.4ubuntu0.1) ...
md5sum: /etc/apparmor.d/usr.lib.snapd.snap-confine: No such file or directory
snapd.failure.service is a disabled or a static unit, not starting it. 
snapd.snap-repair.service is a disabled or a static unit, not starting it.
Setting up ubuntu-core-launcher (2.37.4ubuntu0.1) ...
Setting up busybox-initramfs (1:1.22.0-15ubuntu1.4) ...
Setting up rsyslog (8.16.0-1ubuntu3.1) ...
Installing new version of config file /etc/logrotate.d/rsyslog ...
The user `syslog' is already a member of `adm'.
Skipping profile in /etc/apparmor.d/disable: usr.sbin.rsyslogd
Setting up apt-transport-https (1.2.31) ...
Setting up busybox-static (1:1.22.0-15ubuntu1.4) ...
Setting up libpolkit-gobject-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up libpolkit-agent-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up libpolkit-backend-1-0:i386 (0.105-14.1ubuntu0.5) ...
Setting up linux-headers-4.4.0-145 (4.4.0-145.171) ...
Setting up linux-headers-4.4.0-145-generic (4.4.0-145.171) ...
Setting up linux-modules-4.4.0-145-generic (4.4.0-145.171) ...
Setting up linux-image-4.4.0-145-generic (4.4. 0-145.171) ...
I: /vmlinuz is now a symlink to boot/vmlinuz-4.4.0-145-generic
I: /initrd.img is now a symlink to boot/initrd.img-4.4.0-145-generic
Setting up linux-image-virtual (4.4.0.145.153) ...
Setting up linux-headers-generic (4.4.0.145.153) ...
Setting up linux-headers-virtual (4.4.0.145.153) ...
Setting up linux-virtual (4.4.0.145.153) ...
Setting up policykit-1 (0.105-14.1ubuntu0.5) ...
Removed symlink /run/systemd/system/polkitd.service.
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for initramfs-tools (0.122ubuntu8.14) ...
update-initramfs: Generating /boot/initrd.img-4.4.0-143-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
Processing triggers for linux-image-4.4.0-145-generic (4.4.0-145.171) ...
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-4.4.0-145-generic
W: mdadm: /etc/mdadm/mdadm.conf defines no arrays.
/etc/kernel/postinst. d/x-grub-legacy-ec2:
Searching for GRUB installation directory ... found: /boot/grub
Searching for default file ... found: /boot/grub/default
Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst
Searching for splash image ... none found, skipping ...
Found kernel: /boot/vmlinuz-4.4.0-143-generic
Found kernel: /boot/vmlinuz-4.4.0-145-generic
Found kernel: /boot/vmlinuz-4.4.0-143-generic
Replacing config file /run/grub/menu.lst with new version
Updating /boot/grub/menu.lst ... done

/etc/kernel/postinst.d/zz-update-grub:
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-4.4.0-145-generic
Found initrd image: /boot/initrd.img-4.4.0-145-generic
Found linux image: /boot/vmlinuz-4.4.0-143-generic
Found initrd image: /boot/initrd.img-4.4.0-143-generic
done
[email protected]:~#

Так как у нас обновилось ядро Linux, то нужно перегрузить систему:

[email protected]:~# shutdown -r now

Установим прокси-сервер Squid3:

[email protected]:~# apt-get install squid3 apache2-utils
Reading package lists. .. Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libapr1 libaprutil1 libecap3 libltdl7 squid squid-common squid-langpack ssl-cert
Suggested packages:
squidclient squid-cgi squid-purge smbclient winbindd openssl-blacklist
The following NEW packages will be installed:
apache2-utils libapr1 libaprutil1 libecap3 libltdl7 squid squid-common squid-langpack squid3 ssl-cert
0 upgraded, 10 newly installed, 0 to remove and 0 not upgraded.
Need to get 3,031 kB of archives.
After this operation, 12.6 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
Get:1 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libecap3 i386 1.0.1-3ubuntu3 [17.3 kB]
Get:2 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libltdl7 i386 2.4.6-0.1 [40.0 kB]
Get:3 http://mirrors.digitalocean.com/ubuntu xenial/main i386 squid-langpack all 20150704-1 [145 kB]
Get:4 http://mirrors. digitalocean.com/ubuntu xenial-updates/main i386 squid-common all 3.5.12-1ubuntu7.6 [175 kB]
Get:5 http://mirrors.digitalocean.com/ubuntu xenial/main i386 ssl-cert all 1.0.37 [16.9 kB]
Get:6 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 squid i386 3.5.12-1ubuntu7.6 [2,339 kB]
Get:7 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 squid3 all 3.5.12-1ubuntu7.6 [32.5 kB]
Get:8 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libapr1 i386 1.5.2-3 [95.1 kB]
Get:9 http://mirrors.digitalocean.com/ubuntu xenial/main i386 libaprutil1 i386 1.5.4-1build1 [82.7 kB]
Get:10 http://mirrors.digitalocean.com/ubuntu xenial-updates/main i386 apache2-utils i386 2.4.18-2ubuntu3.10 [86.5 kB]
Fetched 3,031 kB in 0s (17.7 MB/s)
Preconfiguring packages ...
Selecting previously unselected package libecap3:i386.
(Reading database ... 82212 files and directories currently installed.)
Preparing to unpack .../libecap3_1.0. 1-3ubuntu3_i386.deb ...
Unpacking libecap3:i386 (1.0.1-3ubuntu3) ...
Selecting previously unselected package libltdl7:i386.
Preparing to unpack .../libltdl7_2.4.6-0.1_i386.deb ...
Unpacking libltdl7:i386 (2.4.6-0.1) ...
Selecting previously unselected package squid-langpack.
Preparing to unpack .../squid-langpack_20150704-1_all.deb ...
Unpacking squid-langpack (20150704-1) ...
Selecting previously unselected package squid-common.
Preparing to unpack .../squid-common_3.5.12-1ubuntu7.6_all.deb ...
Unpacking squid-common (3.5.12-1ubuntu7.6) ...
Selecting previously unselected package ssl-cert.
Preparing to unpack .../ssl-cert_1.0.37_all.deb ...
Unpacking ssl-cert (1.0.37) ...
Selecting previously unselected package squid.
Preparing to unpack .../squid_3.5.12-1ubuntu7.6_i386.deb ...
Unpacking squid (3.5.12-1ubuntu7.6) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2. 7.5-1) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for ufw (0.35-0ubuntu2) ...
Setting up libecap3:i386 (1.0.1-3ubuntu3) ...
Setting up libltdl7:i386 (2.4.6-0.1) ...
Setting up squid-langpack (20150704-1) ...
Setting up squid-common (3.5.12-1ubuntu7.6) ...
Setting up ssl-cert (1.0.37) ...
Setting up squid (3.5.12-1ubuntu7.6) ...
Skipping profile in /etc/apparmor.d/disable: usr.sbin.squid
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for systemd (229-4ubuntu21.19) ...
Processing triggers for ureadahead (0.100.0-19) ...
Processing triggers for ufw (0.35-0ubuntu2) ...
Selecting previously unselected package squid3.
(Reading database ... 84513 files and directories currently installed.)
Preparing to unpack .../squid3_3.5.12-1ubuntu7.6_all.deb ...
Unpacking squid3 (3.5.12-1ubuntu7.6) ...
Selecting previously unselected package libapr1:i386. 
Preparing to unpack .../libapr1_1.5.2-3_i386.deb ...
Unpacking libapr1:i386 (1.5.2-3) ...
Selecting previously unselected package libaprutil1:i386.
Preparing to unpack .../libaprutil1_1.5.4-1build1_i386.deb ...
Unpacking libaprutil1:i386 (1.5.4-1build1) ...
Selecting previously unselected package apache2-utils.
Preparing to unpack .../apache2-utils_2.4.18-2ubuntu3.10_i386.deb ...
Unpacking apache2-utils (2.4.18-2ubuntu3.10) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
Processing triggers for man-db (2.7.5-1) ...
Setting up squid3 (3.5.12-1ubuntu7.6) ...
Setting up libapr1:i386 (1.5.2-3) ...
Setting up libaprutil1:i386 (1.5.4-1build1) ...
Setting up apache2-utils (2.4.18-2ubuntu3.10) ...
Processing triggers for libc-bin (2.23-0ubuntu11) ...
[email protected]:~#

