Конфиг SQUID для корпоративной сети

Как это часто бывает в крупных организациях, у нас тоже зарплату получают странные люди, которые следят за тем, кто на какие сайты ходитЬ. Конкретно в нашей организации обойти этих людей довольно просто, используя pptp-туннель. Но туннель, как водится, хилый и безжизненный, а корпоративная сетка… в общем тоже хилая в расчёте на одного сотрудника, но всё же пожирнее. И выход валидный из неё — только через прокси, считающий и протоколирующий все ваши заходы во вконтакт к Дурову в гости.
Как-то сама собой приходит в голову задача: настроить SQUID так, чтобы все сайты, кроме потенциально «подозрительных» с точки зрения наших безопасников проксировались выше на корпоративную «считалку», а все сайты, которые не хотелось бы светить в чужой статистике — роутились напрямую через PPTP-туннель.
Собственно, here is my config. Это явно не плод мощного умственного труда и в общем хотелось бы в нём видеть некие фичи наподобие переключения режимов «туннель доступен/туннель упал», но в общем это уже первая итерация, от которой можно отталкиваться в процессе эволюции:

http_access allow all
http_port 3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .       0   20% 4320

cache_peer proxy.corp.ru parent 8080 0 no-query default login=MY_CORP_LOGIN:MY_CORP_PASS
acl lan_dest dst 127.0.0.0/8 172.0.0.0/8 10.0.0.0/8 192.168.0.0/16
acl corp_doms dstdom_regex ^(.+\.)?corp.ru$ ^(.+\.)?my.local.dom$
acl my_sites dstdomain "/etc/squid3/my_sites.acl"

never_direct deny lan_dest
never_direct deny corp_doms
never_direct deny my_sites

never_direct allow all


Соответственно, в /etc/squid3/my_sites.acl что-то вроде:

.velomania.ru
.kino35mm.ru
.hh.ru

Настройка кеширующего интернет-шлюза

Введение
В современном мире крайне важным вопросом является доступ пользователей к сети интернет. Доступ должен быть безопасным, простым и высокоскоростным.

Существует множество решений — платных и бесплатных. Многие интеграторы проповедуют следующую схему подключения корпоративных пользователей:

На данной схеме пользователи могут работать с интернет только через прокси. Прокси регулирует абсолютно весь трафик. FireWall блокирует весь остальной трафик.

Читать дальше →

Как заставить wgеt работать через прокси сервер squid под UNIX или Linux?

  • Linux
Нужно добавить пару настроек в файл ~/.wgеtrc:
echo 'HTTP_PROXY=192.168.1.2:3128'>> wgеtrc
echo 'FTP_PROXY=192.168.1.2:3128'>> wgеtrc

И можно использовать wgеt:
$ wgеt http://remote.com/file.ext

Можно определить переменную:
export http_proxy=http://192.168.1.254:3128/<
export HTTP_PROXY=$http_proxy

Если требуется логин пароль, можно задавать его так:
wgеt --proxy-user=USERNAME --proxy-password=PASSWORD  http://remote.com/file.ext

Читать дальше →

squid, pf и таблицы адресов

Появилась задача — использовать в сквиде список адресов не из фиксированного файла, а прямиком из таблиц firewall (pf).
Напомню, в сквиде можно объявить список адресов, например вот так:
acl dst_free dst "/etc/firewall/net.free"

ну и в файле /etc/firewall/net.free прописать наши адреса, например:
10.0.0.0/8
62.76.176.0/20
78.132.128.0/17
82.179.144.0/20
83.234.112.0/24
91.202.20.0/22
91.211.28.0/22
93.186.96.0/20
172.16.0.0/12
192.168.135.12/30
192.168.140.0/24
193.33.62.0/23
193.34.12.0/22
193.203.60.0/22
195.19.96.0/19
213.135.128.0/19

Таким образом, после запуска сквид в acl dst_free будут находиться эти адреса.
А у нас задача — использовать адреса, которые сейчас актуальные в таблице pf.
Для примера, на текущий момент в таблице net_free находятся такие адреса:
[16:36 dk@mira ~]> pfctl -t net_free -T show
   10.0.0.0/8
   62.76.176.0/20
   78.132.128.0/17
   82.179.144.0/20
   83.234.112.0/24
   91.202.20.0/22
   91.211.28.0/22
   93.186.96.0/20
   172.16.0.0/12
   192.168.135.12/30
   192.168.140.0/24
   193.33.62.0/23
   193.34.12.0/22
   193.203.60.0/22
   195.19.96.0/19
   213.135.128.0/19

Читать дальше →

Установка прокси сервера Squid 2.6 для Windows

  • Windows
Нашей задачей будет установить прокси сервер в Windows для раздачи интернета на другие компьютеры или для ускорения своего собственного интернета. Хотя «ускорение» будет довольно спорное, в пределах 10% и только для сайтов, на которые хоть раз, но заходили. Прокси сервер будем использовать squid, как гибкое и стабильное решение, хотя и сложное в настройке для неподготовленного пользователя. Метод протестирован на Windows версий XP, 2003, 7.

Читать дальше →