Это означает что кэш не смог распознать имя узла в url проверьте адрес на корректность
В логе пишет:
2021-11-03 23:01:35 [1292] (squidGuard): ldap_search_ext_s failed: Operations error (params: DC=buh,DC=local, 2, (&(sAMAccountName=admin)(memberOf=CN=zakupki,CN=Users,DC=buh,DC=local)), sAMAccountName)
Т.е. еррор= значит, что он не может найти юзера в этой группе?
@andrey1039
У вас домен BUH.LOCAL наз-ся? Не firma.local хотя бы?
Жесть (
@werter это для примера. Называется он по-другому, есс-но. По самому вопросу есть какие-нибудь мысли?
- Идем на контроллер домена, запускаем dsquery user -name linux1 , где linux1 - юзер для подключения к АД. Видим ответ: CN=linux1,CN=Users,DC=buh,DC=local
В ПФ идем в СквидГвард, в поле "LDAP Options" пишем cn=linux1,cn=Users,dc=buh,DC=local - т.е. ту строку, что выдал нам контроллер домена, в поле LDAP DN Password - пароль этого юзера. - Снова идем на контроллер, даем команду dsquery group -name internet_allow , где internet_allow - группа, которой разрешаем ходить в инет, нам выдает:
CN=internet_allow,OU=proxy,OU=Services,DC=nv,DC=local
В ПФ в СквидГварде идем в Group ACL, идем в редактирование(или добавление, если там нет ничего) и в поле Client (source) пишем:
ldapusersearch ldap://1.2.3.4:3268/DC=buh,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet_allow%2cOU=proxy%2cOU=Services%2cDC=buh%2cDC=local))
1.2.3.4 - это адрес контроллера домена.
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще "не принимал участия" в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
@andrey1039 Можно, на хабре вроде описывал как
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще "не принимал участия" в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
Если работает в transparent режиме, то создаёте алиас с сайтами (главное чтобы IP адреса всегда возвращались одни и те же) и добавляете его в поле "Bypass Proxy for These Destination IPs"
@flamel у меня заполнены поля в разделе "SSL Man In the Middle Filtering" - т.е. SSL-трафик тоже анализируется. Я пробовал добавлять строку acl nonauth dstdomain "/etc/squid/nonauth.txt" - ничего не изменилось, на некоторые сайты все-равно не пускает. Например, у меня в nonauth.txt есть строчка .eias.ru , но на сайт https://web.eias.ru/ не пускает, приходится добавлять его в исключения в IE и потом открывать туда доступ на шлюзе.
На "обычном" сквиде на FreeBSD такая же проблема, кстати. Там тоже приходилось доступ на такие сайты делать в обход прокси.
у меня заполнены поля в разделе "SSL Man In the Middle Filtering"
Скрины того, как настроено покажите, пож-та.
Скрин настроек прицепил.
![alt text]( image url)
SSL Intercept Interfaces - почему нет ЛАН? У вас пф с ОДНИМ интерфейсом?
@werter да, с одним. По вашей ссылке- попробую. Но у меня есть подозрение, что я что-то неправильно настроил.
Пересмотрел еще раз настройки и кое-что поменял в соответствии с инструкцией и логикой.
У СквидГвард есть вкладка Target categories. Если я там ничего не заполняю- то браузер пишет: "Невозможно определить IP-адрес по имени узла «http»"
Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт) - то пускает любого- независимо от того- есть он в группе или нет.
Вопрос: что нужно заполнять на вкладке Target categories, чтобы он пускал на ВСЕ сайты всех, кто есть в нужной группе?
День добрый.Установил Squid 3.1.0.13, а он гад не видит сайты по dns именам (по IP работает).
Если иду в инет в обход Squid то все работает т.к. с dns все в порядке.вот конфиг:
Помогите пожалуйста запустить squid.
>dns_nameservers 192.168.10.250>>dns_nameservers 192.168.10.250Уберите эту опцию а dns добавьте в resolv.conf
>
>Уберите эту опцию а dns добавьте в resolv.conf
Так пробовал делать, не помогает.
Причем ошибку по DNS имени мгновенно выдает, такое впечатление что squid и не пытается что то искать по DNS.
В ошибке пишет так:
"
Сервер DNS ответил:
Internal Error
Это означает, что кэш не смог распознать имя узла в URL. Проверьте адрес на корректность.
"
>[оверквотинг удален]
>Так пробовал делать, не помогает.
>Причем ошибку по DNS имени мгновенно выдает, такое впечатление что squid и
>не пытается что то искать по DNS.
>В ошибке пишет так:
>"
>Сервер DNS ответил:
>Internal Error
>Это означает, что кэш не смог распознать имя узла в URL. Проверьте
>адрес на корректность.
>"DNS сервер работает?
nslookup в студию.
>[оверквотинг удален]>[оверквотинг удален]
>>"
>>Сервер DNS ответил:
>>Internal Error
>>Это означает, что кэш не смог распознать имя узла в URL. Проверьте
>>адрес на корректность.
>>"
>
>DNS сервер работает?
>
>nslookup в студию.DNS работает, т.к. если в браузере не указываю прокси, то интернет по dns работает.
DNS сервер unbound, в resolv.conf указан сам сервер freebsd (host на котором висит unbound). IСQ и Skype работают без проблем.Думаю затык где то в Squid, проблема не может быть связана с тем что Squid не может записать себе в кеш ?
>>
>>nslookup в студию.
>
>DNS работает, т.к. если в браузере не указываю прокси, то интернет по
>dns работает.
>DNS сервер unbound, в resolv.conf указан сам сервер freebsd (host на котором
>висит unbound). IСQ и Skype работают без проблем.
>
>Думаю затык где то в Squid, проблема не может быть связана с
>тем что Squid не может записать себе в кеш ?
Вы всё таки проверьте nslookup прямо на сервере, где установлен squid. Браузер, IСQ и Skype совершенно не интересны.
>[оверквотинг удален]
>>DNS работает, т.к. если в браузере не указываю прокси, то интернет по
>>dns работает.
>>DNS сервер unbound, в resolv.conf указан сам сервер freebsd (host на котором
>>висит unbound). IСQ и Skype работают без проблем.
>>
>>Думаю затык где то в Squid, проблема не может быть связана с
>>тем что Squid не может записать себе в кеш ?
>
>Вы всё таки проверьте nslookup прямо на сервере, где установлен squid.
>Браузер, IСQ и Skype совершенно не интересны.Фаервол Pass all
nslookup на сервере отрабатывает без вопросов.
Ума не приложу в чем может быть проблема .
>[оверквотинг удален]
>>>
>>>Думаю затык где то в Squid, проблема не может быть связана с
>>>тем что Squid не может записать себе в кеш ?
>>
>>Вы всё таки проверьте nslookup прямо на сервере, где установлен squid.
>>Браузер, IСQ и Skype совершенно не интересны.
>
>Фаервол Pass all
>nslookup на сервере отрабатывает без вопросов.
>Ума не приложу в чем может быть проблема .Решил данный вопрос переустановкой squid.
Видимо при первой устанвке были выбраны не нужные (для меня опции) и мной не до конца настроен конфиг.
После переустановки с минимальными опциями все заработало.
Спасибо за помощь.
>Решил данный вопрос переустановкой squid.
>Видимо при первой устанвке были выбраны не нужные (для меня опции) и
>мной не до конца настроен конфиг.
>После переустановки с минимальными опциями все заработало.
>Спасибо за помощь.такая же проблема была :)
убил в make config SQUID_DNS_HELPER Use the old 'dnsserver' helper и всё заработало :)
>>Решил данный вопрос переустановкой squid.
>>Видимо при первой устанвке были выбраны не нужные (для меня опции) и
>>мной не до конца настроен конфиг.
>>После переустановки с минимальными опциями все заработало.
>>Спасибо за помощь.
> такая же проблема была :)
> убил в make config SQUID_DNS_HELPER Use the
> old 'dnsserver' helper и всё заработало :)Парни, спасибо!
С Squid Cache version 3.1.19 эта опция не работает.
>>>Решил данный вопрос переустановкой squid.
