Всё не так просто... » squid http://www.lab108.ru Мэрфолог-практик Sat, 10 Sep 2016 19:25:18 +0000 ru-RU hourly 1 http://wordpress.org/?v=3.9.14 NTLM авторизация Windows 7 и Windows 2008 /2010/02/25/ntlm-avtorizaciya-windows-7-i-windows-2008/ /2010/02/25/ntlm-avtorizaciya-windows-7-i-windows-2008/#comments Thu, 25 Feb 2010 12:45:10 +0000 /?p=3555 Сегодня внезапно выяснилось, что конторский прокси сервер (Squid + Winbind) наотрез отказывается авторизовывать пользователя заходящего через Internet Explorer 8 с компьютера под управлением Windows 2008.



Дальше идут скучные технические подробности

В общем, в новых Виндах, и в семёрке и в 2008 что то накручено с NTLM. В Vista может быть тоже, но я пока не проверял. Решается следующим образом:

На виндовой машине лезем в реестр, Ищем там HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa, создаём там новый параметр под названием LmCompatibilityLevel типа DWORD и присваиваем ему значение “1″. После чего перегружаемся.

Более подробно про значения этого параметра, отвечающего за тип NTLM авторизации можно почитать в статье на Технете Microsoft.

]]>
/2010/02/25/ntlm-avtorizaciya-windows-7-i-windows-2008/feed/ 7
Squid локализация /2009/03/16/squid-lokalizaciya/ /2009/03/16/squid-lokalizaciya/#comments Mon, 16 Mar 2009 13:15:45 +0000 /?p=1598 Видимо, имеется в виду локализация сообщений об ошибках, которые Squid выдаёт на английском языке. На каком надо? На руском? Не ничего проще.

Идём в файл конфигурации /etc/squid.conf и ищем там тэг error_directory

По умолчанию он закомментирован и имеет значение “/usr/share/squid/errors/English” именно это значение и используется. Но нам то нужен другой язык. Идём обратно в командную строку

$ ls /usr/share/squid/errors

Список появился? Нужный язык есть? Прописываем его в error_directory и получаем например

error_directory /usr/share/squid/errors/Russian-1251

После чего командуем сквиду прочитать конфиг по новой

$ sudo /etc/init.d/squid reload

Всё. Теперь наш Squid ругается на русском языке в виндовой кодировке. Если вместо -1251 написать -koi8-r, то кодировка будет самая что ни наесть правильная :)

]]>
/2009/03/16/squid-lokalizaciya/feed/ 0
Squid блокировка url /2009/02/17/squid-blokirovka-url/ /2009/02/17/squid-blokirovka-url/#comments Tue, 17 Feb 2009 08:16:53 +0000 /?p=1495 Ну это совем просто. Но способов больше одного.

Способ первый, простой.

Есть URL и к нему надо блокировать доступ.

Заводим acl для этого URL

acl badurl dst www.site.foo

и прописываем для него правило

http_access badurl deny

при попытке обратиться к этому URL пользователь получит сообщение, что доступа туда нет.

Способ второй, простой, но модифицированный.

Неожиданно выясняеться, что сайт откликается не только на www.чего-то-там, но и на кучу дополнительный имён 3-го уровня, например те же одноклассники.ru доступны по именам wg##.odnoklassniki.ru и их тоже не грех бы заблокировать. Создаём модифицированный acl

acl badurl url_regex ^http://.*\.odnoklassniki\.ru

то есть применяем регулярное выражение, под которое попадают все URL заканчивающиеся на odnoklassniki.ru

Способ третий, многоURLный

Для каждого URL, к которому надо блокировать доступ можно создать отдельное правило. Но когда их станет много, то можно их переписать в отдельный файл и отдавать их в squid списком.

acl badurl dst “/etc/squid/badurls”

в файле переписываем све URL, к которым мы блокируем доступ.

vi /etc/squid/badurls

www.odnoklassniri.ru
www.porno.com
www.vkontakte.ru

EOF

точно так же для ргулярных выражений

acl badurl url_regex “/etc/squid/badurls”

vi /etc/squid/badurls

^http://.*\.odnoklassniri\.ru
porno
^http://.*\vkontakte\.ru

EOF

Способ четвёртый, самый весёлый

Не прописываем ни каких acl, а ставим программу редиректа, то есть перенаправления с одного URL на другой. Тут можно использовать squidguard или squid_redirect, прицепить к ним готовые банлисты и какое то время радоваться жизни.

]]>
/2009/02/17/squid-blokirovka-url/feed/ 1
Squid пулы задержки /2009/02/17/squid-puly-zaderzhki/ /2009/02/17/squid-puly-zaderzhki/#comments Tue, 17 Feb 2009 07:33:55 +0000 /?p=1493 Во! Вот такие запросы мне нравятся.

Для чего это надо? Рано или поздно начинаешь понимать, что отдавать на растерзание пользователям весь канал в интернет становится нецелесообразным. Кроме просмотра разных сайтов и скачивания всякой гадости хотелось бы оставить часть канала для чего то более полезного. Для этого в squid есть пулы задержки.

Работают они очень просто – если пользователь попадает в один из пулов задержки, то для него скорость скачивания контента ограничивается в соотвествиии с настройками пула.

Вот что пишут знающие люди в squid howto на NC LUG

#Ограничение трафика
delay_pools 3 #Выделяем 3 пула задержки

delay_class 1 2 #Пул класса 2
delay_class 2 3 #Пул класса 3
delay_class 3 2 #Пул класса 2

Классы пулов задержки:
Класс 1 – одна часть пула на всех из этого класса
Класс 2 – одна общая часть пула и 255 отдельных для каждого хоста из C-сетки
Класс 3 – 255 частей для каждой сетки (класс B) и отдельная для каждого хоста

Формат строки параметрой пула:
delay_parameters [номер пула] [all_downl/all_size] [net_downl/net_size] [one_downl/one_size]
all – на всех
net – на подсеть
one – на отдельный адрес
downl – скорость заполнения части (байт/сек)
size – объем части пула (байт)

Для пула класса 1 используется только all
Для пула класса 2 используется all и net
Для пула класса 3 используется all, net и one

delay_access 1 allow server #Разрешаем серверу ходить через 1-й пул
delay_access 1 deny all #Остальным запрещаем
delay_parameters 1 -1/-1 -1/-1 #Параметры 1-го пула – без ограничений

delay_access 2 allow zal #Разрешаем комп. классу ходить через 2-й пул
delay_access 2 deny all #Остальным запрещаем
delay_parameters 2 8000/8000 8000/8000 4000/4000 #Параметры 2-го пула: канал на все и сеть – 8 кбсек(64 кбитсек) и на каждую машину не более 4 кбсек

delay_access 2 allow bibl #Разрешаем библиотеке ходить через 3-й пул
delay_access 3 deny all #Остальным запрещаем
delay_parameters 3 6000/6000 -1/-1 #Параметры 3-го пула: канал на все – 6 кбсек(56 кбитсек), а как они его поделят – не наши проблемы ;)

Примерно то же самое написано в комментариях к тэгам в squid.conf и в 19-м разделе FAQ по squid в /usr/share/doc/squid. Но там на английском языке.

Пара слов вот об этом: size – объем части пула (байт).

Если я правильно понял, то этот параметр указывает на то, с какого объёма скачанного файла включать ограничения по скорости. Для чего это надо. При обычном сёрфе по сети пользователь качает странички и небольшие картинки, а особо наглые просматривают картинки в высоких разрешениях, ролики с видеохостингов и качают музыку или киношки. Оно надо? Нет. Пулы срабатывают на вот таких наглецов. не надо грузить сеть паразитным трафиком.

И ещё, для delay_access надо прописать ACL со списками кого куда кидаем

Типа,

acl all src 10.1.0.0/16
acl bibl src “/etc/squid/bibl”

ну и так далее…

примерно так.

]]>
/2009/02/17/squid-puly-zaderzhki/feed/ 0
Блокировка одноклассников squid /2009/01/11/blokirovka-odnoklassnikov-squid/ /2009/01/11/blokirovka-odnoklassnikov-squid/#comments Sun, 11 Jan 2009 13:58:56 +0000 /?p=1262 Спасибо неизвестному посетителю откуда то из Орла за хороший запрос. Тем более, что я на эту тему давно собирался и обещал написать.

Маленький рассказ о том как не пустить на одноклассников. То есть заблокировать туда доступ. Строго говоря, речь пойдёт не о том как заблокировать, а о том, что блокировать. Если вы администрируете какой либо сервер коллективного доступа в интернет, то как блокировать знаете и без меня. Тем более, что одним сквидом список прокси серверов не ограничивается, а как блокировать в карио, вингейте или ISA, или как его сейчас зовут, меня лучше не спрашивать – я с ними ни разу не работал.

Поехали. В силу сложившихся обстоятельств я использую Squid. А доступ ограничиваю через самописную программу редиректа (о ней я расскажу как ни будь позже). Дело в том, что в списке ресурсов нежелательных для посещения из корпоративной сети числится более двух милионов записей и рулить ими через ACL несколько неудобно. По этому всё это счастье загнано в MySQL базу. Туда же складываются логи для последующего анализа.

Итак, мы, в соответствии с требованиями начальства, торжественно запретили доступ к доменам .*\.odnoklassniki\.ru и .*\.odnokalsniki\.ru, как выяснилось, что кто то из пользователей сидит на этих одноклассниках на глазах у изумлённой администрации. И попадает туда нажав 4 – 5 кнопок…

Есть такой гейт, пускающий на одноклассников и на вконтакте. зовут его xy4.ru. Блокируем!

Опять сидят. Оказывается есть куча зеркал. Вот список выявленных на текущий момент доменов:

vip-cl.ru
odlist.ru
news-p.ru
sr-line.ru
pr-serv.ru
l-corp.ru
newsarc.ru
sendom.ru
u-trand.ru
export-i.ru
dhlstart.ru
cl-open.ru
rbsim.ru

Особо шустрых пользователей предупреждаю сразу: толку от того, что в запйдёте на какой либо из этих сайтов ни какой. Для доступа нужен ещё путь по самому сайту. А что вам надо сделать, чтоб его узнать я ещё подумаю. Для блокировки же доступа хватит и этого.

Список обновляемый и бкдет выложен отдельной статьёй, а в записях я буду делать пометки, что он опять обновился.

И ещё одно. Но оно относится ко всему6 что надо блокировать – открытые прокси и анонимайзеры. Список можно взять на сайте squidguard, а как прикрутить к своему фильтру, я думаю самим виднее. Я парсил текстовые файлы и закидывал в SQL базу.

]]>
/2009/01/11/blokirovka-odnoklassnikov-squid/feed/ 7
Надо запомнить /2008/11/18/nado-zapomnit/ /2008/11/18/nado-zapomnit/#comments Tue, 18 Nov 2008 14:13:46 +0000 /?p=1104 для того. чтобы ntlm авторизация сквида не дралась с винбиндом надо в скрипте /etc/init.d/winbind сделать так:

case “$1″ in
start)
log_daemon_msg “Starting the Winbind daemon” “winbind”
mkdir -p /var/run/samba/winbindd_privileged || return 1
chgrp proxy /var/run/samba/winbindd_privileged/ || return 1

]]>
/2008/11/18/nado-zapomnit/feed/ 0
интересный эффект /2008/08/07/interesnyjj-ehffekt/ /2008/08/07/interesnyjj-ehffekt/#comments Thu, 07 Aug 2008 03:10:00 +0000 /2008/08/07/interesnyjj-ehffekt/ стоило зарезать канал главным “качкам” конторы (5% от общего числа пользователей), как дневной  веб-трафик упал в полтора раза.
ну и чуть чуть расширить список забаненых сайтов…

]]>
/2008/08/07/interesnyjj-ehffekt/feed/ 0
аттракцион для пользователей /2008/08/05/attrakcion-dlya-polzovatelejj/ /2008/08/05/attrakcion-dlya-polzovatelejj/#comments Tue, 05 Aug 2008 07:35:00 +0000 /2008/08/05/attrakcion-dlya-polzovatelejj/ что-то я добрый сегодня.
в результате борьбы с паразитным веб-трафиком измыслил аттракцион для пользователей под рабочим названием “вспомни диалап

суть такая:

1) настраиваем пулы задержки в сквиде на полный канал, 1/2 канала … 1/16 или даже 1/32 канала.
2) для каждого пула создаём группу
3) всех пользователей закидываем в группу с полной скоростью
4) создаём список неприкасаемых типа начальства и тех, кому действительно надо.
5) собираем статистику работы в сети и определяем ежедневного чемпиона по закачкам
6) чемпион переносится в группу с зарезанным в двое каналом
7) если чемпион оказался в группе с самым узким каналом – это повод задуматься о создании ещё одного пула
8) начиная с п.5 повторяем ежедневно. можно при помощи скриптов.

]]>
/2008/08/05/attrakcion-dlya-polzovatelejj/feed/ 0