Всем привет.
На freebsd10.1 стоит непрозрачный squid 3.3.13 с авторизаций ntlm через винбинд(smb4). Не могу разрешить метод connect для группы (nt_groups) - блочит.
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500
auth_param ntlm keep_alive on
external_acl_type nt_group ttl=600 %LOGIN /usr/local/squid33/libexec/squid/ext_wbinfo_group_acl
...
acl inet_users external nt_group inet_users
acl ncsa_users proxy_auth REQUIRED
acl CONNECT method CONNECT
acl SSL_ports port 443 8443
...
А теперь внимание: вот такое правило работает как надо:
http_access allow CONNECT SSL_ports !chat_url !porn
А как его применить для группы inet_users?
Пробовал очень много различных вариантов,
http_access allow inet_users CONNECT SSL_ports !chat_url !porn
http_access allow CONNECT SSL_ports inet_users !chat_url !porn
...
комбинируя строку и добавляя в разные места inet_users, но в итоге получаем TCP_DENIED.
В сети видел немало примеров, но ни один не подходит. Может у кого-то есть рабочая строка для моего случая?
Если это правило:
http_access allow CONNECT SSL_ports !chat_url !porn
работает как надо, то что вам еще нужно? Поставьте его в нужное место. Думаю вы в курсе, что порядок правил имеет значение.
Если что-то не работает, включаем debug в конфиге сквида на уровень побольше, чем 1, и смотрим cache_log
> Если это правило:
> http_access allow CONNECT
> SSL_ports !chat_url !porn
> работает как надо, то что вам еще нужно? Поставьте его в нужное
> место. Думаю вы в курсе, что порядок правил имеет значение.
> Если что-то не работает, включаем debug в конфиге сквида на уровень побольше,
> чем 1, и смотрим cache_logПроблема в том, это это нужно делать только для одной группы. Про порядок правил я в курсе.
>> ... !chat_url !pornКхм, стало любопытно, это внутренний "серый ресурс" (вроде 127/8, 10/8, 192.168/16, etc)
:)
или за этим скрывается, что-то более высокоматериальное - типа !games, !loolze