На всякий случай делаем резервную копию файла настроек squid3:

[email protected]:/etc/squid# cp squid. conf squid.conf.default

Редактируем файл конфигурации пркси сервера Squid3 до такого вида:

vim /etc/squid/squid.conf

# порт на котром доступен прокси
http_port 3128

dns_nameservers 208.67.222.222 208.67.220.220

# авторизация, подробности ниже
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/passwd
auth_param basic children 5 startup=5 idle=1
auth_param basic realm Welcome to Free VPN Proxy Master
auth_param basic credentialsttl 2 hours

acl all src all
acl Users proxy_auth REQUIRED
# пускать товарища с этого ip без пароля
acl KnownUsers src "/etc/squid3/KnownUsers.acl"

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT

# доступ только с доверенных ip или по паролю
http_access allow KnownUsers
http_access allow Users

http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all

# превращаем squid в анонимный прокси
forwarded_for off
header_access From deny all
header_access Server deny all
header_access User-Agent deny all
header_replace User-Agent Mozilla/5. gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

Запускаем squid3:

[email protected]:/etc/squid# service squid restart

Содержимое файла доверенных сетей:

[email protected]:/etc/squid# cat KnownUsers.acl
# KnownUsers
176.38.167.50
176.38.167.49
176.38.167.48
176.38.167.41
213.111.122.3

Содержимое файла аутентификации пользователей:

[email protected]:/etc/squid# cat passwd
free:$apr1$cEBF38co$VGRaiNX18nrv/cz.Lelr10

Добавляем нового пользователя:

[email protected]:/etc/squid# htpasswd /etc/squid/passwd MC
New password:
Re-type new password:
Adding password for user MC

Устанавливаем Pi-Hole

curl -sSL https://install. pi-hole.net | bash

Вот и все!

Спасибо за уделенное время на прочтение статьи! Возможно, вам также пригодится статья об удалённом знакомстве с Linux Shell (Terminal) с помощью PHP Shell.

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности,  полный курс по кибербезопасности от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.

Что Вы получите?

• Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
• Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
• Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.

Как проходит обучение?

• Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
• Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
• Если хотите индивидуальный график — обсудим и осуществим.
• Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.

А еще поможем Вам:

• отредактировать резюме;
• подготовиться к техническим интервью;
• подготовиться к конкурсу на понравившуюся вакансию;
• устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.

Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.

Squid — Пользователи — TCP_DENIED / 407 с SSL-сайтами, но сайт доступен …

сообщает обо всех пользователях каждого метода. Возможно, кто-то сможет просветить это

## ГЛОБАЛЬНЫЕ ПРАВИЛА ОТКАЗА

http_access deny! Safe_ports

http_access deny MSNMessenger CNP_172SUBNETS! IP_MSNMESSENGER

http_access запретить StopDirectIP! IP_CONNECTALLOW

http_access deny CONNECT! SSL_Ports! CNP_172SUBNETS

http_access deny POST! SSL_Ports! RTMP_ports! CNP_172SUBNETS

# Метод POST / CONNECT РАЗРЕШЕН #

http_access разрешить ПОДКЛЮЧЕНИЕ CNP_172SUBNETS

http_access разрешить POST CNP_172SUBNETS

> Привет, Ник

>

> Спасибо за это объяснение.Я думаю ты прав. Могло ли это

> в конечном итоге будет проблемой безопасности, чтобы позволить неаутентифицированному

> https-трафик с «http_access allow CONNECT SSL_ports»? Возможно

> да, может и нет. Является ли такое поведение частью факта с SSL / HTTPS или

> Можно ли решить эту проблему в будущем выпуске Squid? Ты

> разрешить CONNECT-метод в вашей настройке?

>

> С уважением,

> Том

>

> 28.08.2010 Ник Кэрнкросс [скрытый адрес электронной почты]>:

>> Том,

>>

>> Просто чтобы сказать, что я думаю (поскольку у вас почти такие же настройки, как у меня, я

>> подумайте): вы всегда получите этот 407 на данный момент.Кальмар требует

>> аутентифицированный пользователь перед разрешением страницы, но вы не можете аутентифицироваться

>> каждый метод (по крайней мере, то, что я нашел) в моей настройке.

>>

>> Независимо от того, NTLM это или Kerberos и т. Д. Ваше правило о

>> connect Я думаю, нужно разрешить подключение ssl_ports ВЫШЕ вашего разрешения

>> INTERNET_ACCESS, потому что вы просто запрещаете метод CONNECT (не

>> то же, что и метод GET) в противном случае с использованием портов, отличных от SSL. Есть

>> Нечего и говорить о разрешении.

>>>

>>

>>

>> Думаю, что правильно ….

>> Ник

>>

>>

>>

>> 27 августа 2010 г., в 10:09, «Том Тукс» [скрытый адрес электронной почты]> написал:

>>

>>> Привет, Амос

>>>

>>> Большое спасибо за эту информацию.

>>>

>>> Это нормально, что все https-запросы имеют эту ошибку?

>>> 1282899033.246 0 xx.xx.xx.xx TCP_DENIED / 407 3720 ПОДКЛЮЧИТЬСЯ

>>> mail.google.com:443 — НЕТ / — text / html

>>>

>>> Как я уже упоминал: сайты, которые запрещены в access.log,

>>> нормально доступны и корректно отображается (это то, что я не

>>> пойми …. ммм ….).

>>> Я думаю, что у меня нет правил, которые явно требуют другого

>>> аутентификация вместо кербероса. Вот выдержка из моих

>>> кальмар.conf:

>>>

>>> ACL «INTERNET_ACCESS» — это external_acl с squid_kerb_ldap:

>>> http_access deny! Safe_ports

>>> http_access deny CONNECT! SSL_ports

>>>

>>> # Блокировать недействительных пользователей

>>> http_access deny! INTERNET_ACCESS

>>> http_access разрешить INTERNET_ACCESS

>>> http_access запретить все

>>>

>>> Когда я отслеживаю http / https-трафик с помощью httpfox (firefox-addon), то

>>> Я тоже не получил ни ошибок, ни отказов.
>>>

>>> Спасибо за помощь.

>>> Том

>>>

>>>

>>> 27.08.2010 Амос Джеффрис [скрытый адрес электронной почты]>:

>>>> Том Тукс написал:

>>>>>

>>>>> Привет

>>>>>

>>>>> Для каждого HTTPS-сайта у меня есть следующая tcp_denied / 407-запись в

>>>>> access.log:

>>>>> 282895826.492 1 хх.xx.xx.xx TCP_DENIED / 407 3720 ПОДКЛЮЧИТЬСЯ

>>>>> mail.google.com:443 — НЕТ / — text / html

>>>>> 1282896033.320 1 xx.xx.xx.xx TCP_DENIED / 407 3744 ПОДКЛЮЧИТЬСЯ

>>>>> secure-www.novell.com:443 — НЕТ / — text / html

>>>>>

>>>>> Сайты, запрещенные в access.log, хоть и доступны,

>>>>> но у меня такая ошибка. Мне кажется, что кальмару нужен пользователь

>>>>> аутентификация.Но это должно быть дано с

>>>>> kerberos-аутентификация,

>>>>> который отлично работает.

>>>>>

>>>>> У меня настроены следующие директивы (по умолчанию):

>>>>> acl SSL_ports порт 443

>>>>> acl CONNECT метод CONNECT

>>>>> http_access deny CONNECT! SSL_ports

>>>>>

>>>>>

>>>>> Может кто-нибудь объяснить мне такое поведение?

>>>>

>>>> запросы CONNECT к портам SSL (также известные как HTTPS) пройдут эту защиту

>>>> барьер и переходи к проверке других твоих правил. Один из тех других

>>>> правила

>>>> включает аутентификацию прокси.

