 Squid, Динамическое отключение пользователей,  Sledge, 16-Дек-11, 15:49 [смотреть все]Привет все.
Имею 8.2-STABLE FreeBSD 8.2-STABLE i386
squid-2.7.9_1 HTTP Caching Proxy
auth_param ntlm children 400 ---- самба 3.6 + AD - для Windows(ie, firefox) пользователей
auth_param basic children 150 ---- для MasOS-safari, Opera и всего остального.
слушает два порта 3129, 3128netstat -Lan -p tcp
Proto Listen Local Address
tcp4 0/0/512 192.168.33.10.3128
tcp4 0/0/512 192.168.33.10.3129
tcp4 0/0/10 127.0.0.1.25
....
Делаю squid -k reconf - при перезапуске у пользователей вываливается - (дословно) "Прокси сервер отказывается принимать соединения..." При этом:
netstat -Lan -p tcp
Proto Listen Local Address
tcp4 0/0/10 127.0.0.1.25
...
Т.е. действительно очередей для приема нет. Squid рестартуется по крону раз в пол часа т.к. изменятся фалйы:
acl BAD_USERS src "/usr/local/etc/squid/bad_users"
acl BAD_AUTH_USERS proxy_auth url_regex -i "/usr/local/etc/squid/bad_auth_users" ВОПРОС
скорее по архитектуре.
Не приходит в голову -
Как динамически отключать IP (BAD_USERS) ,не делая squid -k reconf ?
Как динамически отключать Авторизирующихся пользователей (BAD_AUTH_USERS),не делая squid -k reconf ? Надеюсь понятно изложил
Спасибо за помощь, желание ее оказать, и просто читавшим. |
- Squid, Динамическое отключение пользователей, vivi, 16:31 , 16-Дек-11 (1)
использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для этого сквиду реконфигурить не нужно.
- Squid, Динамическое отключение пользователей, Sledge, 16:46 , 16-Дек-11 (2)
> использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для
> этого сквиду реконфигурить не нужно.Спасибо, погляжу. Но это для авторизирующихся.
А чего делать с пользователями, отключающимися по IP?
- Squid, Динамическое отключение пользователей, vivi, 16:47 , 16-Дек-11 (3)
но к слову сказать у меня на rhel при /etc/init.d/squid reload (тот же реконфигуре) нечего не отваливается у пользователей, а их порядка 1,5к., при этом 3 типа авторизации (squid_ldap_group, ntlm_auth, squid_kerb_auth) и squid_ldap_group для другой цели.
- Squid, Динамическое отключение пользователей, vivi, 16:53 , 16-Дек-11 (4)
для по ip как вариант костылей, выдели их отдельную подсеть и открывай фаерволом.
- Squid, Динамическое отключение пользователей, Sledge, 18:36 , 16-Дек-11 (5)
> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
> фаерволом.Да - идея. Даж не надо никуда выносить - есть ip, запихну в ipfw table, буду блокировать, да ipfw table flush, add. Надо только подумать, как что-то типа deny_info тут. Спасибо еще раз всем.
- Squid, Динамическое отключение пользователей, rijiy, 20:12 , 16-Дек-11 (6)
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
>> фаерволом.
> Да - идея. Даж не надо никуда выносить - есть ip, запихну
> в ipfw table, буду блокировать, да ipfw table flush, add. Надо
> только подумать, как что-то типа deny_info тут.
> Спасибо еще раз всем. - Squid, Динамическое отключение пользователей, rijiy, 20:14 , 16-Дек-11 (7)
>> для по ip как вариант костылей, выдели их отдельную подсеть и открывай
>> фаерволом.Можно еще сделать базу sql, положить туда ip адреса и написать простенький хелпер, который будет спрашивать у базы да/нет
На такой кастомный АЦЛ можно сделать ттл 20 минут к примеру.
И сквид будет помнить 20 минут ip адрес, а потом будет спрашивать у базы, если не найдет - будет блок.
|
Версия для распечатки
