У многих, кто управляет прокси-сервером Squid на предприятии, есть потребность периодически демонстрировать статистику пользования интернетом сотрудниками руководству. Для представления статистики дополнительно к Squid устанавливается анализатор журналов типа SARG, Lightsquid и т.д. При этом зачастую в организации развёрнута служба каталогов (предполагается, это Active Directory), в которой у всех сотрудников есть учётные записи и авторизация в прокси-сервере идёт на основе учётных записей. Естественно, для руководства, когда оно смотрит отчёт, удобней идентифицировать сотрудника по имени и фамилии. На удивление, во многих форумах и IT-порталах эту задачу предлагают решать вручную, забивая имена и фамилии в конфигурационные файлы анализатора журналов. У этого решения есть недостаток — при зачислении/увольнении какого либо сотрудника конфиги придётся редактировать.
Эта статья описывает метод автоматического извлечения данных о фамилии и имени сотрудников из ActiveDirectory и их вставку в отчёты Lightsquid.Читать полностью »
Метка «squid»
Автоматический импорт ФИО пользователей из Active Directory в Lightsquid
2014-06-24 в 5:36, admin, рубрики: lightsquid, squid, системное администрирование, метки: lightsquid, squidОрганизация контентной фильтрации в образовательных учреждениях
2013-11-21 в 8:06, admin, рубрики: linux, proxy, squid, образование, метки: proxy, squid, образованиеВряд ли сейчас найдется системный администратор, работающий в сфере образования, который не знает что такое ФЗ-436 «О защите детей от информации, причиняющей вред их здоровью и развитию» со всеми вытекающими последствиями. Наиболее острой для меня эта проблема стала после получения распоряжения от руководителя подготовиться к приходу прокуратуры. Из известных на тот момент мне решений:
- Squid + DG + каким то образом настраивать обновление списков, которые должны коррелировать со списком запрещенных ресурсов Минюстом
- Решения для рабочих станций (NetPolice, iCensor и т.п.)
- Различные «виндосерверные» решения, выступающие в роли шлюза
ни одно не показалось мне привлекательным. Имея маломощный сервер и 50 рабочих станций, нуждающихся в защите, хотелось бы использовать Unix-like решение. Очевидно, что без Squid не обойтись. Начались поиски решения удовлетворяющего установленные требования. В результате был найден интересный вариант от не безызвестной компании Entensys, выпускающей ПО под названием UserGate. Программное решение для контентной фильтрации называется UserGate WebFilter. Основываясь на опыте давно ушедших лет, тех лет, когда интернет траффик был дороже золота, и, когда прокси был просто необходим, UserGate не нравился ввиду своей глючности и ресурсоемкости (в контексте тех самых прошлых лет), однако, позабыв старые обиды, а также несмотря на то, что продукт проприетарный, было решено его опробовать.
Установка squid+sams+ntlm на centos 6.4 по шагам
2013-10-28 в 10:57, admin, рубрики: centos 6, squid, новичкам, системное администрирование, метки: centos 6, squid, новичкам, системное администрирование 
Добрый день господа, думаю, я не открою Америку рассказывая про проект SAMS (Squid Accaunt Management System), статьи о нем достаточно распространены, в том числе и на Хабрахабре. Однако хотя я не расскажу вам много нового, но надеюсь, расскажу немного полезного.
Читать полностью »
CentOS 6.x 64 и Squid с авторизацией из Win2008AD
2013-10-11 в 6:59, admin, рубрики: active directory, CentOS, squid, windows, метки: active directory, CentOS, squidУстановка Squid на CentOS 6.x 64 с авторизацией из Win2008AD, групповое распределение, привязка по mac адресам, фильтр расширений файлов и запрещенных сайтов.
Не будем описывать саму установку Win2008AD. Подразумеваем, что контроллер уже установлен и настроен. Наша первая задача создать структуру групп для распределения в них пользователей, которые в дальнейшем будут иметь определенные права.
Создаем пользователя squid, он будет отвечать за получение списка пользователей их паролей и групповую принадлежность. Назначаем ему делегирование на эти возможности.
Читать полностью »
Еще одна статья о кэшировании веб-трафика
2013-09-17 в 8:49, admin, рубрики: asa, Cisco, firewall, squid, wccp, Сетевые технологии, системное администрирование, метки: asa, Cisco, firewall, squid, wccpВведение, или зачем нужна еще одна статья о WCCP?
Про организацию прозрачного кэширования веб-трафика с использованием протокола WCCP написано много, в том числе есть хорошая статья на хабре. Обычно в этих статьях рассматривается схема, подобная изображенной на рисунке слева.
На первый взгляд, решение обладает сплошными достоинствами: реализация несложна, кэширование выполняется абсолютно прозрачно для пользователей, при отказе прокси-сервера запросы автоматически будут перенаправлены напрямую.
Но всегда ли внедрение WCCP проходит гладко? И если нет, как бороться с возникающими проблемами?
Например, практически во всех статьях упоминается, что сервер кэширования должен находиться в том же сегменте, что и пользователи, но причины этого не уточняются. А как быть, если политика безопасности требует, чтобы все серверы находились в демилитаризованной зоне и были защищены межсетевым экраном (МЭ)?
Недавно пришлось столкнуться с подобным требованием при установке сервера кэширования в сети оператора связи, упрощенная схема которой изображена на заглавном рисунке справа.
Если читателям интересно, какие проблемы встречаются при реализации подобных схем, и как можно обойти ограничения — добро пожаловать.
Читать полностью »
Балансировка 2-х и более каналов на FreeBSD с использованием PF + Squid
2013-04-24 в 2:47, admin, рубрики: FreeBSD 9.0, squid, балансировка нагрузки, два провайдера, Серверная оптимизация, системное администрирование, метки: FreeBSD 9.0, squid, балансировка нагрузки, два провайдераДоброе время суток, читатели!
В связи с тем, что хотя моя предыдущая попытка поделиться мыслями принесла мне инвайт, однако карма ушла в минус, поэтому сейчас попытаюсь реабилитироваться.
Итак, о задаче: есть два канала интернет, шлюз на FreeBSD
gate# uname -a
FreeBSD gate 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Thu Nov 1 06:48:52 OMST 2012 root@gate:/usr/obj/usr/src/sys/GATE amd64
Не то, чтобы необходимость, но желание создать гибкую систему с балансировкой трафика по каналам и желание получить премию от руководства.
Канал №1: безлимитка, скорость 7 Мб, реальный ip-адрес
Канал №2: безлимитка, скорость до 60Мб, реальный ip-адрес.
Со стороны провайдера были установлены шлюзы, через которые реализую DMZ на «ловушки» для хакеров, поэтому настройки PF и SQUID минимальны
Прозрачное проксирование или как подружить Cisco и Squid
2012-08-25 в 17:55, admin, рубрики: asa, Cisco, linux, squid, wccp, системное администрирование, метки: asa, Cisco, squid, wccpПо роду своей деятельности, достаточно часто приходилось слышать от счастливых обладателей Cisco ASA в базовом комплекте поставки (без дополнительных дорогостоящих модулей типа CSC-SSM), в принципе как и других SOHOSMB маршрутизаторов данного производителя, нарекания на достаточно слабые возможности фильтрации URL, проксирования и других вкусностей, которые умеет делать даже самый простенький проски-сервер.
Однако из этого положения есть выход и достаточно простой. В этой статье я вам покажу пример работы связки Cisco ASA5510 + Squid, которая отлично справляется с поставленными задачами.Читать полностью »
Squid: баним баннеры без вспомогательного веб-сервера
2012-07-24 в 22:23, admin, рубрики: linux, squid, блокировка рекламы, доработка напильником, реклама в интернете, системное администрирование, метки: squid, блокировка рекламы, доработка напильником, реклама в интернете О пользе избавления от рекламы и самое ужасное — счетчиков (по несколько штук на страницу), думаю, рассказывать не нужно… Чтобы польза была практической и эстетической, забаненные картинки надо заменять на прозрачный однопиксельный GIF. В конфиге squid-a это делается так:
Читать полностью »
Переворачиваем интернет на 1-е апреля
2012-04-01 в 13:36, admin, рубрики: linux, proxy, squid, метки: proxy, squid 
Для того чтобы устроить полный переворот интрернета нам понадобится
1) Сервер раздающий интернет для локальной сети
2) Прокси сервер
3) 15 минут времени
Схема очень проста. Прокси будет работать в прозрачном режиме и все ссылки на картинки передавать скрипту, который сможет эти картинки скачивать и изменять.
Прозрачный прокси сервер Squid с паролем на Ubuntu 11.04
2012-03-15 в 13:52, admin, рубрики: Linux для всех, squid, авторизация, системное администрирование, Убунтариум, метки: squid, авторизация Недавно появилась задача реализовать некоторые функции Kerio в linux, а именно авторизацию
пользователей прокси сервера Squid в режиме transparent. Это сделать довольно просто и на
просторах интернета много статей как это сделать, но появилась проблема в режиме transparent
(прозрачный прокси) авторизация не работает. Конечно если у Вас небольшое количество пользователей
это не является проблемой, отключил transparent прописал у всех прокси сервер в браузерах и все.
Но когда пользователей и компьютеров становиться много и прописывать прокси сервер у всех нет
возможности/времени, тут приходиться искать решения. Одно из решений это связка Squid+PHP+NAT.
Читать полностью »