>>>>

>>>> Все запросы, требующие аутентификации, но не обеспечивающие ее, получают

>>>> 407 или

>>>> 401 ответ, требующий от браузера предоставить некоторые учетные данные.

>>>> Это

>>>> верно для всех типов аутентификации.

>>>>

>>>> Работающие браузеры с доступом к необходимым учетным данным пришлют

>>>> их на

>>>> повторный запрос и преодолеть эту проблему.
>>>>

>>>> Амос

>>>> —

>>>> Пожалуйста, используйте

>>>> Current Stable Squid 2.7.STABLE9 или 3.1.7

>>>> Требуются бета-тестеры для 3.2.0.1

>>>>

>>

>>

>> Информация, содержащаяся в этом электронном письме, носит конфиденциальный характер.

>> и предназначен только для адресата. Если вы не тот

>> адресат, любое раскрытие, копирование или распространение вами запрещено

>> и может быть незаконным.Раскрытие информации любой стороне, кроме адресата,

>> случайно или иным образом, не предназначен для отказа от привилегий или

>> конфиденциальность. Интернет-связь небезопасна и поэтому

>> Conde Nast не несет юридической ответственности за содержание этого

>> сообщение. Любые высказанные взгляды или мнения принадлежат автору.

>>

>> The Conde Nast Publications Ltd (№ 226900), Vogue House, Ганновер.

>> Square, Лондон W1S 1JU

>>

Информация, содержащаяся в этом электронном письме, носит конфиденциальный характер и предназначена только для адресата.Если вы не являетесь предполагаемым адресатом, любое раскрытие, копирование или распространение вами запрещено и может быть незаконным. Раскрытие информации любой стороне, кроме адресата, непреднамеренное или иное, не означает отказа от привилегий или конфиденциальности. Связь в Интернете не является безопасной, поэтому Conde Nast не несет юридической ответственности за содержание этого сообщения. Любые высказанные взгляды или мнения принадлежат автору.

The Conde Nast Publications Ltd (No.226900), Vogue House, Ганновер-сквер, Лондон, W1S 1JU

Squid — Пользователи — TCP_DENIED / 407 при использовании NCSA-AUTH и потокового видео

Мы используем Debian-пакет Squid 2. 7 Stable3 на машине Debian Lenny.

с настроенным ncsa-auth, действующим как центральный Интернет-прокси.

Все пользователи / пароли хранятся в / etc / squid / passwd на локальном хосте и только

аутентифицированных пользователей могут просматривать сайты за пределами интрасети.

Проблем с аутентификацией пока нет.

Но у нас проблема с воспроизведением видео со стороны http://www.wdr.de, они есть

предоставляет медиа-потоки на основе flash, например:

http://www.wdr.de/mediathek/html/regional/2009/07/30/aktuelle-stunde-kuendigung.xml

Доступ к этим страницам возможен без проблем, и стартовое изображение
Отображается
видео. Когда мы пытаемся воспроизвести видео, мы получаем «сеть
Ошибка
»и« файл не найден »в окне flasharea через несколько секунд.
Нет проблем с воспроизведением аудиопотока с этого сайта или flash-роликов для

пример с youtube.com или golem.de

Наши клиенты, всегда с установленным flashplugin:

Firefox 3. 5 (Win), Firefox 3.6 (Linux) и Chrome (Linux).

В журнале access.log мы видим «тестовый» серфинг авторизованного пользователя

www.wdr.de.

При запуске видео казалось бы потерял аутентификацию

, а затем заканчивается на tcp-denied / 407.
При отключении NCSA-AUTH в squid мы можем воспроизводить видео без каких-либо

проблем.

выдержка из нашего squid.conf

=======================

http_port 8080

иерархия_стоплист cgi-bin?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 32 МБ

каталог_кэша ufs / var / spool / squid 1024 16 16

cache_access_log /var/log/squid/access.log

журнал_кеша / var / журнал / squid / cache.бревно

журнал_хранилища_кэша /var/log/squid/store.log

таблица_меню /etc/squid/mime.conf

log_mime_hdrs на

ftp_user [скрытый адрес электронной почты]

dns_nameservers 192.xxx.y.z

программа-перенаправления / usr / local / bin / squidGuard -c /etc/squid/squidguard. conf

redirect_children 10

auth_param основная программа / usr / lib / squid / ncsa_auth / etc / squid / passwd

auth_param basic children 5

auth_param basic realm Anmeldung am internen Proxy

auth_param basic credentialsttl 2 часа

acl все src 0.0.0.0 / 0.0.0.0

протокол диспетчера acl cache_object

acl локальный хост src 127.0.0.1/255.255.255.255

acl SSL_ports порт 443563 1494 2598 1604

acl Safe_ports порт 80

acl Safe_ports порт 21

acl Порт Safe_ports 443563

acl Safe_ports порт 1025-65535

acl метод CONNECT CONNECT
ТРЕБУЕТСЯ
acl anwender proxy_auth

acl sysadmins proxy_auth «/ etc / squid / sysadmins»

acl в интранете src 172.16.10.0 / 24

acl wochentag time SMTWHFA

http_access deny! Safe_ports

http_access deny CONNECT! SSL_ports

http_access разрешить системным администраторам

http_access deny! Wochentag

http_access deny! Anwender

http_access разрешить интранет

http_access разрешить localhost

http_access запретить все

icp_access deny all

cache_effective_user прокси

cache_effective_group прокси

logfile_rotate 0

cachemgr_passwd нет меню информации

каталог_значков / usr / share / squid / icons

forwarded_for выкл.

icp_port 0

=================================

Выписка о доступе.бревно:

=================================

1278570915.514 39 172.16.19.222 TCP_MISS / 200 647 ПОЛУЧИТЬ

http://www.wdr.de/mediathek/codebase/img/icon/pfeil-im-kreis-reiterdunkel.gif;jsessionid=4799D61CDD27EBD84D4961AD11F40B09.mediathek4
test DIRECT / 149.219.195.51 image / gif [Хост: www.wddr.com .de \ r \ nПрокси-соединение:

keep-alive \ r \ nUser-Agent: Mozilla / 5.0 (X11; U; Linux i686; en-US)

AppleWebKit / 533.4 (KHTML, как Gecko) Chrome / 5.0.375.99

Safari / 533.4 \ r \ nСправочник:

http://www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml\r\nProxy-Authorization:

Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:

gzip, deflate, sdch \ r \ nAccept-Language:

de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:

ISO-8859-1, utf-8; q = 0,7, *; q = 0,3 \ r \ n Cookie:

JSESSIONID = 4799D61CDD27EBD84D4961AD11F40B09. mediathek4 \ r \ n] [HTTP / 1.0 200

ОК \ r \ nДата: четверг, 8 июля 2010 г., 06:35:15 GMT \ r \ nСервер: Apache \ r \ nПоследние изменения:

Вт, 28 августа 2007 г. 17:55:02

GMT \ r \ nETag: «3df1eb-f8-438c62c22c980» \ r \ nДиапазоны принятия:

байт \ r \ nДлина содержимого: 248 \ r \ nТип содержимого: image / gif \ r \ nX-Cache: MISS from

прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.1

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nПодключение:

keep-alive \ r \ nПрокси-соединение: keep-alive \ r \ n \ r]

1278570915.534 64 172.16.19.222 TCP_MISS / 302 524 ПОЛУЧИТЬ

http://wdr.ivwbox.de/cgi-bin/ivw/CP/;www.wdr.de/mediathek/html/regional/rueckschau/2010/07/07/lokalzeit_ruhr.xml?r=http%3A/ /www.wdr.de/studio/essen/lokalzeit/beitrag02.html
test DIRECT / 149.219.195.195 text / plain [Хост:

wdr.ivwbox.de \ r \ nПрокси-соединение: keep-alive \ r \ nАгент пользователя: Mozilla / 5. 0

(X11; U; Linux i686; en-US) AppleWebKit / 533.4 (KHTML, например Gecko)

Chrome / 5.0.375.99 Safari / 533.4 \ r \ nСсылка:

http://www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml\r\nProxy-Authorization:

Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:

gzip, deflate, sdch \ r \ nAccept-Language:

de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:

ISO-8859-1, utf-8; q = 0.7, *; q = 0,3 \ r \ nCookie: srp = 00e54c35718a85c20006 \ r \ n]

[HTTP / 1.0 302 временно перемещен \ r \ nСервер: srp / 2ac \ r \ nДата: четверг, 8 июля 2010 г.

