TheRexx Nov 8 2016 at 15:58

«Прозрачный» Squid с разграничением доступа

3 min

43K

Configuring Linux*System administration*

From sandbox

+11

Comments 25

DaemonGloom Nov 8 2016 at 20:17

Простите, а чем вас не устроила авторизация kerberos/ntlm и автоопределение прокси через опцию dhcp? Для пользователя будет проходить вполне незаметно.

Shi Nov 8 2016 at 21:17

А что делать с мобильными устройствами? Там NTLM не катит(

TheRexx Nov 9 2016 at 05:11

Было бы интересно посмотреть такую отказоустойчивую конфигурацию, с DHCP, устройств на 300-350.

saamich Nov 9 2016 at 10:41

Можно уточнить — в чем отказоустойчивость вашей конфигурации- в статье этого не увидел.

TheRexx Nov 9 2016 at 11:03

В комментарии выше, имеется ввиду, отказоустойчивый DHCP. И он не несёт саркастического оттенка. Есть такая реальная задача.

MagicGTS Nov 8 2016 at 20:58

Отвечу за автора: не всегда такой вариант работает, и часто нужно просто иметь статистику.

avesnin Nov 8 2016 at 21:59

А если добавить ещё разделение ширины канала для групп пользователей — вообще замечательно будет.

zuzzer Nov 9 2016 at 04:17

А потом захочется получать группы из AD, потом разобраться с автоматизацией для 100+ пользователей, потом сделать гибкие черные/белые групповые/персональные списки и их перекрытие и т. д. Вот тут-то и начинается веселье с конфигами.

GoldJee Nov 9 2016 at 04:13

Спасибо за статью. Настроил Squid с использованием приведенного конфига.
Решил потестировать. В Firefox в настройках прокси указал следующее:

В результате для любого адреса, даже из списка разрешенных, браузер выдает ошибку «Проксии-серрвер отказывается принимать соединения».

С машины, на которой установлен Squid, попробовал сделать
>telnet 127.0.0.1 3128
В результате:
Trying 127.0.0.1…
telnet: Unable to connect to remote host: Connection refused

ЧЯДНТ?

Заранее прошу прощения, если вопрос глупый. У меня нет опыта настройки Squid, а ваше руководство я решил взять в качестве старта.

stork_teadfort Nov 9 2016 at 04:28

Проблема в том, что вы не понимаете идею прозрачного прокси — его не нужно указывать «В Firefox в настройках прокси». Просто укажите прокси как основной шлюз.

NioriX Nov 9 2016 at 04:35

Возможно стоит сделать прокси не прозрачным. Т.е. убрать опцию intercept. В конфигурации из статьи предполагается что траффик от пользователей просто приходит по маршрутам на сквид, либо сквид является «шлюзом по умолчанию». А уже на нем через фаирвол траффик заворачивается на порты 3128 и 3129. В том и прозрачность, что браузет не подозревает о прокси. У вас же он прописан явно. Хотя по телнету порты должны отвечать в любом случае. Значит свид не стартует, Тут причин может быть туча. Может в конфиге таки ошиблись. Может у вас selinux не дает сквиду слушать нестандартные порты, может фаирвол. Все зависит от ОС и настроек. тут без логов сложно что то сказать. Так что сперва смотрите как в принципе настраивается сквид на вашей ОС, а уже когда хоть что то заработает пробуйте конфиг из статьи.

GoldJee Nov 9 2016 at 13:50

Большое спасибо всем прокомментировавшим мое сообщение.
Действительно, я неверно понимал идею «прозрачности».
Разобрался с вопросом, модифицировав дефолтный конфиг сквида и добавив нужные строки.

TheRexx Nov 9 2016 at 04:36

Проверьте все ли вы сделали по статье указанной до конфигурации. Идея в том, что указывать прокси в настройках браузера не нужно, у вас просто должен быть маршрут до Squid, либо default route на него. А на самом сервере со Squid:

iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.1.0/24 --dport 443 -j REDIRECT --to-ports 3129
iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-ports 3128

То есть вы заворачиваете входящий трафик по 80 на 3128 порт, и по 443 на 3129

Cas1204 Nov 9 2016 at 04:15

Спасибо огромное, статья очень помогла! Поправьте маленькую опечатку в конфиге: не
ssl_bump terminate denied_ssl, а
ssl_bump terminate denied_urls_ssl

TheRexx Nov 9 2016 at 04:15

Спасибо, исправил.

kucheriavij Nov 9 2016 at 08:28

несколько лет назад делал все тоже самое, только со squidguard, и как выше писали, впоследствии руководству, захотелось и черные, и белые списки, и груповые политики, и еще и собирать статистику каждого пользователя, и смотреть траффик, и все это без авторизации, так как денег на машину под контролер домена не хотели выделять. А закончилось все тем, что пользователи все это обходили через анонимайзеры, в итоге затея провалилась с треском

SergeyHa Nov 9 2016 at 12:49

перекрыть доступ к анонимайзерам? запретить тор сеть по хешу экзешника запускатора?

kucheriavij Nov 9 2016 at 12:58

Несколько лет назад, это в году этак 2010, про тор тогда мало кто знал (мои пользователи точно не знали), а анонимайзеры я устал перекрывать, закрываешь один, они другой находят. Вообще в моем случае сама идея регулировать трафик была дебильной

UFO just landed and posted this here

kucheriavij Nov 10 2016 at 08:52

Это имеет смысл когда ты работаешь в каком-нибудь ЗАО «Тандер», где только в главном офисе 5к сотрудников. А когда это обычная провинциальная веб студия с 20 сотрудниками, какие нафиг запреты. Поэтому идея и провалилась с треском, люди не могли работать нормально, в итоге все к чертям послали руководство, и он остался у разбитого корыта

zuzzer Nov 9 2016 at 17:06

Хм, а как привязывались пользователи к IP в условиях DHCP? Мне с ходу видятся два, немного костыльных, варианта: а) дружить с DHCP сервером и держать в squidguard'е и агрегаторе статистики данные по выданным адресам (плохо, привязываемся к машине, а не пользователю) и б) ставит на машины микроагента, который будет стучать с интервалом в эннадцать секунд на прокси и сообщать текущего активного пользователя. Ну и по прежнему вести учет кто откуда (тоже плохо, т. к. надо софтину могут, к примеру, прибить и надо изобретать дополнительные проверки). Всё остальное решается или обвязкой скриптовой прокси или административно.

kucheriavij Nov 9 2016 at 20:30

Я первый вариант использовал. Статистику так и не сделал, это был мой личный протест, так как у руководства разыгралась на тот момент параноя))

cjava Nov 10 2016 at 04:05

А никто не делал авторизацию по ip адресу через агента на клиенте? По аналогии с Microsoft ISA Agent. Агент отправляет данные о пользователе, выполнившем вход на хосте и IP адрес хоста. На стороне Squid'а на основе правил для пользователей обновляется ACL с ip адресом.

UFO just landed and posted this here

bibliary Feb 10 2017 at 13:37

А как в ssl_bump указывать в одной строке и white-list и ай-пи? А то задача стоит так: есть группа которым не резать вообще, а остальным каждому пользователю отдельный white-list. ПК пользователей через резервирование в dhcp получают одинаковый айпи.
Для хттп я сделал и работает:
acl test src 10.10.10.5/32
acl allow_urls_test url_regex "/etc/squid/test_white_list.txt"
http_access allow test CONNECT
http_access deny !allow_urls_test test

А вот такая конструкция в секции ssl не работает.

acl allowed_urls_ssl_test ssl::server_name_regex "/etc/squid/test_white_list.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice extended_access_group
ssl_bump terminate !allowed_urls_ssl_test test
ssl_bump terminate all

Как мне https фильтровать отдельно по айпи?

Show the best of all time