The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid, connect, ng_groups"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"squid, connect, ng_groups"  +/
Сообщение от skeletor email(ok) on 09-Апр-15, 15:47 
Всем привет.
На freebsd10.1 стоит непрозрачный squid 3.3.13 с авторизаций ntlm через винбинд(smb4). Не могу разрешить метод connect для группы (nt_groups) - блочит.

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500
auth_param ntlm keep_alive on
external_acl_type nt_group ttl=600 %LOGIN /usr/local/squid33/libexec/squid/ext_wbinfo_group_acl
...
acl     inet_users      external nt_group inet_users
acl     ncsa_users              proxy_auth      REQUIRED
acl     CONNECT                 method          CONNECT
acl     SSL_ports               port            443 8443
...

А теперь внимание: вот такое правило работает как надо:

http_access     allow   CONNECT    SSL_ports    !chat_url !porn

А как его применить для группы inet_users?
Пробовал очень много различных вариантов,

http_access     allow   inet_users CONNECT    SSL_ports    !chat_url !porn
http_access     allow   CONNECT    SSL_ports  inet_users  !chat_url !porn
...

комбинируя строку и добавляя в разные места inet_users, но в итоге получаем TCP_DENIED.
В сети видел немало примеров, но ни один не подходит. Может у кого-то есть рабочая строка для моего случая?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid, connect, ng_groups"  +/
Сообщение от ipmanyak (ok) on 10-Апр-15, 07:48 
Если это правило:
http_access     allow   CONNECT    SSL_ports    !chat_url !porn
работает как надо, то что вам еще нужно? Поставьте его в нужное место. Думаю вы в курсе, что порядок правил имеет значение.
Если что-то не работает, включаем debug в конфиге сквида на уровень побольше, чем 1, и смотрим  cache_log
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid, connect, ng_groups"  +/
Сообщение от skeletor email(ok) on 10-Апр-15, 09:12 
> Если это правило:
> http_access     allow   CONNECT    
> SSL_ports    !chat_url !porn
> работает как надо, то что вам еще нужно? Поставьте его в нужное
> место. Думаю вы в курсе, что порядок правил имеет значение.
> Если что-то не работает, включаем debug в конфиге сквида на уровень побольше,
> чем 1, и смотрим  cache_log

Проблема в том, это это нужно делать только для одной группы. Про порядок правил я в курсе.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "squid, connect, ng_groups"  +/
Сообщение от fail on 10-Апр-15, 18:35 
>> ... !chat_url !porn

Кхм, стало любопытно, это внутренний "серый ресурс" (вроде 127/8, 10/8, 192.168/16, etc)
:)
или за этим скрывается, что-то более высокоматериальное - типа !games, !loolze

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру