Привет, настроил списки доступа к сайтам, аутентификация через AD, но если заблочить соц сети, которые шерстят весь инет, почти на каждом сайте вылезает окно аутентификации. Подскажите пожалуйста, что можно сделать чтобы убрать это.

##################################

Настройка авторизации Kerberos

################################## auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/squid.domain.local@DOMAIN.LOCAL

-

auth_param negotiate children 20 startup=0 idle=1

-

auth_param negotiate keep_alive off

Здесь задаются какие группы в AD будет использоваться при доступе в интернет для пользователей

external_acl_type users ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_users@DOMAIN.LOCAL

-

external_acl_type vpn ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn@DOMAIN.LOCAL

-

external_acl_type vpn2 ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn2@DOMAIN.LOCAL

-

external_acl_type vip ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vip@DOMAIN.LOCAL

Правило указывающее доступ в интернет только через авторизацию Kerberos

acl auth proxy_auth REQUIRED

Пути к файлам запрещающих, разрешающих определенные действия

acl users_acl external users

-

acl vpn_acl external vpn

-

acl vpn2_acl external vpn2

-

acl vip_acl external vip

Порт SSL для подключений по HTTPS-протоколу

acl SSL_ports port 443

Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP

acl Safe_ports port 80 # http

-

acl Safe_ports port 21 # ftp

-

acl Safe_ports port 443 # https

-

acl Safe_ports port 70 # gopher

-

acl Safe_ports port 210 # wais

-

acl Safe_ports port 1025-65535 # unregistered ports

-

acl Safe_ports port 280 # http-mgmt

-

acl Safe_ports port 488 # gss-http

-

acl Safe_ports port 591 # filemaker

-

acl Safe_ports port 777 # multiling http

-

acl CONNECT method CONNECT

Список разрешений

acl allow_disk proxy_auth -i «/etc/squid/access/disk.usr»

-

acl allow_file proxy_auth -i «/etc/squid/access/file.usr»

-

acl allow_mail proxy_auth -i «/etc/squid/access/mail.usr»

-

acl allow_news proxy_auth -i «/etc/squid/access/news.usr»

-

acl allow_soc proxy_auth -i «/etc/squid/access/soc.usr»

-

acl allow_video proxy_auth -i «/etc/squid/access/video.usr»

-

acl allow_work proxy_auth -i «/etc/squid/access/work.usr»

Список блокировок

acl block_disk url_regex -i «/etc/squid/block/disk.url»

-

acl block_file urlpath_regex -i «/etc/squid/block/file.url»

-

acl block_mail url_regex -i «/etc/squid/block/mail.url»

-

acl block_news url_regex -i «/etc/squid/block/news.url»

-

acl block_old url_regex -i «/etc/squid/block/old.url»

-

acl block_soc url_regex -i «/etc/squid/block/soc.url»

-

acl block_video url_regex -i «/etc/squid/block/video.url»

-

acl block_work url_regex -i «/etc/squid/block/work.url»

Список локальных сайтов

acl localnetsites dstdomain «/etc/squid/local_sites»

always_direct allow localnetsites

-

no_cache deny localnetsites # тут сменил на deny

Маршруты

tcp_outgoing_address 192.168.0.22 vpn_acl

-

tcp_outgoing_address 192.168.0.22 vpn2_acl

-

tcp_outgoing_address 192.168.0.21

Стандартные разрешения

http_access deny !Safe_ports

-

http_access deny CONNECT !SSL_ports

-

http_access allow localhost manager

-

http_access deny manager

-

http_access allow localhost

Блокировки и разрешения

http_access allow vip_acl

-

http_access deny block_disk !allow_disk

-

http_access deny block_mail !allow_mail

-

http_access deny block_news !allow_news

-

http_access deny block_soc !allow_soc

-

http_access deny block_video # !allow_video

-

http_access deny block_work !allow_work

-

http_access deny block_file # !allow_file

-

http_access deny block_old

-

http_access allow users_acl

-

http_access allow vpn_acl

-

http_access allow vpn2_acl

-

#http_access allow auth

-

http_access deny all

Порты

http_port 3128

Настройка кэша

cache_dir ufs /var/spool/squid 49152 16 256

-

maximum_object_size 61440 KB

-

coredump_dir /var/spool/squid

-

always_direct allow all

-

sslproxy_cert_error allow all

-

sslproxy_flags DONT_VERIFY_PEER

Укажем список блокируемых ресурсов (в файле домены вида .domain.com) и правила блокировки их

acl blocked1 ssl::server_name «/etc/squid/block/disk.url»

-

acl blocked2 ssl::server_name «/etc/squid/block/file.url»

-

acl blocked3 ssl::server_name «/etc/squid/block/mail.url»

-

acl blocked4 ssl::server_name «/etc/squid/block/news.url»

-

acl blocked5 ssl::server_name «/etc/squid/block/old.url»

-

acl blocked6 ssl::server_name «/etc/squid/block/soc.url»

-

acl blocked7 ssl::server_name «/etc/squid/block/video.url»

-

acl blocked8 ssl::server_name «/etc/squid/block/work.url»

Устанавливаем защищенное соединение и считываем заголовок HTTP

acl step1 at_step SslBump1

-

ssl_bump peek step1

Закрываем соединение, если клиент заходит на ресурс указанные в blocked

ssl_bump terminate blocked1

-

ssl_bump terminate blocked2

-

ssl_bump terminate blocked3

-

ssl_bump terminate blocked4

-

ssl_bump terminate blocked5

-

ssl_bump terminate blocked6

-

ssl_bump terminate blocked7

-

ssl_bump terminate blocked8

-

ssl_bump splice all

-

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

-

refresh_pattern ^ftp: 1440 20% 10080

-

refresh_pattern ^gopher: 1440 0% 1440

-

refresh_pattern -i (/cgi-bin/|?) 0 0% 0

-

refresh_pattern . 0 20% 4320

-

cache_swap_low 90

-

cache_swap_high 95

-

Максимальный размер объекта, сохраняемого в оперативной памяти

maximum_object_size_in_memory 512 KB

-

memory_replacement_policy lru

-

logfile_rotate 4

Привет, Проблема состоит в том, что когда я указываю выход группы пользователей через определенный ip, они не могут зайти на ресурсы в сети, только если их не указывать в списке исключений браузера, но исключения работают не очень корректно. Подскажите в чем проблема, когда не использую tcp_outgoing_address, все нормально.

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/squid.domain.local@DOMAIN.LOCAL auth_param negotiate children 20 startup=0 idle=1 auth_param negotiate keep_alive off

external_acl_type users ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_users@DOMAIN.LOCAL external_acl_type vpn ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vpn@DOMAIN.LOCAL external_acl_type vip ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g squid_vip@DOMAIN.LOCAL

acl localnet src 10.10.10.0/24 acl localnet src 10.10.30.0/24 acl localnet src 172.16.0.0/29 acl localnet src 192.168.0.0/21

acl auth proxy_auth REQUIRED

acl users_acl external users acl vpn_acl external vpn acl vip_acl external vip

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

acl BLOCKED url_regex -i «/etc/squid/black_list» # Black list

tcp_outgoing_address 172.16.0.2 vpn_acl tcp_outgoing_address 172.16.0.3

http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager

http_access allow vip_acl http_access deny BLOCKED http_access allow users_acl http_access allow vpn_acl

http_access allow auth http_access allow localhost http_access deny all

http_port 3128

cache_dir ufs /var/spool/squid 2048 16 256 coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern . 0 20% 4320