Приветствую..появилась небольшая проблемка после реализации задачи: надо было поставить сквид с самбой что бы виндовые юзвери могли через сквид гулять по интернету, но лишь те кто находиться в нужной группе.
реализовал с помощь самбы и сквида, все работает как часики, все путем. но вот вспомнил что те кто не может идти в инет через сквид, должен все таки иметь доступ к локальным и одному внешнему сайту... а вот это уже не получаеться..:
система freebsd 7 squid 2.7
конфиг сквида:
vmsrvfreebsd# cat /usr/local/etc/squid/squid.conf
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src 10.0.20.0/255.255.255.0
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl allowinternetaccess external nt_group allowinternetaccess
acl GSC01 proxy_auth REQUIRED
acl SSL_ports port 443 563
acl SSL_for_client_banks port 910 8443 4500
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
acl CONNECT method CONNECT
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl deny_msn dstdomain "/usr/local/etc/squid/db/deny_msn.txt"
acl localsites dstdomain "/usr/local/etc/squid/db/allow_sites.txt"
acl SNMP snmp_community squidmrtg
snmp_port 3401
acl myhost src 10.0.20.38/255.255.255.255
snmp_access allow SNMP myhost
snmp_access deny all
deny_info ERR_DENY_DOMAINS deny_msn
http_access allow manager localhost
http_access deny manager
http_access allow allowinternetaccess all
http_access deny deny_msn
http_access allow localsites all
deny_info ERR_INET_NO_ALLOW all
http_access deny all
acl manager proto cache_object
acl webserver src 10.0.20.38/255.255.255.255
http_access allow manager webserver
http_access deny manager
#acl all src all
acl manager proto cache_object
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 1024 MB
cache_dir ufs /var/log/squid/cache 50000 64 512
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
pid_filename /var/run/squid/squid.pid
ftp_user Squid@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mgr pavel.bondar@be.dsv.com
error_directory /usr/local/etc/squid/errors/English
hosts_file /etc/hosts
append_domain .gsc01.local
coredump_dir /usr/local/squid/cache
из конфига видно что юзеры из группы qllowinternetaccess имеют доступ к инету, однако все остальные должны иметь доступ к сайтам перечислиенным в acl localsites dstdomain \ "/usr/local/etc/squid/db/allow_sites.txt" ...
вот только не работает )) если ты не в группе allowinternetaccess то и ходить никуда не можешь.. понимаю что ошбика глупая но найти не могу.. от того и оброщаюсь с вопросом.
Более того.. сегодня поменялся пароль доменного админа, сделал для прокси отдельного доменного админ юзера и.. теперь даже если пользователь в группе allowinternetacces то все равно не имеет доступа в интернет..
в лог валиться 3 строчки:
1231934803.420 0 10.0.25.50 TCP_DENIED/407 1798 GET http://www.msn.com/? - NONE/- text/html
1231934803.423 1 10.0.25.50 TCP_DENIED/407 2018 GET http://www.msn.com/? - NONE/- text/html
1231934803.890 466 10.0.25.50 TCP_DENIED/403 1382 GET http://www.msn.com/? pbonda DIRECT/65.54.152.126 text/html
где pbonda мой юзер (в группе allowinternetaccess)..