Привет, настроил списки доступа к сайтам, аутентификация через AD, но если заблочить соц сети, которые шерстят весь инет, почти на каждом сайте вылезает окно аутентификации. Подскажите пожалуйста, что можно сделать чтобы убрать это.

##################################

Настройка авторизации Kerberos

################################## auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/squid.domain.local@DOMAIN.LOCAL

-

auth_param negotiate children 20 startup=0 idle=1

-

auth_param negotiate keep_alive off

Здесь задаются какие группы в AD будет использоваться при доступе в интернет для пользователей

external_acl_type users ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_users@DOMAIN.LOCAL

-

external_acl_type vpn ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn@DOMAIN.LOCAL

-

external_acl_type vpn2 ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn2@DOMAIN.LOCAL

-

external_acl_type vip ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vip@DOMAIN.LOCAL

Правило указывающее доступ в интернет только через авторизацию Kerberos

acl auth proxy_auth REQUIRED

Пути к файлам запрещающих, разрешающих определенные действия

acl users_acl external users

-

acl vpn_acl external vpn

-

acl vpn2_acl external vpn2

-

acl vip_acl external vip

Порт SSL для подключений по HTTPS-протоколу

acl SSL_ports port 443

Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP

acl Safe_ports port 80 # http

-

acl Safe_ports port 21 # ftp

-

acl Safe_ports port 443 # https

-

acl Safe_ports port 70 # gopher

-

acl Safe_ports port 210 # wais

-

acl Safe_ports port 1025-65535 # unregistered ports

-

acl Safe_ports port 280 # http-mgmt

-

acl Safe_ports port 488 # gss-http

-

acl Safe_ports port 591 # filemaker

-

acl Safe_ports port 777 # multiling http

-

acl CONNECT method CONNECT

Список разрешений

acl allow_disk proxy_auth -i «/etc/squid/access/disk.usr»

-

acl allow_file proxy_auth -i «/etc/squid/access/file.usr»

-

acl allow_mail proxy_auth -i «/etc/squid/access/mail.usr»

-

acl allow_news proxy_auth -i «/etc/squid/access/news.usr»

-

acl allow_soc proxy_auth -i «/etc/squid/access/soc.usr»

-

acl allow_video proxy_auth -i «/etc/squid/access/video.usr»

-

acl allow_work proxy_auth -i «/etc/squid/access/work.usr»

Список блокировок

acl block_disk url_regex -i «/etc/squid/block/disk.url»

-

acl block_file urlpath_regex -i «/etc/squid/block/file.url»

-

acl block_mail url_regex -i «/etc/squid/block/mail.url»

-

acl block_news url_regex -i «/etc/squid/block/news.url»

-

acl block_old url_regex -i «/etc/squid/block/old.url»

-

acl block_soc url_regex -i «/etc/squid/block/soc.url»

-

acl block_video url_regex -i «/etc/squid/block/video.url»

-

acl block_work url_regex -i «/etc/squid/block/work.url»

Список локальных сайтов

acl localnetsites dstdomain «/etc/squid/local_sites»

always_direct allow localnetsites

-

no_cache deny localnetsites # тут сменил на deny

Маршруты

tcp_outgoing_address 192.168.0.22 vpn_acl

-

tcp_outgoing_address 192.168.0.22 vpn2_acl

-

tcp_outgoing_address 192.168.0.21

Стандартные разрешения

http_access deny !Safe_ports

-

http_access deny CONNECT !SSL_ports

-

http_access allow localhost manager

-

http_access deny manager

-

http_access allow localhost

Блокировки и разрешения

http_access allow vip_acl

-

http_access deny block_disk !allow_disk

-

http_access deny block_mail !allow_mail

-

http_access deny block_news !allow_news

-

http_access deny block_soc !allow_soc

-

http_access deny block_video # !allow_video

-

http_access deny block_work !allow_work

-

http_access deny block_file # !allow_file

-

http_access deny block_old

-

http_access allow users_acl

-

http_access allow vpn_acl

-

http_access allow vpn2_acl

-

#http_access allow auth

-

http_access deny all

Порты

http_port 3128

Настройка кэша

cache_dir ufs /var/spool/squid 49152 16 256

-

maximum_object_size 61440 KB

-

coredump_dir /var/spool/squid

-

always_direct allow all

-

sslproxy_cert_error allow all

-

sslproxy_flags DONT_VERIFY_PEER

Укажем список блокируемых ресурсов (в файле домены вида .domain.com) и правила блокировки их

acl blocked1 ssl::server_name «/etc/squid/block/disk.url»

-

acl blocked2 ssl::server_name «/etc/squid/block/file.url»

-

acl blocked3 ssl::server_name «/etc/squid/block/mail.url»

-

acl blocked4 ssl::server_name «/etc/squid/block/news.url»

-

acl blocked5 ssl::server_name «/etc/squid/block/old.url»

-

acl blocked6 ssl::server_name «/etc/squid/block/soc.url»

-

acl blocked7 ssl::server_name «/etc/squid/block/video.url»

-

acl blocked8 ssl::server_name «/etc/squid/block/work.url»

Устанавливаем защищенное соединение и считываем заголовок HTTP

acl step1 at_step SslBump1

-

ssl_bump peek step1

Закрываем соединение, если клиент заходит на ресурс указанные в blocked

ssl_bump terminate blocked1

-

ssl_bump terminate blocked2

-

ssl_bump terminate blocked3

-

ssl_bump terminate blocked4

-

ssl_bump terminate blocked5

-

ssl_bump terminate blocked6

-

ssl_bump terminate blocked7

-

ssl_bump terminate blocked8

-

ssl_bump splice all

-

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

-

refresh_pattern ^ftp: 1440 20% 10080

-

refresh_pattern ^gopher: 1440 0% 1440

-

refresh_pattern -i (/cgi-bin/|?) 0 0% 0

-

refresh_pattern . 0 20% 4320

-

cache_swap_low 90

-

cache_swap_high 95

-

Максимальный размер объекта, сохраняемого в оперативной памяти

maximum_object_size_in_memory 512 KB

-

memory_replacement_policy lru

-

logfile_rotate 4