06:35:14 GMT \ r \ nПоследнее изменение: Вт, 22 августа 2000 г. 15:05:01 GMT \ r \ nПрагма:

без кеширования \ r \ nCache-Control: без кеширования, требуется повторная проверка \ r \ n Срок действия: 0 \ r \ nP3P:

policyref = «http://www.ivwbox.de/p3p.xml», CP = «NOI DSP PSAo НАШ НОР

UNI «\ r \ nSet-Cookie: srp = 00e54c35718a85c20006;

путь = / \ r \ nРасположение: /blank. gif\r\nContent-Type: text / plain \ r \ nX-Cache: MISS

с прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

1278570928.401 239 172.16.19.222 TCP_MISS / 302 524 ПОЛУЧИТЬ

http://wdr.ivwbox.de/cgi-bin/ivw/CP/;www.wdr.de/mediathek/medien/videos_gffstream.fcod.llnwd.net_a792_e1_mp4:media_extern_loke_20100707_144098_web-m.mp4?r=http /www.wdr.de/mediathek/html/regional/rueckschau/lokalzeit_ruhr.xml
test DIRECT / 149.219.195.195 text / plain [Хост:

wdr.ivwbox.de \ r \ nПрокси-соединение: keep-alive \ r \ nАгент пользователя: Mozilla / 5.0

(X11; U; Linux i686; en-US) AppleWebKit / 533.4 (KHTML, например Gecko)

Chrome / 5.0.375.99 Safari / 533.4 \ r \ nСсылка:

http://www.wdr.de/themen/global/flashplayer/wsPlayer.swf\r\nProxy-Authorization:

Базовый dGVzdDp0c3N0YXJ0 \ r \ nПринять: * / * \ r \ nПринять-кодирование:

gzip, deflate, sdch \ r \ nAccept-Language:

de-DE, de; q = 0,8, en-US; q = 0,6, en; q = 0,4 \ r \ nAccept-Charset:

ISO-8859-1, utf-8; q = 0. 7, *; q = 0,3 \ r \ nCookie: srp = 00e54c35718a85c20006 \ r \ n]

[HTTP / 1.0 302 временно перемещен \ r \ nСервер: srp / 2ac \ r \ nДата: четверг, 8 июля 2010 г.

06:35:27 GMT \ r \ nПоследнее изменение: Вт, 22 августа 2000 г. 15:05:01 GMT \ r \ nПрагма:

без кеширования \ r \ nCache-Control: без кеширования, требуется повторная проверка \ r \ n Срок действия: 0 \ r \ nP3P:

policyref = «http://www.ivwbox.de/p3p.xml», CP = «NOI DSP PSAo НАШ НОР

UNI «\ r \ nSet-Cookie: srp = 00e54c35718a85c20006;

путь = / \ r \ nРасположение: /blank.gif\r\nContent-Type: text / plain \ r \ nX-Cache: MISS

с прокси.local \ r \ nX-Cache-Lookup: MISS от прокси. local: 8080 \ r \ nЧерез 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

1278570929.836 0 172.16.19.222 TCP_DENIED / 407 1822 POST

http://gffstream.fcod.llnwd.net/fcs/ident2 — НЕТ / — text / html [Хост:

gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:

* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:

Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси

Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля

2010 06:35:29 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:

1360 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:29 GMT \ r \ nX-Squid-Error:

ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am

internen Proxy «\ r \ nX-Cache: MISS from

proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

1278570929.843 0 172.16.19.222 TCP_DENIED / 407 1810 POST

http://gffstream.fcod.llnwd.net/open/1 — НЕТ / — text / html [Хост:

gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:

* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:

Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nUser-Agent: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси

Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля

2010 06:35:29 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:

1348 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:29 GMT \ r \ nX-Squid-Error:

ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am

internen Proxy «\ r \ nX-Cache: MISS from

proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

1278570931.992 0 172.16.19.222 TCP_DENIED / 407 1822 POST

http://gffstream.fcod.llnwd.net/fcs/ident2 — НЕТ / — text / html [Хост:

gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:

* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:

Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси

Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля

2010 06:35:31 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:

1360 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:31 GMT \ r \ nX-Squid-Error:

ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am

internen Proxy «\ r \ nX-Cache: MISS from

proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

1278570931.996 0 172.16.19.222 TCP_DENIED / 407 1810 POST

http://gffstream.fcod.llnwd.net/open/1 — НЕТ / — text / html [Хост:

gffstream.fcod.llnwd.net \ r \ nPragma: no-cache \ r \ nПринять:

* / * \ r \ nAccept-Encoding: deflate, gzip \ r \ nПрокси-соединение:

Keep-Alive \ r \ nПользователь-агент: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nUser-Agent: Shockwave Flash \ r \ nПодключение:

Keep-Alive \ r \ nCache-Control: no-cache \ r \ nТип содержимого:

application / x-fcs \ r \ nContent-Length: 1 \ r \ n] [HTTP / 1. 0 407 Прокси

Требуется аутентификация \ r \ nСервер: squid / 2.7.STABLE3 \ r \ nДата: четверг, 8 июля

2010 06:35:31 GMT \ r \ nТип содержимого: текст / html \ r \ nДлина содержимого:

1348 \ r \ n Срок действия истекает: четверг, 8 июля 2010 г., 06:35:31 GMT \ r \ nX-Squid-Error:

ERR_CACHE_ACCESS_DENIED 0 \ r \ nProxy-Authenticate: Basic realm = «Anmeldung am

internen Proxy «\ r \ nX-Cache: MISS from

proxy.local \ r \ nX-Cache-Lookup: НЕТ из proxy.local: 8080 \ r \ n Через: 1.0

proxy.local: 8080 (squid / 2.7.STABLE3) \ r \ nСоединение: закрыть \ r \ n \ r]

================

Squid — Пользователи — Kerberos TCP / ОТКАЗАНО 407

Спасибо, Амос, обновлюсь до 3.1.19

auth_param программа согласования / usr / local / bin /gotiate_wrapper -d —ntlm / usr / bin / ntlm_auth —diagnostics —helper-protocol = squid-2.5-ntlmssp —domain = ПРИМЕР —kerberos / usr / lib / squid3 / squid_kerb_auth -d

auth_param переговоры детей 10

auth_param согласовать keep_alive off

auth_param Программа NTLM / usr / bin / ntlm_auth —diagnostics —helper-protocol = squid-2. 5-ntlmssp —domain = ПРИМЕР

auth_param NTLM дети 10

auth_param ntlm keep_alive выключен

auth_param основная программа / usr / lib / squid3 / squid_ldap_auth -R -b «dc = example, dc = local» -D [скрытый адрес электронной почты] -W /etc/squid3/ldappass.txt -f sAMAccountName =% s -h exch01 .example.local

auth_param basic children 10

auth_param Интернет-прокси базового уровня

auth_param basic credentialsttl 1 минута
ТРЕБУЕТСЯ
пароль acl proxy_auth

протокол диспетчера acl cache_object

acl localhost src 127.0,0.1 / 32

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet SRC 192.168.0.0/24

acl SSL_ports порт 443

acl Safe_ports порт 80 # http

acl Safe_ports порт 21 # ftp

acl Safe_ports порт 443 # https

acl Safe_ports порт 70 # gopher

acl Safe_ports порт 210 # wais

acl Safe_ports port 1025-65535 # незарегистрированные порты

acl Safe_ports порт 280 # http-mgmt

acl Safe_ports порт 488 # gss-http

acl Safe_ports порт 591 # файловый менеджер

acl Safe_ports порт 777 # многоязычный http

acl метод CONNECT CONNECT

http_access разрешить диспетчер localhost

http_access deny manager

http_access deny! Safe_ports

http_access deny CONNECT! SSL_ports

http_access deny! Пароль

http_access разрешить пароль

http_access разрешить localhost

http_access запретить все

icp_access deny all

htcp_access запретить все

http_port 3128

иерархия_стоплист cgi-bin?

журнал_доступа / var / log / squid3 / access. суслик: 1440 0% 1440

шаблон_обновления (cgi-bin | \?) 0 0% 0

refresh_pattern. 0 20% 4320

icp_port 3130

каталог_коредампа / var / spool / squid3

—— Исходное сообщение ——

От: Амоса Джеффриса [mailto: [скрытый адрес электронной почты]]

Отправлено: 8 марта 2012 14:44

Кому: [скрытый адрес электронной почты]

Тема: Re: [squid-users] Kerberos TCP / DENIED 407

9 марта 2012 г. в 1:07 JC Putter написал:

> Амос,

>

> Спасибо за ответ.
>

> Извините, я имел ввиду 3.0 STABLE 19.

Пожалуйста, обновите как минимум до 3.0.STABLE26, затем, если возможно, до 3.1.19.

Между ними есть несколько серьезных уязвимостей.

> Клиент Zimbra Desktop подключается через порт 443, и у меня есть

> стандартный ACL;

>

> http_access deny! Safe_ports

> http_access deny! SSL_ports

>

> однако, когда я меняю ACL на (очень небезопасно)

>

> http_access разрешить CONNECT (без исключения! SSL_ports) клиент zimbra подключается. ..

>

> не слишком уверен, что мой ACL неверен, или если необходимо добавить дополнительные порты в ACL, однако, согласно Zimbra, 443 — единственный требуемый.

Список ACL, который вы указали выше, не является значением по умолчанию. Правильное значение по умолчанию:

http_access deny CONNECT! SSL_ports

SSL_Port должны содержать только порты HTTPS, к которым вы разрешаете запросы.

> Я выполнил трассировку wirehark и могу подтвердить, что прокси-сервер предлагает все настроенные схемы проверки подлинности, а клиент отвечает билетом Kerberos.

Хорошо. Казалось бы, какая-то другая часть конфигурации. Если вам нужен точный анализ, опубликуйте свою конфигурацию полностью (без комментариев и пустых строк).

Амос

http — прокси-сервер squid — как разрешить соединение TCP — получение TCP_DENIAL / 400 с ERR_INVALID_DOMAIN

У меня есть устройство, которому необходимо подключиться к интернет-сервису по tcp: 80, но в сети нет прямого доступа в интернет. Поэтому я использую прокси-сервер Squid, чтобы решить эту проблему.

Устройство позволяет мне вводить прокси-сервер, порт, имя пользователя и пароль.

Я выяснил, что устройство использует http CONNECT вместо http GET (который отлично работает с моим браузером).

При попытке подключения устройство выдает ошибку http 400.
Squid access.log дает мне только это:

 1338885433.033 0 172.22.140.129 TCP_DENIED / 400 1728 CONNECT: 0 - НЕТ / - текст / html
 

Итак, я захватил пакеты, чтобы действительно увидеть, что происходит:

Запрос от устройства:

ПОДКЛЮЧИТЕ мой домен.com: 0 HTTP / 1.0
Пользовательский агент: Sequencer / 5.5.0.5539
 

Ответ от squid:

 HTTP / 1.0 400 неверный запрос
squid / 2.7.STABLE9
Ошибка X-Squid: ERR_INVALID_URL 0
Закрыть
 

Мой squid.conf:

auth_param основная программа / usr / lib / squid / pam_auth
auth_param basic children 5
auth_param basic realm Squid прокси-кеширующий веб-сервер
auth_param basic credentialsttl 2 часа
auth_param basic casesensitive off

acl all src all
прото cache_object диспетчера acl
acl localhost src 127. 0,0.1 / 32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8 # RFC1918 возможная внутренняя сеть
acl localnet src 172.16.0.0/12 # RFC1918 возможная внутренняя сеть
acl localnet src 192.168.0.0/16 # RFC1918 возможная внутренняя сеть

acl SSL_ports порт 443 # https
acl SSL_ports порт 563 # snews
acl SSL_ports порт 873 # rsync

acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # gopher
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файловый менеджер
acl Safe_ports порт 777 # многоязычный http
acl Safe_ports порт 631 # чашки
acl Safe_ports порт 873 # rsync
acl Safe_ports порт 901 # SWAT

acl метод продувки PURGE
acl CONNECT метод CONNECT
acl checkpw proxy_auth ТРЕБУЕТСЯ

http_access разрешить диспетчер localhost
http_access deny manager
http_access разрешить очистку localhost
http_access запретить чистку
http_access deny! Safe_ports
http_access разрешить CONNECT
http_access разрешить локальную сеть
http_access разрешить localhost
http_access разрешить проверку всех
http_access запретить все

icp_access разрешить локальную сеть
icp_access запретить все

http_port 3128

иерархия_стоплист cgi-bin?

access_log / var / log / squid / access. Apache

broken_vary_encoding разрешить apache

extension_methods ОТЧЕТ ОБ ОБЪЕДИНЕНИИ MKACTIVITY CHECKOUT

файл_хостов / etc / hosts

forwarded_for выкл.

каталог_коредумпа / var / spool / squid
 

Есть ли какое-нибудь решение, чтобы избавиться от ERR_INVALID_URL? Я неправильно понял концепцию прокси-сервера squid или запрос от устройства недействителен?

Сообщите мне, если потребуется дополнительная информация.

Заранее спасибо,
Кристиан.

Squid работает но не выдает страницу

У меня кальмар (v4.8) установлен на виртуальной машине, назовем его маршрутизатором , , эта машина может подключаться как к Интернету, так и к внутренней сети, которая ведет к другой виртуальной машине, хранилище .

Хочу squid на:

• работают как прокси-сервер кеша, а
• работают как в прямом, так и в прозрачном режиме.

Я не читал никого, кто делал бы то же самое, но я видел некоторые конфигурации Squid, в которых указано более одного порта для прослушивания, и по крайней мере один из них может иметь переключатель перехвата . Я должен сказать, что у меня также есть другой интерфейс ( host-only ), который соединяет маршрутизатор с хостом (фактическая машина), этот интерфейс предназначен только для тестирования некоторых функций.

фактов:

1. С помощью веб-браузера с хоста :
   • Меня просят ввести учетные данные
   • Если я ввожу неправильные учетные данные, меня снова спросят
   • Если я наберу правильный, он продолжится
     • Если я попытаюсь перейти на веб-страницу, которой нет в белом списке, я вижу баннер Squid
     • Если я попытаюсь перейти на разрешенную веб-страницу… он просто продолжает загружаться, ничего не показывая
2. С помощью приложения командной строки из хранилища :
   • Если я попытаюсь получить черную страницу (не в белом списке), я получаю:
     • Веб-страница HTML с ERR_ACCESS_DENIED ( curl -o )
     • Текстовый файл с ОШИБКА 403: Запрещено ( wget -o )
     • В обоих случаях получаю от доступ. C ) Я вижу из access.log : NONE_ABORTED / 000 0 GET http: // whiteurl — HIER_NONE / — — и вообще ничего в cache.log .
     • Выдача curl -x "http: // user: pass @ domain: 8080" :
       • Если учетные данные неверны, я получаю файл HTML с ERR_CACHE_ACCESS_DENIED .
         Файл access.log : TCP_DENIED / 407 размер GET http: // url user HIER_NONE / — text / html и ничего в кеше .журнал .
       • Если учетные данные верны:
         • Страница черного списка: я действительно понял.
           Файл access.log : TCP_MISS / 200 размер GET http: // blackurl пользователь HIER_DIRECT / ipurl (или TCP_REFRESH_MODIFIED ) и ничего в кэше .log

         • Страница белого списка: мне не удается получить что-либо, и когда я прерываюсь, я попадаю на access. log : TCP_MISS_ABORTED / 000 0 GET http: // whiteurl — HIER_NONE / — — , ничего в кеше .журнал .
         • ПРИМЕЧАНИЕ. Я по ошибке попытался получить страницу, которая привела меня к перенаправлению, поэтому я получил 301 Перемещено навсегда . Файл access.log : TCP_MISS / 301 размер GET http: // whitepage — HIER_DIRECT / ipurl и ничего в cache.log .
         • ПРИМЕЧАНИЕ. Предыдущая страница была в моем белом списке .
         • ПРИМЕЧАНИЕ. Если я запрашиваю запрещенную страницу с учетными данными, она всегда появляется в конце URL-адреса.

Мой конфигурационный файл squid ( /etc/squid/squid.conf ):

  http_port 8080
http_port 3128 перехват
dns_nameservers 127.0.0.1 1.1.1.1 # Иногда squid не загружает сервер имён из /etc/resolv.conf
# Место хранения
каталог_кеша ufs / var / cache / squid 3000 16 256
maximum_object_size 250 МБ
refresh_pattern -i ".  + \. (mp4 | mkv | webm | iso) $" 0 20% 2880
# Аутентификация
auth_param основная программа / usr / lib / squid / basic_db_auth \
  --user "user" --password "pass" \
  --table "table" --usercol "userinsomelang" --passwdcol "passinsomelang" --md5 \
  --сопротивляться
auth_param основные дети 10
auth_param базовая область "Прокси-сервер Squid"
auth_param basic credentialsttl 1 час
auth param basic casesensitive on
# Списков ACL
acl whitedomain srcdomain.mydomain.com
acl whitehosts src "/etc/squid/files/whitehosts.list"
acl whites dstdomain "/etc/squid/files/whitesites.list"
acl блокирует сайты dstdomain "/etc/squid/files/blacksites.list"
acl blockurl url_regex -i "/etc/squid/files/block_url.list"
время работы acl Пн-Пт 8: 00-17: 00
acl рабочее время HF 18: 00-23: 00
acl safeports порт 80
acl safeports порт 443
acl safeports порт 1025-65535
acl db_auth proxy_auth ТРЕБУЕТСЯ
acl CONNECT method CONNECT # Понятия не имею, для чего это нужно
# Действия
http_access запретить blockurl
http_access разрешить белые
http_access разрешить работу
http_access deny! safeports
http_access разрешить db_auth whitehosts
http_access запретить все
  

Я думаю, что моя конфигурация iptables в маршрутизаторе не нужна, вы можете понять, что она хорошо работает с этими журналами. И я использую минимум, чтобы проверить, что это не из-за этого.

Я также провел анализ пакетов, я могу видеть пакеты, поступающие из внутренней сети, пакеты, исходящие и входящие от моего внешнего сетевого адаптера (разрешение имени, связанное с запрашиваемыми страницами), и все.

Итак, я вижу две основные проблемы, их может быть больше:

1. Я не могу получить страницы белого списка (прозрачный или прямой режим).
2. Я могу получить страницы черного списка с правильными учетными данными, но только из командной строки, я не могу этого добиться с помощью своего веб-браузера.

Как это исправить? Почему это так работает?

Squid 3.5.20 не аутентифицируется через Active Directory и Kerberos

Я делаю прозрачный прокси через AD и Kerberos V5. CentOS присоединился к домену Windows с областью:

  [root @ vs-otr-squid02 ~] # список областей
domain.ru
  тип: kerberos
  realm-name: DOMAIN. RU
  доменное имя: domain.ru
  настроен: kerberos-member
  программное обеспечение сервера: активный каталог
  клиентское программное обеспечение: sssd
  требуемый-пакет: oddjob
  требуемый-пакет: oddjob-mkhomedir
  обязательный пакет: sssd
  обязательный пакет: adcli
  требуемый-пакет: samba-common-tools
  форматы входа в систему:% U @ domain.RU
  логин-политика: разрешить-царство-логины
  

Информация о кальмарах:

  Кэш Squid: версия 3.5.20
Название службы: кальмар
параметры конфигурации: '--build = x86_64-redhat-linux-gnu' '--host = x86_64-redhat-linux-gnu' '--program-prefix =' '--prefix = / usr' '--exec- префикс = / usr '' --bindir = / usr / bin '' --sbindir = / usr / sbin '' --sysconfdir = / etc '' --datadir = / usr / share '' --includedir = / usr / include '' --libdir = / usr / lib64 '' --libexecdir = / usr / libexec '' --sharedstatedir = / var / lib '' --mandir = / usr / share / man '' --infodir = / usr / share / info '' --disable-strict-error-check '' --exec_prefix = / usr '' --libexecdir = / usr / lib64 / squid '' --localstatedir = / var '' --datadir = / usr / share / squid '' --sysconfdir = / etc / squid '' --with-logdir = $ (localstatedir) / log / squid '' --with-pidfile = $ (localstatedir) / run / squid. pid '' --disable-dependency-tracking '' --enable-eui '' --enable-follow-x-forwarded-for '' --enable-auth '' --enable-auth-basic = DB, LDAP , MSNT-multi-domain, NCSA, NIS, PAM, POP3, RADIUS, SASL, SMB, SMB_LM, getpwnam '' --enable-auth-ntlm = smb_lm, fake '' --enable-auth-digest = file, LDAP , eDirectory '' --enable-auth -gotiate = kerberos '' --enable-external-acl-helpers = file_userip, LDAP_group, time_quota, session, unix_group, wbinfo_group, kerberos_ldap_group '' --enable-cache-digests '' - -enable-cachemgr-hostname = localhost '' --enable-delay -pool '' --enable-epoll '' --enable-identify-lookups '' --enable-linux-netfilter '' --enable-remove- policy = heap, lru '' --enable-snmp '' --enable-ssl-crtd '' --enable-storeio = aufs, diskd, rock, ufs '' --enable-wccpv2 '' --enable-esi '' --enable-ecap '' --with-aio '' --with-default-user = squid '' --with-dl '' --with-openssl '' --with-pthreads '' - disable-arch-native '' build_alias = x86_64-redhat-linux-gnu '' host_alias = x86_64-redhat-linux-gnu '' CFLAGS = -O2 -g -pipe -Wall -Wp, -D_FORTIFY_SOURCE = 2 -fexceptions -f stack-protector-strong --param = ssp-buffer-size = 4 -grecord-gcc-Switches -m64 -mtune = generic -fpie '' LDFLAGS = -Wl, -z, relro -pie -Wl, -z, relro -Wl, -z, сейчас '' CXXFLAGS = -O2 -g -pipe -Wall -Wp, -D_FORTIFY_SOURCE = 2 -fexceptions -fstack-protector-strong --param = ssp-buffer-size = 4 -grecord-gcc- переключатели -m64 -mtune = generic -fpie '' PKG_CONFIG_PATH =: / usr / lib64 / pkgconfig: / usr / share / pkgconfig '
  

Содержимое файла Keytab:

  слот КВНО Принципал
---- ---- ------------------------------------------ ---------------------------
   1 3 HTTP / vs-otr-squid02 @ ДОМЕН. RU
  

Пользователь AD — squid2018, для него сделан этот файл keytab. Убедитесь:

  [root @ vs-otr-squid02 ~] # kinit HTTP/[email protected]
Пароль для HTTP/[email protected]:
  

Пароль для squid2018 принят, получен билет:

  [root @ vs-otr-squid02 ~] # список
Кэш билетов: KEYRING: постоянный: 0: 0
Принципал по умолчанию: HTTP/[email protected]

Действительный начиная с истечения срока действия принципала обслуживания
27.06.2018 12:05:09 27.06.2018 22:05:09 krbtgt / ДОМЕН[email protected]
        продлить до 04.07.2018 12:04:52
  

Удалить.

Настройки /etc/squid/squid.conf

  # Active Directory
auth_param программа согласования / usr / lib64 / squid /gotiate_kerberos_auth -s HTTP/[email protected]
auth_param согласовать детей 600
auth_param согласовать keep_alive off

external_acl_type ad_group_member_check ttl = 120% ВХОД / usr / lib64 / squid / ext_ldap_group_acl -d -v3 -P -R -K -b "DC = domain, DC = ru" -D "vs-otr-squid02 @ domain. ru "-w VerySecretPassword -f" (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) "-h hs-dc-1.domain.ru

# Аутентифицировать
acl auth proxy_auth ТРЕБУЕТСЯ

acl ad_users external ad_group_member_check full_access

# Стандартные порты
acl SSL_ports порт 443
acl Safe_ports порт 80 # http
acl Safe_ports порт 21 # ftp
acl Safe_ports порт 443 # https
acl Safe_ports порт 70 # gopher
acl Safe_ports порт 210 # wais
acl Safe_ports port 1025-65535 # незарегистрированные порты
acl Safe_ports порт 280 # http-mgmt
acl Safe_ports порт 488 # gss-http
acl Safe_ports порт 591 # файловый менеджер
acl Safe_ports порт 777 # многоязычный http
acl CONNECT метод CONNECT

# Стандартное разрешение
http_access deny! Safe_ports
http_access deny CONNECT! SSL_ports
http_access разрешить диспетчер локального хоста
http_access deny manager
http_access разрешить localhost
http_access разрешить аутентификацию

# Разрешение для пользователей AD
http_access разрешить ad_users

# Отрицай все остальное
http_access запретить все

# Порты прокси
Сибирский порт 172. суслик: 1440 0% 1440
шаблон_обновления -i (/ cgi-bin / | \?) 0 0% 0
refresh_pattern. 0 20% 4320

# DNS
dns_nameservers 172.31.2.113
dns_v4_first на
  

Squid рабочий статус:

  [root @ vs-otr-squid02 ~] # systemctl status squid
● squid.service - прокси для кеширования Squid
   Загружено: загружено (/usr/lib/systemd/system/squid.service; включено; предустановка поставщика: отключено)
   Активен: активен (работает) с Ср 27.06.2018 11:31:08 МСК; 42мин назад
  Процесс: 2753 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (код = завершен, статус = 0 / УСПЕШНО)
  Процесс: 2762 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (код = завершен, статус = 0 / УСПЕШНО)
  Процесс: 2756 ExecStartPre = / usr / libexec / squid / cache_swap.sh (код = завершен, статус = 0 / УСПЕШНО)
 Основной PID: 2765 (кальмар)
   CGroup: /system.slice/squid.service
           ├─2765 / usr / sbin / squid -f /etc/squid/squid.conf
           ├─2767 (squid-1) -f /etc/squid/squid. conf
           ├─2768 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
           ├─2769 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D vs-otr-squid02 @ domain.ru -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc -1.domain.ru
           ├─2770 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
           ├─2771 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D vs-otr-squid02 @ domain.ru -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc -1. domain.ru
           ├─2772 (ext_ldap_group_acl) -d -v3 -P -R -K -b DC = domain, DC = ru -D [email protected] -w VerySecretPassword -f (& (objectclass = person) (sAMAccountName =% v) (memberOf = cn =% g, CN = Пользователи домена, CN = Пользователи, DC = домен, DC = ru)) -h hs-dc-1.domain.ru
           └─2773 (файл-журнал-демон) /var/log/squid/access.log

27 июня, 11:31:08 vs-otr-squid02 systemd [1]: Запуск прокси-сервера кеширования Squid...
27 июня, 11:31:08 vs-otr-squid02 squid [2765]: Squid Parent: начнется 1 ребенок
27 июня, 11:31:08 vs-otr-squid02 squid [2765]: Родитель Squid: (squid-1) процесс 2767 запущен
27 июня, 11:31:08 vs-otr-squid02 systemd [1]: запущен прокси-сервер кеширования Squid.
  

Но браузер показывает окошко для ввода имени и пароля, чего быть не должно. Хорошо, я ввел, но это не принято, а в /var/log/squid/cache.log:

  2018.06.27 12:19:16 kid1 | Принятие перехваченных NAT соединений сокета HTTP на local = 172.31.4.64: 3127 удаленный = [::] FD 24 флага = 41
2018. 06.27 12: 19: 29 | Текущий каталог: /
2018.06.27 12:19:29 kid1 | Подготовка к выключению после 0 запросов
2018.06.27 12:19:29 kid1 | Ожидание 30 секунд завершения активных подключений
2018.06.27 12:19:29 kid1 | Закрытие HTTP-порта 172.31.4.64:3128
2018.06.27 12:19:29 kid1 | Закрытие HTTP-порта 172.31.4.64:3127
2018.06.27 12:19:29 kid1 | Текущий каталог: /
2018.06.27 12:19:29 kid1 | Запуск Squid Cache версии 3.5.20 для x86_64-redhat-linux-gnu ...
2018.06.27 12:19:29 kid1 | Название службы: кальмар
2018.06.27 12:19:29 kid1 | ID процесса 2858
2018.06.27 12:19:29 kid1 | Роли процесса: работник
2018.06.27 12:19:29 kid1 | Имеется 16384 файловых дескриптора
2018.06.27 12:19:29 kid1 | Инициализация IP-кеша...
2018.06.27 12:19:29 kid1 | Сокет DNS создан в [::], FD 8
2018.06.27 12:19:29 kid1 | Сокет DNS создан в 0.0.0.0, FD 10
2018.06.27 12:19:29 kid1 | Добавление сервера имен 172.31.2.113 из squid.conf
2018.06.27 12:19:29 kid1 | helperOpenServers: запуск 0/600 процессов "gotiate_kerberos_auth "
2018. 06.27 12:19:29 kid1 | helperStatefulOpenServers: никаких процессов "gotiate_kerberos_auth "не требуется.
2018.06.27 12:19:29 kid1 | helperOpenServers: Запуск 5/5 процессов ext_ldap_group_acl
2018.06.27 12:19:29 kid1 | Файл журнала: демон открытия журнала: / var / log / squid / access.бревно
2018.06.27 12:19:29 kid1 | Демон файла журнала: открытие журнала /var/log/squid/access.log
2018.06.27 12:19:29 kid1 | Включен дайджест локального кеша; перестраивать / перезаписывать каждые 3600/3600 секунд
2018.06.27 12:19:29 kid1 | Ведение журнала отключено
2018.06.27 12:19:29 kid1 | Swap maxSize 0 + 262144 КБ, ориентировочно 20164 объекта
2018.06.27 12:19:29 kid1 | Целевое количество ковшей: 1008
2018.06.27 12:19:29 kid1 | Использование ведер 8192 Store
2018.06.27 12:19:29 kid1 | Максимальный размер памяти: 262144 КБ
2018.06.27 12:19:29 kid1 | Максимальный размер свопа: 0 КБ
2018.06.27 12:19:29 kid1 | Использование выбора каталога с наименьшей загрузкой
2018.06.27 12:19:29 kid1 | Текущий каталог: /
2018. 06.27 12:19:29 kid1 | Завершена загрузка типов и значков MIME.2018.06.27 12:19:29 kid1 | HTCP отключен.
2018.06.27 12:19:29 kid1 | Модулей плагина Squid загружено: 0
2018.06.27 12:19:29 kid1 | Поддержка адаптации отключена.
2018.06.27 12:19:29 kid1 | Принятие соединений сокета HTTP на local = 172.31.4.64: 3128 remote = [::] FD 23 flags = 9
2018.06.27 12:19:29 kid1 | Принятие перехваченных NAT соединений сокета HTTP на local = 172.31.4.64: 3127 remote = [::] FD 24 flags = 41
2018.06.27 12:19:30 kid1 | storeLateRelease: выпущено 0 объектов
2018.06.27 12:19:46 kid1 | Запуск новых помощников по аутентификатору переговоров...
2018.06.27 12:19:46 kid1 | helperOpenServers: запуск процессов 1/600'gotiate_kerberos_auth '
2018.06.27 12:19:46 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:50 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018. 06.27 12:19:51 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:51 kid1 | ОШИБКА: Согласование проверки подлинности пользователя.Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:19:55 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:19:55 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:57 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018.06.27 12:19:59 kid1 | ОШИБКА: Согласование проверки подлинности пользователя.Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:00 kid1 | ОШИБКА: Согласование проверки подлинности пользователя.  Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:03 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
2018/06/27 12:20:06 kid1 | ОШИБКА: Согласование проверки подлинности пользователя. Результат: {result = BH, notes = {message: получен токен NTLM типа 1; }}
  

