The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
squid, connect, ng_groups, !*! skeletor, 09-Апр-15, 15:47  [смотреть все]
Всем привет.
На freebsd10.1 стоит непрозрачный squid 3.3.13 с авторизаций ntlm через винбинд(smb4). Не могу разрешить метод connect для группы (nt_groups) - блочит.

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 500
auth_param ntlm keep_alive on
external_acl_type nt_group ttl=600 %LOGIN /usr/local/squid33/libexec/squid/ext_wbinfo_group_acl
...
acl     inet_users      external nt_group inet_users
acl     ncsa_users              proxy_auth      REQUIRED
acl     CONNECT                 method          CONNECT
acl     SSL_ports               port            443 8443
...

А теперь внимание: вот такое правило работает как надо:

http_access     allow   CONNECT    SSL_ports    !chat_url !porn

А как его применить для группы inet_users?
Пробовал очень много различных вариантов,

http_access     allow   inet_users CONNECT    SSL_ports    !chat_url !porn
http_access     allow   CONNECT    SSL_ports  inet_users  !chat_url !porn
...

комбинируя строку и добавляя в разные места inet_users, но в итоге получаем TCP_DENIED.
В сети видел немало примеров, но ни один не подходит. Может у кого-то есть рабочая строка для моего случая?
Ответить | Сообщить модератору
  • squid, connect, ng_groups, !*! ipmanyak, 07:48 , 10-Апр-15 (1)
    Если это правило:
    http_access     allow   CONNECT    SSL_ports    !chat_url !porn
    работает как надо, то что вам еще нужно? Поставьте его в нужное место. Думаю вы в курсе, что порядок правил имеет значение.
    Если что-то не работает, включаем debug в конфиге сквида на уровень побольше, чем 1, и смотрим  cache_log
    Ответить | Сообщить модератору
    • squid, connect, ng_groups, !*! skeletor, 09:12 , 10-Апр-15 (2)
      > Если это правило:
      > http_access     allow   CONNECT    
      > SSL_ports    !chat_url !porn
      > работает как надо, то что вам еще нужно? Поставьте его в нужное
      > место. Думаю вы в курсе, что порядок правил имеет значение.
      > Если что-то не работает, включаем debug в конфиге сквида на уровень побольше,
      > чем 1, и смотрим  cache_log

      Проблема в том, это это нужно делать только для одной группы. Про порядок правил я в курсе.

      Ответить | Сообщить модератору
  • squid, connect, ng_groups, !*! fail, 18:35 , 10-Апр-15 (3)
    >> ... !chat_url !porn

    Кхм, стало любопытно, это внутренний "серый ресурс" (вроде 127/8, 10/8, 192.168/16, etc)
    :)
    или за этим скрывается, что-то более высокоматериальное - типа !games, !loolze

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру