Как стать автором
Обновить

Комментарии 31

и где-то тут вопрос про логротейт + автоматическое сжатие логов раз в месяц и их пёрдж через 12 месяцев, наверное? )
а как же графический анализатор логов вроде лайтсквида или не нужно было при текущем ТЗ
Squidanalyzer — графический анализатор.
логротейт — он в сквиде имеет значения по умолчанию, если тз требует хранить логи за определенный срок, то тут уже индивидуально можно настроить.
что-то я давно спрута не ставил, видать
А как ПК узнают о Проксе?
Вручную указываете адрес прокси в IE или через wpad.dat?
Как насчет гостевых ноутбуков, кто не в АД? Они как пользуются вашим интернетом?
Распространяется через Active Directory групповыми политиками.
В случае необходимости предоставления доступа в интернет устройствам не входящим в AD предоставляется доступ по ip, с наложением всех правил.
Сторонние пк не вводятся в корпоративную сеть, для этих целей есть «публичный» wifi.
Т.е ставите проксю в свойствах браузера?
Да, но не в ручную а групповыми политиками.
На самом деле способов много.
Поиск AD-юзера в подгруппах происходит или юзеры берутся только из основной internet-*-*?
Всякие pfsense и прочие *wall-ы пробовали или сразу пошли linux-классик путём?

PS. ISA Server, вот это был настоящий проксик для Винды, всё прозрачно, всё интегрировано, не зависит от языка (что группы, что логина). Единственное — ограничение трафика по объёму и скорости приходилось делать сторонними плагинами.
Поиск происходит и в подгруппах тоже. Архитектура устроена именно на основе членства пользователя в группе входящей в группу с определенными правами, надеюсь не перемудрил).

ISA Server — использовали давно, в качестве vpn сервера, много-много лет назад. Но к слову есть сервисы которые отлично работают на Windows, есть те которые хорошо работают на Linux, *BSD и т.п., я отношу этот сервис к Linux. Тем более что любое использование Windows ведет к использованию лицензии, как минимум на ОС, что собственно не желательно.
То есть, если пользователь входит в группу «отдел К», а отделу К нужен доступ в Интернет, то Вы включаете группу «отдел К» в группу internet-allow-all и сотрудник этого отдела может выходить в Интернет?

PS. Просто давно был «косяк» у связки Сквида с AD, когда приходилось всех пользователей добавлять непосредственно в группу.
Есть группа А — internet-allow-all
Есть группа Б которая входит в группу А
В группу Б входят пользователи.
pfsense и *wall-ы это больше полноценные шлюзы, нам же не нужен был такой функционал, тем более привычней всё настраивать как Вы выразились «linux-классик путём».
После фразы «конечно странно на habr в 2018 году видеть статью про настройку squid, но» я вроде бы приготовился наконец-то узнать что-то новое, но нет… Очередная статья для любителей копипастить, да ещё и с грязью MITM.
нет, от Вас впервые узнал о нём.

Он платный, но стоит своих денег. Фактически там примерно то, что Вы делали в статье + фильтрация по автообновляемым спискам и множество других наворотов.

Спасибо, ознакомлюсь.
конечно странно на habr в 2018 году видеть
./configure
make
make install

checkinstall хотя бы, ну.

Не верный, Не много, не стабильность, К стати, не малая, не актуально, не нужное, не хитрую, по этому, Не много, не очевидная — кажется, исчерпывающий список мест статьи, где пробел ставить не следовало
Спасибо, исправил.
конечно странно на habr в 2018 году видеть...

...Ubuntu 16.04 (который аж 2016 года), в то время как в 18.04 (тоже LTS, да) есть штатный squid 3.5.27 — ставится «одним кликом» и можно напрямую конфигурировать. Бонус — новый openssl + простые обновления + поддержка несколько лет (как минимум security patches).

Вот правда интересно, что вас сподвигло компилировать вручную да ещё и на устаревшем убунту? Неужели только отключение ipv6?

Если же причины более глубокие — то лучше было бы из озвучить.
Релиз Ubuntu 18.04 был выпущен в апреле текущего года, все работы по сквиду проводились в конце 2017 в начале 2018.
«Статья писалась с перерывами, периодически дополнялась и корректировалась....»
Чтобы не мучиться с форматом времени и лишними командами, достаточно в logformat вместо %ts.%03tu выставить tl или tg.

От платного решения нужна бумажка с лицензией. А под капотом у них часто тот же squid

den_scs, а не получится-ли так, что из-за отключения IPv6 на прокси может появиться возможность ходить в интернет в обход этого самого прокси, без авторизации и, вообще, не сделали-ли Вы себе потенциальную дыру в безопасности?
Интересный вопрос.
Прокси слушает порт 3128 на интерфейсе ipv4, настроенного интерфейса ipv6 нет, прокси находится внутри своей dmz со всеми вытекающими, но тем не менее я обязательно изучу этот вопрос.
>>>сервер виртуализации Hyper-v core — Неверный выбор, о причинах изложу в конце статьи.
Расскажите, что за проблемы у Вас были с Hyper-V Core?

PS: Год назад мучился месяца 3 с Hyper-V Core версии 2016 — у виртуалки забивался Swap каждые 2-3 недели. После перезагрузки ВМ снова работало нормально — до следующего раза. Какие настройки не пробовал — не помогало. В итоге перенес ее на ESXi Free Edition — и все стало норм.
Используем Core 2012. Со swap проблем точно нет, прокси подключен к zabbix.
По тексту можете найти:
«Относительно hyper-v, в целом всё работает стабильно ..............................»
Все остальные виртуалки с ОС Linux, *BSD и т.п. крутятся на ESXi, попробовали на hyper-v, не зашло)
Мда… еще с этим Hyper-V Core 2016 сталкивался с проблемами при интеграции с Veeam Backup & Replication — не работало год назад. Поиск привел на форум Veeam, где мат перемат и срывы покровов.
В общем как я понял по прочтении, какашка этот Hyper-V Core ;))) Лучше уже ESXi Free или ProxMox.
Мы используем Hyper-v core в семи филиалах уже не менее трех лет, в целом нареканий нет.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.