The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите закрыть дырку в SQUID, SOS!!!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите закрыть дырку в SQUID, SOS!!!"  
Сообщение от alexsf email(ok) on 29-Мрт-07, 16:12 
У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что проходят все кому не лень. Хотя должны ходить только те, кто попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.

Вот конфиг сквида:

##############
### GLOBAL ###
##############

cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/cache/squid 16384 16 256
forwarded_for xxx.xxx.xxx.xxx
cache_mgr legion@proxy.asdkalsdkasd.com.ua
quick_abort_min 0 KB
quick_abort_max 0 KB
http_port 8080

######################
##### AUTH_PARAM #####
######################

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#################
###### ACL ######
#################

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_objects
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 5190
acl Safe_ports port 21 70 80 210 280 443 488 563 591 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

acl bad_url url_regex "/etc/squid/bad_url"
acl microsoft url_regex "/etc/squid/microsoft"
acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$ .mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$

acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
acl adHighSpeed proxy_auth REQUIRED HighInternetAccess

#########################
###### HTTP_ACCESS ######
#########################

never_direct allow all

http_access allow manager localhost
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access allow adLowSpeed !bad_url !bad_files !microsoft
http_access allow adMediumSpeed !bad_url !bad_files !microsoft
http_access allow adHighSpeed !bad_url !bad_files !microsoft
http_access deny all


#########################
###### DELAY_POOLS ######
#########################

#delay_pools 3

#delay_class 1 1
#delay_parameters 1 5000/5000
#delay_access 1 allow adLowSpeed
#delay_access 1 deny all

#delay_class 2 1
#delay_parameters 2 15000/15000
#delay_access 2 allow adMediumSpeed
#delay_access 2 deny all

#delay_class 3 1
#delay_parameters 3 50000/50000
#delay_access 3 allow adHighSpeed
#delay_access 3 deny all

Проходят все пользователи домена, которые хотят, независимо от того, в какой группе состоят. Помогите, где дырка!!!!
Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться в живых :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Помогите закрыть дырку в SQUID, SOS!!!"  
Сообщение от ncp email(??) on 29-Мрт-07, 17:07 
>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess
>
>#########################
>###### HTTP_ACCESS ######
>#########################
>
>never_direct allow all
>
>http_access allow manager localhost
>http_access allow purge localhost
>http_access deny purge
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>http_access allow localhost
>
>http_access allow adLowSpeed !bad_url !bad_files !microsoft
>http_access allow adMediumSpeed !bad_url !bad_files !microsoft
>http_access allow adHighSpeed !bad_url !bad_files !microsoft
>http_access deny all
>
>
>#########################
>###### DELAY_POOLS ######
>#########################
>
>#delay_pools 3
>
>#delay_class 1 1
>#delay_parameters 1 5000/5000
>#delay_access 1 allow adLowSpeed
>#delay_access 1 deny all
>
>#delay_class 2 1
>#delay_parameters 2 15000/15000
>#delay_access 2 allow adMediumSpeed
>#delay_access 2 deny all
>
>#delay_class 3 1
>#delay_parameters 3 50000/50000
>#delay_access 3 allow adHighSpeed
>#delay_access 3 deny all
>
>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)


Уже должны были порезать... Жаль...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите закрыть дырку в SQUID, SOS!!!"  
Сообщение от Kliver on 29-Мрт-07, 18:04 
>У меня сквид авторизует пользователей через Active Directory. Причем авторизует так, что
>проходят все кому не лень. Хотя должны ходить только те, кто
>попадает в группы LowInternetAccess, MediumInternetAccess, HighInternetAccess.
>
>Вот конфиг сквида:
>
>##############
>### GLOBAL ###
>##############
>
>cache_peer xxx.xxx.xxx.xxx parent 3128 3130 no-query no-digest
>hierarchy_stoplist cgi-bin ?
>acl QUERY urlpath_regex cgi-bin \?
>no_cache deny QUERY
>cache_dir ufs /var/cache/squid 16384 16 256
>forwarded_for xxx.xxx.xxx.xxx
>cache_mgr legion@proxy.asdkalsdkasd.com.ua
>quick_abort_min 0 KB
>quick_abort_max 0 KB
>http_port 8080
>
>######################
>##### AUTH_PARAM #####
>######################
>
>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>auth_param ntlm children 10
>auth_param ntlm max_challenge_reuses 0
>
>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>auth_param basic children 10
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours
>
>#################
>###### ACL ######
>#################
>
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_objects
>acl localhost src 127.0.0.1/255.255.255.255
>acl SSL_ports port 443 563 5190
>acl Safe_ports port 21 70 80 210 280 443 488 563 591
>777 901 1025-65535
>acl purge method PURGE
>acl CONNECT method CONNECT
>
>acl bad_url url_regex "/etc/squid/bad_url"
>acl microsoft url_regex "/etc/squid/microsoft"
>acl bad_files urlpath_regex .dat$ .wav$ .avi$ .wmv$ .mpg$ .mp3$ .mov$ .wmf$ .3gp$
>.mpeg$ .mpeg4$ .ogg$ .wma$ .m3u$ .djvu$ .flv$
>
>acl adLowSpeed proxy_auth REQUIRED LowInternetAccess
>acl adMediumSpeed proxy_auth REQUIRED MediumInternetAccess
>acl adHighSpeed proxy_auth REQUIRED HighInternetAccess

А где написано, что здесь можно писать имя группы AD? Тут только имена пользоватлей или REQUIRED без всяких параметров.
Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
или смотри http://www.opennet.me/tips/info/1007.shtml

>Проходят все пользователи домена, которые хотят, независимо от того, в какой группе
>состоят. Помогите, где дырка!!!!
>Примерно через 30 минут меня начнут резать на куски директора. Помогите остаться
>в живых :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите закрыть дырку в SQUID, SOS!!!"  
Сообщение от alexsf email(ok) on 29-Мрт-07, 18:06 
>А где написано, что здесь можно писать имя группы AD? Тут только
>имена пользоватлей или REQUIRED без всяких параметров.
>Имя группы можно задавать в параметрах ntlm_auth (--require-membership-of) но только одну
>или смотри http://www.opennet.me/tips/info/1007.shtml

Спасибо большое. Прав на все 100. Помогло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру