https://slinkov.ru/openforum/vsluhforumID12/7059.html есть ЦентОс есть сквид 3.1.10 в iptables создал правило заворачиваещее трафик 80 порта на сквид <br>$IPT -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128<br><br>в конфиге сквида <br>http_port 192.168.0.7:3128 transparent<br><br>аутентификация нтлм<br>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br><br>так вот если в браузере прокси и порт прописаны то всё ходит как надо, а если нет трафик заворачивается и сквид никого не пускает. пишет что <br>he requested URL could not be retrieved<br>При получении URL http://www.yandex.ru/? произошла следующая ошибка<br>Доступ запрещён.<br>Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.<br><br>Что ж ему надо????<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#10 Fri, 29 Nov 2013 11:18:38 GMT Вроде сочинил вроде работает, выкладываю рабочий конфиг, iptables как в первом посте<br>конфиг взят отсюда http://www.lissyara.su/articles/freebsd/programms/squid+ad/<br><br><br># порт где слушаем<br>http_port 192.168.0.7:3128<br>http_port 192.168.0.7:3129 # себе любимому чтоб всё ходило<br>http_port 192.168.0.7:3127 intercept<br><br>acl adminport myport 3129 # себе любимому чтоб всё ходило<br>http_access allow adminport # себе любимому чтоб всё ходило<br><br>acl mp myport 3128<br>acl mptr myport 3127<br><br><br># список слов, которые будучи обнаруженными в URL<br># вызывают обработку без кэширования<br> hierarchy_stoplist cgi-bin ?<br><br># список ACL которые вызывают несовпадение с кэшем,<br># и, запрос с ответом кэшироваться не будут<br> acl QUERY urlpath_regex cgi-bin \?<br><br># собственно - правило что не кэшируем<br> no_cache deny QUERY<br><br># сколько отдаём ему памяти (реально пожрёт втрое больше)<br> cache_mem 1024 MB<br><br># Директория для кэша, числа - размер кэша в Mb,<br># число директорий первого уровня, число директорий второго<br># уровня в каждой дире https://slinkov.ru/openforum/vsluhforumID12/7059.html#9 Fri, 29 Nov 2013 08:05:49 GMT &gt;&gt; на squide настроить <br>&gt;&gt; http_port 3128 #(для доступа по аторизации) <br>&gt;&gt; http_port 3127 intercept #(для прозрачного) <br>&gt;&gt; через ACL перенаправить пользователей по портам <br>&gt; хорошая идея, подскажите как, я не силён в этом....<br><br>в конфиге squid<br><br>auth_param basic program /etc/squid/my-auth1.pl<br>auth_param basic children 2<br>acl localnet src 192.168.0.0/16 # RFC1918 possible internal network<br>acl p3128 localport 3128<br>http_access allow p3128 password localnet<br>http_access allow localnet<br>http_port 3128<br>http_port 3127 intercept<br><br><br>файл my-auth1.pl (положить в /etc/squid/)<br><br>#!/usr/bin/perl<br><br>%users = (<br>'login' =&gt; 'password',<br>'user1' =&gt; '12324',<br>'user2' =&gt; '111',<br><br><br><br>);<br><br>$&#124;=1;<br>while (&lt;&gt;) {<br><br> ($user,$pass) = split();<br> #print $user,'-',$pass,'-',$users[$user];<br> if ($users{lc $user} == $pass){<br> print "OK\n";<br> }else{<br> print "ERR\n";<br> }<br>}<br><br><br>в iptables настроить перенаправление для прзрачного проксирования <br><br>-A PREROUTING -s 192.168.0.0/16 -p tcp -m tcp --dport 80 -j RED https://slinkov.ru/openforum/vsluhforumID12/7059.html#8 Fri, 29 Nov 2013 05:33:23 GMT &gt; на squide настроить <br>&gt; http_port 3128 #(для доступа по аторизации) <br>&gt; http_port 3127 intercept #(для прозрачного) <br>&gt; через ACL перенаправить пользователей по портам <br><br>хорошая идея, подскажите как, я не силён в этом....<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#7 Thu, 28 Nov 2013 14:56:42 GMT на squide настроить<br>http_port 3128 #(для доступа по аторизации)<br>http_port 3127 intercept #(для прозрачного)<br>через ACL перенаправить пользователей по портам<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#6 Thu, 28 Nov 2013 12:43:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; проксю и авторизуйся.<br>&gt; На всякий случай переведу: )) <br>&gt; [code]ПРЕДУПРЕЖДЕНИЕ: аутентификация не может быть использован в прозрачном перехвате <br>&gt; прокси, <br>&gt; так как клиент думает, что он говорит с исходным сервером, а не <br>&gt; через прокси.<br>&gt; Это ограничение кривизны TCP/IP-протокола для прозрачного перехвата порта 80, а не ограничение <br>&gt; в Squid.<br>&gt; У портов, помеченных 'transparent', 'intercept' или 'tproxy' проверка подлинности отключена.[/code] <br>&gt; Или то, или другое, но не оба вместе. )) <br><br>Да понятно....<br><br>жаль, как жаль...<br><br>ну к примеру пускай будет авторизация основным для меня, а как тогда разруливать гостей офиса которые вообще не в домене?<br>выделить для них спец диапазон на DHCP и дальше <br>acl not_autorized src "/etc/squid/db/not_autorized.txt"<br>http_access allow not_autorized<br><br># те кто ходят неавторизованными<br># _guests<br>192.168.0.200-192.168.0.254<br><br>а если точка доступа без DHCP, то DHCP сервер и не поймёт кто есть кто..<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#5 Thu, 28 Nov 2013 12:35:10 GMT &gt; в идеале хочу прозрачный прокси с авторизацией ))) <br><br>На всякий случай переведу: ))<br>[code]ПРЕДУПРЕЖДЕНИЕ: аутентификация не может быть использован в прозрачном перехвате прокси,<br>так как клиент думает, что он говорит с исходным сервером, а не через прокси.<br>Это ограничение кривизны TCP/IP-протокола для прозрачного перехвата порта 80, а не ограничение в Squid.<br>У портов, помеченных 'transparent', 'intercept' или 'tproxy' проверка подлинности отключена.[/code]<br>Или то, или другое, но не оба вместе. ))<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#4 Thu, 28 Nov 2013 12:27:12 GMT &gt;&gt; ай-яй-яй-яй как неожиданно...<br>&gt;&gt; и как быть в такой ситуации? всем насильно прокси прописывать? а есть <br>&gt;&gt; шибко умные пользователи свой браузер на флешке носят фаерфокс выключенным <br>&gt;&gt; прокси....<br>&gt; так а что вы хотите получить? прозрачный прокси или аутентификацию?<br>&gt; в сквиде 3.1 и выше transparent заменили на intercept <br>&gt; http_port 192.168.0.7:3128 intercept <br><br>intercept писал ситуация не меняется<br><br>хочется чтобы все ходили в тырнет через проксю, авторизовались на ней, и затем получали доступ к тем или иным ресурсам интернета. а сейчас получается если прокси не прописана и я насильно заворачиваю трафик, то никуда не пускает. а если трафик не заворачивать то вообще у кого прокси не прописана ходят куда хотят.<br><br>в идеале хочу прозрачный прокси с авторизацией )))<br><br>всем прописать проксю можно и средствами групповых политик, но они действуют только на эксплорер да системные настройки, но есть и другие браузеры, например мозила где можно проксю смело выключить... или тогда насильно волевым решением https://slinkov.ru/openforum/vsluhforumID12/7059.html#3 Thu, 28 Nov 2013 12:12:46 GMT &gt; ай-яй-яй-яй как неожиданно...<br>&gt; и как быть в такой ситуации? всем насильно прокси прописывать? а есть <br>&gt; шибко умные пользователи свой браузер на флешке носят фаерфокс выключенным <br>&gt; прокси....<br><br>так а что вы хотите получить? прозрачный прокси или аутентификацию?<br>в сквиде 3.1 и выше transparent заменили на intercept<br><br>http_port 192.168.0.7:3128 intercept<br> https://slinkov.ru/openforum/vsluhforumID12/7059.html#2 Thu, 28 Nov 2013 11:38:39 GMT &gt;[оверквотинг удален]<br>&gt; http://www.squid-cache.org/Doc/config/auth_param/ <br>&gt; http://break-people.ru/cmsmade/index.php?page=translate_squid_conf_file_section_authentication <br>&gt; WARNING: authentication can't be used in a transparently intercepting <br>&gt; proxy as the client then thinks it is talking to an origin <br>&gt; server and <br>&gt; not the proxy. This is a limitation of bending the TCP/IP protocol <br>&gt; to <br>&gt; transparently intercepting port 80, not a limitation in Squid.<br>&gt; Ports flagged 'transparent', 'intercept', or 'tproxy' have <br>&gt; authentication disabled.<br><br>ай-яй-яй-яй как неожиданно...<br>и как быть в такой ситуации? всем насильно прокси прописывать? а есть шибко умные пользователи свой браузер на флешке носят фаерфокс выключенным прокси....<br>