>>>Видимо при первой устанвке были выбраны не нужные (для меня опции) и
>>>мной не до конца настроен конфиг.
>>>После переустановки с минимальными опциями все заработало.
>>>Спасибо за помощь.
>> такая же проблема была :)
>> убил в make config SQUID_DNS_HELPER Use the
>> old 'dnsserver' helper и всё заработало :)
> Парни, спасибо!
> С Squid Cache version 3.1.19 эта опция не работает.Та же проблема, немного не понял, как ее решить. По подробней можно пожалуйста.
Собрал шлюз для интернета. 2 сетевые карты.
Стоит squid, до сборки нового ядра все работало.
Собрал ядро с IPFW. Существует единственное правило:65535 179929 119949152 allow ip from any to any
Пинг на вторую сетевуху (которая смотрит наружу) проходит, а дальше глухо.
Разве с таким правилом не должно все работать? Подскажите что делать.
> Собрал шлюз для интернета. 2 сетевые карты.
> Стоит squid, до сборки нового ядра все работало.
> Собрал ядро с IPFW. Существует единственное правило:
> 65535 179929 119949152 allow ip from any to any
> Пинг на вторую сетевуху (которая смотрит наружу) проходит, а дальше глухо.
> Разве с таким правилом не должно все работать? Подскажите что делать.squid пингами не проверите, логи смотрите.
а для пингов из локалки нужно разрешить маршрутизацию и сделать nat, если локалка с серыми ip
>> Собрал шлюз для интернета. 2 сетевые карты.
>> Стоит squid, до сборки нового ядра все работало.
>> Собрал ядро с IPFW. Существует единственное правило:
>> 65535 179929 119949152 allow ip from any to any
>> Пинг на вторую сетевуху (которая смотрит наружу) проходит, а дальше глухо.
>> Разве с таким правилом не должно все работать? Подскажите что делать.
> squid пингами не проверите, логи смотрите.
> а для пингов из локалки нужно разрешить маршрутизацию и сделать nat, если
> локалка с серыми ipВ логах squid'а:
TCP_MISS и TCP_DENIED
В броузере:
При получении URL http://www.yandex.ru/? произошла следующая ошибка
Невозможно определить IP-адрес по имени узла "www.yandex.ru"
Сервер DNS ответил:
Refused: The name server refuses to perform the specified operation.Это означает, что кэш не смог распознать имя узла в URL. Проверьте адрес на корректность.
Администратор Вашего кэша: webmaster.
>[оверквотинг удален]
> В логах squid'а:
> TCP_MISS и TCP_DENIED
> В броузере:
> При получении URL http://www.yandex.ru/? произошла следующая ошибка
> Невозможно определить IP-адрес по имени узла "www.yandex.ru"
> Сервер DNS ответил:
> Refused: The name server refuses to perform the specified operation.
> Это означает, что кэш не смог распознать имя узла в URL. Проверьте
> адрес на корректность.
> Администратор Вашего кэша: webmaster.Какие настройки ДНС? На сервере, клиенте?
IPFW точить надо под себя, а если еще и сеть серая, то как вам указали выше, дополнительно придется настроить и NAT
Еще traceroute (tracert) и tcpdump вам в помощь.
А еще лучше, обратитесь к "Администратору Вашего кэша", то бишь webmaster'у )), на то он и мастер.
Он то уж точно все знает, он все вам в аккурат-то и настроит..
дарагие друзя! может хватит упражнятся в телепатии?
топегстартеру: в инете МОООРЕ хауту по построению шлюза на бзде: со сквидом и без, с ipfw и pf и тд. также не следует забывать что существует хендбук в котором много что есть.
надо всего лишь немного помучать гугла и не плодить глупые темы.
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще "не принимал участия" в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
Если работает в transparent режиме, то создаёте алиас с сайтами (главное чтобы IP адреса всегда возвращались одни и те же) и добавляете его в поле "Bypass Proxy for These Destination IPs"
@flamel у меня заполнены поля в разделе "SSL Man In the Middle Filtering" - т.е. SSL-трафик тоже анализируется. Я пробовал добавлять строку acl nonauth dstdomain "/etc/squid/nonauth.txt" - ничего не изменилось, на некоторые сайты все-равно не пускает. Например, у меня в nonauth.txt есть строчка .eias.ru , но на сайт https://web.eias.ru/ не пускает, приходится добавлять его в исключения в IE и потом открывать туда доступ на шлюзе.
На "обычном" сквиде на FreeBSD такая же проблема, кстати. Там тоже приходилось доступ на такие сайты делать в обход прокси.
у меня заполнены поля в разделе "SSL Man In the Middle Filtering"
Скрины того, как настроено покажите, пож-та.
Скрин настроек прицепил.
![alt text]( image url)
SSL Intercept Interfaces - почему нет ЛАН? У вас пф с ОДНИМ интерфейсом?
@werter да, с одним. По вашей ссылке- попробую. Но у меня есть подозрение, что я что-то неправильно настроил.
Пересмотрел еще раз настройки и кое-что поменял в соответствии с инструкцией и логикой.
У СквидГвард есть вкладка Target categories. Если я там ничего не заполняю- то браузер пишет: "Невозможно определить IP-адрес по имени узла «http»"
Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт) - то пускает любого- независимо от того- есть он в группе или нет.
Вопрос: что нужно заполнять на вкладке Target categories, чтобы он пускал на ВСЕ сайты всех, кто есть в нужной группе?
Есть же возможность добавить адреса в настройках сквида для исключения?
@flamel
Я сейчас даже думаю как Ван у него снять, не нравится мне что он на двух адресах сидит
А на LAN (+ loopback) перевесить не получается?
@werter адреса динамические, ладно это не суть. подскажите как убрать ругательства о не безопасном соединении браузера когда заходишь на веб морду pfsense. или когда пользователь пытается зайти на сайт куда ему нельзя: вначале он видит предупреждение о безопасности, жмет кнопку "все равно перейти" и только после этого видит int error page. @flamel и через регулярки понятно куда вставлять, а вот это куда ?
acl youtube rep_mime_type -i ^audio/mp4$
acl youtube rep_mime_type -i ^video/mp4$
о не безопасном соединении браузера когда заходишь на веб морду pfsense
Странный вопрос для итишника (
Решить можно заменив самоподписанный сертификат на реальный. Если это возможно, конечно, в ваших реалиях.
или когда пользователь пытается зайти на сайт куда ему нельзя
Уже отвечал как это сделать БЕЗ подсовывания "левого" сертификата.
@werter это первый форум, где я который день не могу понять как по человечески цитировать. ладн
Поставить перед цитируемым знак ">"
@werter
Зы. И ротацию логов вкл. Иначе сквид место вам забьет.
Добрый.
@flamel
Может просто в Dst в исключениях сквида добавить?
@werter
Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными и вот результат.
С учетом того что у меня прописана керберос авторизация попытка включить прозрачный вариант и в нем bypass поставить не увенчалась успехом.
Добавил в whitelist самого сквида - тоже ноль, есть здесь строка
Я так понял что те кто здесь - не фильтруются вообще, whatsapp скрыл свои CIDR после того как фейсбук крепко им занялся, а у NormaCS запросил. Попробую что будет. = Ничего, попробовал, бездарно вышло)
Или вы имели ввиду создавать acl перед авторизацией в поле custom options?
Ошибка имеет такой вид при попытке работы некоторых программ, они ломятся под учетками локальными то компов, то своими собственными
Если все остальное работает хорошо, то получается, что нек-ый софт у Вас кривой?
Попробуйте откл кеш на сквиде вообще - поставьте 0 (нуль) в размере кеша. После очистить кеш браузера на клиенте и проверить.
Или вы имели ввиду создавать acl перед авторизацией в поле custom options?
надо бы запилить реализацию
@werter надо бы запилить чтоб из WebGUI всё конфигурилось, без ручной правки /etc/krb5.conf и Custom Options
p.s. спасибо за ссылку
@viktor_g
Это @flamel спасибо за его пост на хабре )
Далее переходим в раздел Groups ACL и в поле Client (source) формируем лдап запрос по которому будет производится поиск принадлежности пользователя к группе, как пример
- как я понимаю, поиск идет по полю CN учетки пользователя, а это не Имя входа пользователя, а Отображаемое имя. Т.е. есть юзер с логином ivanov, а Отображаемое имя у него- Иванов Иван Иванович, поэтому хелпер никогда не найдет его ни в какой группе.