/ var / log / squid / access.журнал

  1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - текст / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4164 CONNECT яндекс.ru: 443 - HIER_NONE / - текст / html
1530088115.039 4 172. 31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.net:443 - HIER_NONE / - text / html
1530088115.039 4 172.31.10.71 TCP_DENIED / 407 4176 CONNECT yastatic.сеть: 443 - HIER_NONE / - текст / html
1530088115.047 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088116.578 1 172.31.10.71 TCP_DENIED / 407 4333 CONNECT cdn.syndication.twimg.com:443 - HIER_NONE / - text / html
1530088116.585 7 172.31.10.71 TCP_DENIED / 407 4313 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
1530088116.585 6 172.31.10.71 TCP_DENIED / 407 4269 CONNECT 3dnews.ru:443 - HIER_NONE / - text / html
1530088116.585 1 172.31.10.71 TCP_DENIED / 407 5648 POST http: // top-fwz1. mail.ru/tracker? - HIER_NONE / - текст / html
1530088116.596 18 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530088118.941 0 172.31.10.71 TCP_DENIED / 407 4236 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE / - text / html
1530088118.946 0 172.31.10.71 TCP_DENIED / 407 4341 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE / - text / html
1530088121.934 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088121.938 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088125.390 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530088125.393 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091186.082 0 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091186.103 17 172.31.10.71 TCP_DENIED / 407 4269 CONNECT яндекс. ru: 443 - HIER_NONE / - текст / html
1530091190.539 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091191.307 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091191.770 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.390 0 172.31.10.71 TCP_DENIED / 407 4164 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.395 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT сек.api.browser.yandex.ru:443 - HIER_NONE / - текст / html
1530091195.396 1 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091195.398 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091197.499 0 172.31.10.71 TCP_DENIED / 407 4269 CONNECT yandex.ru:443 - HIER_NONE / - text / html
1530091199.183 0 172.31.10.71 TCP_DENIED / 407 4348 GET http://forundex.ru/unix%20linux/favicon.ico - HIER_NONE / - text / html
1530091199. 185 0 172.31.10.71 TCP_DENIED / 407 4453 GET http://forundex.ru/unix%20linux/favicon.ico - HIER_NONE / - text / html
1530091200.420 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091200.423 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT sec.api.browser.yandex.ru:443 - HIER_NONE / - text / html
1530091203.169 0 172.31.10.71 TCP_DENIED / 407 4228 CONNECT cdn.syndication.twimg.com:443 - HIER_NONE / - text / html
1530091203.172 0 172.31.10.71 TCP_DENIED / 407 4333 CONNECT cdn.синдикация.twimg.com:443 - HIER_NONE / - текст / html
1530091206.171 0 172.31.10.71 TCP_DENIED / 407 4208 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
1530091206.174 0 172.31.10.71 TCP_DENIED / 407 4313 CONNECT gekko.spiceworks.com:443 - HIER_NONE / - text / html
  

Мне нужна помощь. Спасибо за продвижение.

Squid TCP_DENIED / 403 4037 GET http://detectportal.firefox.com/success.txt — HIER_NONE / — text / html

Я только что установил Squid 3. 5.27 на сервере Ubuntu 18.04

  пользователь @ ubuntu: ~ $ lsb_release -a
Модулей LSB нет.
Идентификатор распространителя: Ubuntu
Описание: Ubuntu 18.04 LTS
Релиз: 18.04
Кодовое имя: бионический
пользователь @ ubuntu: ~ $


пользователь @ ubuntu: ~ $ dpkg -l | grep squid
ii squid 3.5.27-1ubuntu1 amd64 Полнофункциональный кеш веб-прокси (HTTP-прокси)
ii squid-common 3.5.27-1ubuntu1 все полнофункциональный кеш веб-прокси (HTTP-прокси) - общие файлы
ii squid-langpack 20170901-1 все локализованные страницы ошибок для Squid
пользователь @ ubuntu: ~ $


пользователь @ ubuntu: ~ $ squid -v
Кэш Squid: Версия 3.5,27
Название службы: кальмар
Ubuntu Linux
параметры конфигурации: '--build = x86_64-linux-gnu' '--prefix = / usr' '--includedir = $ {prefix} / include' '--mandir = $ {prefix} / share / man' '- -infodir = $ {prefix} / share / info '' --sysconfdir = / etc '' --localstatedir = / var '' --libexecdir = $ {prefix} / lib / squid3 '' --srcdir =. ' '--disable-keeper-mode' --disable-dependency-tracking '--disable-silent-rules' BUILDCXXFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3- 3. 5.27 =. -fstack-protector-strong -Wformat -Werror = format-security -Wno-error = deprecated -Wno-error = format-truncation -Wdate-time -D_FORTIFY_SOURCE = 2 -Wl, -Bsymbolic-functions -Wl, -z, relro -Wl, -z, теперь -Wl, - по необходимости '' --datadir = / usr / share / squid '' --sysconfdir = / etc / squid '' --libexecdir = / usr / lib / squid ' '--mandir = / usr / share / man' '--enable-inline' '--disable-arch-native' '--enable-async-io = 8' '--enable-storeio = ufs, aufs, diskd, rock '' --enable-remove-policies = lru, heap '' --enable-delay -pool '' --enable-cache-digests '' --enable-icap-client '' --enable-follow -x-forwarded-for '' --enable-auth-basic = DB, fake, getpwnam, LDAP, NCSA, NIS, PAM, POP3, RADIUS, SASL, SMB '' --enable-auth-digest = файл, LDAP '' --enable-auth -gotiate = kerberos, wrapper '' --enable-auth-ntlm = fake, smb_lm '' --enable-external-acl-helpers = file_userip, kerberos_ldap_group, LDAP_group, session, SQL_session, time_quota, unix_group, wbinfo_group '' --enable-url-rewrite-helpers = fake '' --enable-eui '' --enable-esi '' --enable-icmp '' --enable-zph-qos '' - включить-ecap '' - disable-translation '' --with-swapdir = / var / spool / squid '' --with-logdir = / var / log / squid '' --with-pidfile = / var / run / squid. pid '' --with-filedescriptors = 65536 '' --with-large-files '' --with-default-user = proxy '' --enable-build-info = Ubuntu linux '' --enable-linux- netfilter '' build_alias = x86_64-linux-gnu '' CFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3-3.5.27 =. -fstack-protector-strong -Wformat -Werror = format-security -Wall '' LDFLAGS = -Wl, -Bsymbolic-functions -Wl, -z, relro -Wl, -z, now -Wl, - as-required ' 'CPPFLAGS = -Wdate-time -D_FORTIFY_SOURCE = 2' 'CXXFLAGS = -g -O2 -fdebug-prefix-map = / build / squid3-28YJxG / squid3-3.5.27 =.-fstack-protector-strong -Wformat -Werror = безопасность-формат -Wno-error = не рекомендуется -Wno-error = усечение-формат '
пользователь @ ubuntu: ~ $
  

К сожалению, не работает. Это /var/log/squid/access.log

  пользователь @ ubuntu: ~ $ sudo tail -F /var/log/squid/access.log
 1530545854.655 1 192.168.0.254 TCP_DENIED / 403 4037 GET http://detectportal.firefox.com/success.txt - HIER_NONE / - text / html
 1530545857.
No related posts.