https://opennet.ru/openforum/vsluhforumID12/6753.html Привет все.<br>Имею 8.2-STABLE FreeBSD 8.2-STABLE i386<br>squid-2.7.9_1 HTTP Caching Proxy<br>auth_param ntlm children 400 ---- самба 3.6 + AD - для Windows(ie, firefox) пользователей<br>auth_param basic children 150 ---- для MasOS-safari, Opera и всего остального.<br>слушает два порта 3129, 3128<br><br>netstat -Lan -p tcp<br>Proto Listen Local Address<br>tcp4 0/0/512 192.168.33.10.3128<br>tcp4 0/0/512 192.168.33.10.3129<br>tcp4 0/0/10 127.0.0.1.25<br>....<br> <br>Делаю squid -k reconf - при перезапуске у пользователей вываливается - (дословно) "Прокси сервер отказывается принимать соединения..."<br><br>При этом:<br>netstat -Lan -p tcp<br>Proto Listen Local Address<br>tcp4 0/0/10 127.0.0.1.25<br>...<br>Т.е. действительно очередей для приема нет.<br><br>Squid рестартуется по крону раз в пол часа т.к. изменятся фалйы:<br>acl BAD_USERS src "/usr/local/etc/squid/bad_users"<br>acl BAD_AUTH_USERS proxy_auth url_regex -i "/usr/local/etc/squid/bad_auth_users"<br><br>ВОПРОС https://opennet.ru/openforum/vsluhforumID12/6753.html#7 Fri, 16 Dec 2011 16:14:05 GMT &gt;&gt; для по ip как вариант костылей, выдели их отдельную подсеть и открывай <br>&gt;&gt; фаерволом.<br><br>Можно еще сделать базу sql, положить туда ip адреса и написать простенький хелпер, который будет спрашивать у базы да/нет<br>На такой кастомный АЦЛ можно сделать ттл 20 минут к примеру.<br>И сквид будет помнить 20 минут ip адрес, а потом будет спрашивать у базы, если не найдет - будет блок.<br> https://opennet.ru/openforum/vsluhforumID12/6753.html#6 Fri, 16 Dec 2011 16:12:22 GMT &gt;&gt; для по ip как вариант костылей, выдели их отдельную подсеть и открывай <br>&gt;&gt; фаерволом.<br>&gt; Да - идея. Даж не надо никуда выносить - есть ip, запихну <br>&gt; в ipfw table, буду блокировать, да ipfw table flush, add. Надо <br>&gt; только подумать, как что-то типа deny_info тут.<br>&gt; Спасибо еще раз всем. https://opennet.ru/openforum/vsluhforumID12/6753.html#5 Fri, 16 Dec 2011 14:36:22 GMT &gt; для по ip как вариант костылей, выдели их отдельную подсеть и открывай <br>&gt; фаерволом.<br><br>Да - идея. Даж не надо никуда выносить - есть ip, запихну в ipfw table, буду блокировать, да ipfw table flush, add. Надо только подумать, как что-то типа deny_info тут.<br><br>Спасибо еще раз всем.<br><br> https://opennet.ru/openforum/vsluhforumID12/6753.html#4 Fri, 16 Dec 2011 12:53:43 GMT для по ip как вариант костылей, выдели их отдельную подсеть и открывай фаерволом.<br> https://opennet.ru/openforum/vsluhforumID12/6753.html#3 Fri, 16 Dec 2011 12:47:18 GMT но к слову сказать у меня на rhel при /etc/init.d/squid reload (тот же реконфигуре) нечего не отваливается у пользователей, а их порядка 1,5к., при этом 3 типа авторизации (squid_ldap_group, ntlm_auth, squid_kerb_auth) и squid_ldap_group для другой цели.<br> https://opennet.ru/openforum/vsluhforumID12/6753.html#2 Fri, 16 Dec 2011 12:46:32 GMT &gt; использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для <br>&gt; этого сквиду реконфигурить не нужно.<br><br>Спасибо, погляжу. Но это для авторизирующихся.<br>А чего делать с пользователями, отключающимися по IP?<br> https://opennet.ru/openforum/vsluhforumID12/6753.html#1 Fri, 16 Dec 2011 12:31:18 GMT использовать squid_ldap_group для авторизации из АД, и уже группами рулить доступы. для этого сквиду реконфигурить не нужно.<br>