squid-2.7
cat squid.conf
# created by SAMS _sams_ 2008-10-6 9:41:39
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl SSL_ports port 443 5190 563
acl Safe_ports port 80 443 5190 1025-65535
acl icq_addr dst 64.12.0.0/16 205.188.0.0/16
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow icq_addr
# TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_48e1a80664c4c proxy_auth "/usr/local/etc/squid/48e1a80664c4c.sams"
acl _sams_48e31d1a10bd6 proxy_auth "/usr/local/etc/squid/48e31d1a10bd6.sams"
acl _sams_48e57414b746d proxy_auth "/usr/local/etc/squid/48e57414b746d.sams"
acl _sams_48e2b676e49d6 urlpath_regex -i "/usr/local/etc/squid/48e2b676e49d6.sams"
acl _sams_48e2b67fa2ad3 urlpath_regex -i "/usr/local/etc/squid/48e2b67fa2ad3.sams"
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl Safe_ports port 80 # http
#acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 # https
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
# TAG: http_access
http_access allow _sams_default !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e1a80664c4c
http_access allow _sams_48e31d1a10bd6 !_sams_48e2b676e49d6 !_sams_48e2b67fa2ad3
http_access allow _sams_48e57414b746d !_sams_48e2b676e49d6
авторизация ntlm используется для Sams, редиректор встроенный в SAMS, все работает на ура, не пропускает на ICQ.
в accesss.log
1222907541.618 0 172.28.113.60 TCP_DENIED/407 1929 CONNECT login.icq.com:443 - NONE/- text/html
1222907541.625 6 172.28.113.60 TCP_MISS/000 0 CONNECT login.icq.com:443 DOMAIN+USER NONE/-
вычетал на этом форуме
Quote:
DogEater, 07.08.2008 — 03:31
ваша ссылка - всего лишь текст
если аська работает то там всегда присуствуют следующие записи:
login.icq.com:443
какой-нить ip адрес АОЛ:5190
какой-нить ip адрес АОЛ:5140
создайте список в разделе "Доступ разрешен" и назовите его icq
создайте там 3 строчки:
:443
:5190
:5140
(добавьте порты 2041 и 2042 для работы mail.ru agent если нужно).
не помогает
кто сталкивался помогите победить
Запустите аську и смотрите, куда она лезет.
В статистике самса есть ссылки ,которыми аська пытается работать. Скопируйте эту ссылку в браузер и посмотрите, что вам отвечает сквид. Или самс редир. Тогда вы поймёте на каком этапе у вас срабатывает запрет.
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)
есть рабочий конфиг для SAMS + ICQ?
добавил в разрешенные порты.
Клиент QIP (пробывал родной)
В статистике самса все ок после того как она десятки раз пытается подключится, все таки подключается, ридеректор самс пропускает на порты на сам хост login.icq.com
Маленький ликбез: простейший кластер организуется путём присваивания одному днс имени нескольких ip адресов. После чего днс выдаёт эти адреса в случайном порядке.
Именно так работает аська. Но, после логина, ей выдаётся для работы один из адресов диапазона АОЛ, совершенно случайным образом и никак не связанный с login.icq.com
поэтому для нормальной работы нужна именно привязка по порту.
давайте для начала проверим самс:
#echo "https://любой_ип_адрес:443 ип_с_которого_лезет_аська/- имя_юзера get" | `which samsredir`мне выдеёт строку:
"https://любой_ип_адрес:443 ип_с_которого_лезет_аська/- имя_юзера get"- значит с доступом аськи через самс у меня всё в порядке.А у тебя что выдаёт?
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)
PING login.messaging.aol.com (64.12.161.185): 56 data bytes
64 bytes from 64.12.161.185: icmp_seq=0 ttl=47 time=471.450 ms
echo "https://64.12.161.185 myIP/-Domain+user" | `which samsredir`
Segmentation fault: 11
отключал редиректор полностью, не подключается.
Интересно если оставить qip дальше конектится то через 10-20 попыток icq подключается.
>>echo "https://64.12.161.185 myIP/-Domain+user" | `which samsredir`
не указан порт и метод.
попробуй так:
echo "https://64.12.161.185:443 myIP/-Domain+user CONNECT" | `which samsredir` -d
вывод скинь сюда
и ещё сделай так :
grep -ri "login.icq.com" /var/log/squid/access.log >icq.log; gzip icq.log
и тоже выложи сюда icq.log.gz
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)
ping login.icq.com
PING login.messaging.aol.com (205.188.179.233): 56 data bytes
echo "https://205.188.179.233:443 MyIP/- Domain+user get" | `which samsredir`
получаю
https://205.188.179.233:443 MyIP/- Domain+user getВывод
echo "https://64.12.161.185:443 myIP/-Domain+user CONNECT" | `which samsredir` -dфайл samsredir.log_.gz
grep -ri "login.icq.com" /var/log/squid/access.log >icq.log; gzip icq.log
файл icq.log_.gz - после 5 минут коннектов аська все таки подключается
мой squid.log файл squid.conf_.gz
Ты знаешь, я обнаружил у себя свой старый хак - я когда то добавлял порты 5140 и 5190 в acl SSL_ports
и http_access allow icq_addr я бы перенёс выше всех deny
кроме того, обрати внимание, часть твоих асек всё равно лезет на порты 5140 и 5190, так что правило http_access deny CONNECT !SSL_ports
для них может оказаться фатальным(почему? почитай про разницу между GET и CONNECT)
самс судя по логам, совсем ни при чём, он как получил запрос так и выдаёт его сквиду без изменений
ещё я встречался с такой фигнёй - не всегда с 1 раза срабатывает ntlm авторизация. Только со второго. Что за хрень я так и не разобрался.
Но что меня насторожило в твоих логах - часть запросов идёт не авторизованная. Разберись что у тебя с авторизацией. Надёжно ли она срабатывает?
у меня пока авторизация по ip - ни одного DENY для аськи в логах.
И напоследок совет - учи регулярные выражения. То что я у тебя видел можно записать НАМНОГО короче. ;)
Купи обязательно книгу Фриддла.
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)
У меня запрет на CONNECT для всех юзеров, кроме определённых, прописан так:
=========================
acl CONNECT method CONNECT
acl admins proxy_auth /etc/squid/connect_user
http_access deny CONNECT !admins
=========================
и эта конфигурация меня и начальство вполне устраивает :)
--
apache 2.2.8
mysql 5.0.45
php 5.2.4
squid 2.6 STABLE18-20080229
samba 3.02800120
sams 1.0.3
pipe samsredir+rejik
ncsa
спасибо разобрался в самбе поменял на
winbind use default domain = yes
(теперь домен не передается)
в настройках клиента логин / пароль в домене, галку NTLM авторизация снял и все ок.
нет, я думаю надо дожимать вариант с 2 доменами.
для начала перечитать пошагам руководство по настройке самс и ntlm3 и сравнить с тем что у тебя.
потом дать Winbindу опцию -d 5 и смотреть как приходят имена к нему. нет или каких косяков.
какие клиенты AOL у тебя используются?
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)
в данной теме это должно устраивать и аську путём добавления соответствующего Acl. :)))
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.3
samsredir
ip+ncsa (на это не надолго)