Squid, Динамическое отключение пользователей, Sledge, 16-Дек-11, 15:49 [смотреть все]Привет все. Имею 8.2-STABLE FreeBSD 8.2-STABLE i386 squid-2.7.9_1 HTTP Caching Proxy auth_param ntlm children 400 ---- самба 3.6 + AD - для Windows(ie, firefox) пользователей auth_param basic children 150 ---- для MasOS-safari, Opera и всего остального. слушает два порта 3129, 3128netstat -Lan -p tcp Proto Listen Local Address tcp4 0/0/512 192.168.33.10.3128 tcp4 0/0/512 192.168.33.10.3129 tcp4 0/0/10 127.0.0.1.25 .... Делаю squid -k reconf - при перезапуске у пользователей вываливается - (дословно) "Прокси сервер отказывается принимать соединения..." При этом: netstat -Lan -p tcp Proto Listen Local Address tcp4 0/0/10 127.0.0.1.25 ... Т.е. действительно очередей для приема нет. Squid рестартуется по крону раз в пол часа т.к. изменятся фалйы: acl BAD_USERS src "/usr/local/etc/squid/bad_users" acl BAD_AUTH_USERS proxy_auth url_regex -i "/usr/local/etc/squid/bad_auth_users" ВОПРОС скорее по архитектуре. Не приходит в голову - Как динамически отключать IP (BAD_USERS) ,не делая squid -k reconf ? Как динамически отключать Авторизирующихся пользователей (BAD_AUTH_USERS),не делая squid -k reconf ? Надеюсь понятно изложил Спасибо за помощь, желание ее оказать, и просто читавшим. |
- Squid, Динамическое отключение пользователей, vivi, 16:31 , 16-Дек-11 (1)
использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для этого сквиду реконфигурить не нужно.
- Squid, Динамическое отключение пользователей, Sledge, 16:46 , 16-Дек-11 (2)
> использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для > этого сквиду реконфигурить не нужно.Спасибо, погляжу. Но это для авторизирующихся. А чего делать с пользователями, отключающимися по IP?
- Squid, Динамическое отключение пользователей, vivi, 16:47 , 16-Дек-11 (3)
но к слову сказать у меня на rhel при /etc/init.d/squid reload (тот же реконфигуре) нечего не отваливается у пользователей, а их порядка 1,5к., при этом 3 типа авторизации (squid_ldap_group, ntlm_auth, squid_kerb_auth) и squid_ldap_group для другой цели.
- Squid, Динамическое отключение пользователей, vivi, 16:53 , 16-Дек-11 (4)
для по ip как вариант костылей, выдели их отдельную подсеть и открывай фаерволом.
- Squid, Динамическое отключение пользователей, Sledge, 18:36 , 16-Дек-11 (5)
> для по ip как вариант костылей, выдели их отдельную подсеть и открывай > фаерволом.Да - идея. Даж не надо никуда выносить - есть ip, запихну в ipfw table, буду блокировать, да ipfw table flush, add. Надо только подумать, как что-то типа deny_info тут. Спасибо еще раз всем.
- Squid, Динамическое отключение пользователей, rijiy, 20:12 , 16-Дек-11 (6)
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай >> фаерволом. > Да - идея. Даж не надо никуда выносить - есть ip, запихну > в ipfw table, буду блокировать, да ipfw table flush, add. Надо > только подумать, как что-то типа deny_info тут. > Спасибо еще раз всем. - Squid, Динамическое отключение пользователей, rijiy, 20:14 , 16-Дек-11 (7)
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай >> фаерволом.Можно еще сделать базу sql, положить туда ip адреса и написать простенький хелпер, который будет спрашивать у базы да/нет На такой кастомный АЦЛ можно сделать ттл 20 минут к примеру. И сквид будет помнить 20 минут ip адрес, а потом будет спрашивать у базы, если не найдет - будет блок.
|