URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6753
[ Назад ]
Исходное сообщение
"Squid, Динамическое отключение пользователей"
Отправлено Sledge , 16-Дек-11 15:49 
Привет все.
Имею 8.2-STABLE FreeBSD 8.2-STABLE i386
squid-2.7.9_1       HTTP Caching Proxy
auth_param ntlm children 400     ---- самба 3.6 + AD - для Windows(ie, firefox) пользователей
auth_param basic children 150    ---- для MasOS-safari, Opera и всего остального.
слушает два порта 3129, 3128

netstat -Lan -p tcp
Proto Listen         Local Address
tcp4  0/0/512        192.168.33.10.3128
tcp4  0/0/512        192.168.33.10.3129
tcp4  0/0/10         127.0.0.1.25
....

Делаю squid -k reconf - при перезапуске у пользователей вываливается - (дословно) "Прокси сервер отказывается принимать соединения..."

При этом:
netstat -Lan -p tcp
Proto Listen         Local Address
tcp4  0/0/10         127.0.0.1.25
...
Т.е. действительно очередей для приема нет.

Squid рестартуется по крону раз в пол часа т.к. изменятся фалйы:
acl BAD_USERS           src                     "/usr/local/etc/squid/bad_users"
acl BAD_AUTH_USERS      proxy_auth url_regex -i "/usr/local/etc/squid/bad_auth_users"

ВОПРОС
скорее по архитектуре.
Не приходит в голову -
Как динамически отключать IP (BAD_USERS)  ,не делая squid -k reconf ?
Как динамически отключать Авторизирующихся пользователей (BAD_AUTH_USERS),не делая squid -k reconf ?

Надеюсь понятно изложил
Спасибо за помощь, желание ее оказать, и просто читавшим.

Содержание
Сообщения в этом обсуждении
"Squid, Динамическое отключение пользователей"
Отправлено vivi , 16-Дек-11 16:31 
использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для этого сквиду реконфигурить не нужно.
"Squid, Динамическое отключение пользователей"
Отправлено Sledge , 16-Дек-11 16:46 
> использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для
> этого сквиду реконфигурить не нужно.

Спасибо, погляжу. Но это для авторизирующихся.
А чего делать с пользователями, отключающимися по IP?

"Squid, Динамическое отключение пользователей"
Отправлено vivi , 16-Дек-11 16:47 
но к слову сказать у меня на rhel при /etc/init.d/squid reload (тот же реконфигуре) нечего не отваливается у пользователей, а их порядка 1,5к., при этом 3 типа авторизации (squid_ldap_group, ntlm_auth, squid_kerb_auth) и squid_ldap_group для другой цели.
"Squid, Динамическое отключение пользователей"
Отправлено vivi , 16-Дек-11 16:53 
для по ip как вариант костылей, выдели их отдельную подсеть и открывай фаерволом.
"Squid, Динамическое отключение пользователей"
Отправлено Sledge , 16-Дек-11 18:36 
> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
> фаерволом.

Да - идея. Даж не надо никуда выносить - есть ip, запихну в ipfw table, буду блокировать, да ipfw table flush, add. Надо только подумать, как что-то типа deny_info тут.

Спасибо еще раз всем.

"Squid, Динамическое отключение пользователей"
Отправлено rijiy , 16-Дек-11 20:12 
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
>> фаерволом.
> Да - идея. Даж не надо никуда выносить - есть ip, запихну
> в ipfw table, буду блокировать, да ipfw table flush, add. Надо
> только подумать, как что-то типа deny_info тут.
> Спасибо еще раз всем.
"Squid, Динамическое отключение пользователей"
Отправлено rijiy , 16-Дек-11 20:14 
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
>> фаерволом.

Можно еще сделать базу sql, положить туда ip адреса и написать простенький хелпер, который будет спрашивать у базы да/нет
На такой кастомный АЦЛ можно сделать ттл 20 минут к примеру.
И сквид будет помнить 20 минут ip адрес, а потом будет спрашивать у базы, если не найдет - будет блок.