@andrey1039
Можно же любые доступные лдап-атрибуты пользовать для этого дела. Я предпочитаю userPrincipalName.
Настройка:
ldapusersearch ldap://192.168.1.2:3268/DC=buh,DC=local?userPrincipalName?sub?(&(sAMAccountName=%s)(memberOf=CN=zakupki%2cCN=Users%2cDC=buh%2cDC=local))
В логе пишет:
2021-11-03 23:01:35 [1292] (squidGuard): ldap_search_ext_s failed: Operations error (params: DC=buh,DC=local, 2, (&(sAMAccountName=admin)(memberOf=CN=zakupki,CN=Users,DC=buh,DC=local)), sAMAccountName)
Т.е. еррор= значит, что он не может найти юзера в этой группе?
@andrey1039
У вас домен BUH.LOCAL наз-ся? Не firma.local хотя бы?
Жесть (
@werter это для примера. Называется он по-другому, есс-но. По самому вопросу есть какие-нибудь мысли?
- Идем на контроллер домена, запускаем dsquery user -name linux1 , где linux1 - юзер для подключения к АД. Видим ответ: CN=linux1,CN=Users,DC=buh,DC=local
В ПФ идем в СквидГвард, в поле "LDAP Options" пишем cn=linux1,cn=Users,dc=buh,DC=local - т.е. ту строку, что выдал нам контроллер домена, в поле LDAP DN Password - пароль этого юзера. - Снова идем на контроллер, даем команду dsquery group -name internet_allow , где internet_allow - группа, которой разрешаем ходить в инет, нам выдает:
CN=internet_allow,OU=proxy,OU=Services,DC=nv,DC=local
В ПФ в СквидГварде идем в Group ACL, идем в редактирование(или добавление, если там нет ничего) и в поле Client (source) пишем:
ldapusersearch ldap://1.2.3.4:3268/DC=buh,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet_allow%2cOU=proxy%2cOU=Services%2cDC=buh%2cDC=local))
1.2.3.4 - это адрес контроллера домена.
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще "не принимал участия" в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
@andrey1039 Можно, на хабре вроде описывал как
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще "не принимал участия" в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
Если работает в transparent режиме, то создаёте алиас с сайтами (главное чтобы IP адреса всегда возвращались одни и те же) и добавляете его в поле "Bypass Proxy for These Destination IPs"
@flamel у меня заполнены поля в разделе "SSL Man In the Middle Filtering" - т.е. SSL-трафик тоже анализируется. Я пробовал добавлять строку acl nonauth dstdomain "/etc/squid/nonauth.txt" - ничего не изменилось, на некоторые сайты все-равно не пускает. Например, у меня в nonauth.txt есть строчка .eias.ru , но на сайт https://web.eias.ru/ не пускает, приходится добавлять его в исключения в IE и потом открывать туда доступ на шлюзе.
На "обычном" сквиде на FreeBSD такая же проблема, кстати. Там тоже приходилось доступ на такие сайты делать в обход прокси.
у меня заполнены поля в разделе "SSL Man In the Middle Filtering"
Скрины того, как настроено покажите, пож-та.
Скрин настроек прицепил.
![alt text]( image url)
SSL Intercept Interfaces - почему нет ЛАН? У вас пф с ОДНИМ интерфейсом?
@werter да, с одним. По вашей ссылке- попробую. Но у меня есть подозрение, что я что-то неправильно настроил.
Пересмотрел еще раз настройки и кое-что поменял в соответствии с инструкцией и логикой.
У СквидГвард есть вкладка Target categories. Если я там ничего не заполняю- то браузер пишет: "Невозможно определить IP-адрес по имени узла «http»"
Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт) - то пускает любого- независимо от того- есть он в группе или нет.
Вопрос: что нужно заполнять на вкладке Target categories, чтобы он пускал на ВСЕ сайты всех, кто есть в нужной группе?
Читайте также: