Добрый день, есть Astra linux со Squid 4.6 и FreeIPA Настроил авторизацию kerberos и работает отлично. Понадобилось сделать ограничение скорости, разделил на группы, но при использовании delay_pool сыпятся ошибки: WARNING: class_minimum ACL is used in context without an ALE state. Assuming mismatch. WARNING: class_minimum ACL is used in context without an ALE state. Assuming mismatch.
Вот сам конфиг
Аутентификация Kerberos
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -s HTTP/squid.domen.ru -k /etc/squid/squid.keytab auth_param negotiate children 160 startup=0 idle=1 auth_param negotiate keep_alive on
Интерфейсы прокси сервера
http_port 10.10.99.99:3128 http_port 127.0.0.1:3128
Подсеть компании
acl localnet src 10.10.0.0/17
Забираем группы для назначения скоростей из AD
external_acl_type class_maximum ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g maximum@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU
external_acl_type class_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g medium@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU
external_acl_type class_minimum ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g minimum@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU
Alias
acl class_maximum external class_maximum
acl class_medium external class_medium
acl class_minimum external class_minimum
Доступы к ресурсам
external_acl_type allow_social_net ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g social_net@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU external_acl_type allow_shops ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g shops@DOMEN.RU -D DOMEN.RU -S DC-IPA.DOMEN.RU
Alias
acl social_net external allow_social_net # LDAP Group External Access acl shops external allow_shops # LDAP Group External Access
Списки внешних ресурсов
acl white_social_net url_regex -i «/etc/squid/lists/soc.net.list» для внешних коммуникаций acl white_shops url_regex -i «/etc/squid/lists/shops.list» Для закупок
Черный список сайтов и доменов
acl black_deny url_regex -i «/etc/squid/lists/lock_sites» Список вирусных и заблокированных сайтов acl domain_deny dstdomain «/etc/squid/lists/lock_domain»
Порты
acl port_allowed port 80 # Port HTTP acl port_allowed port 443 # Port HTTPS
Delay_pools
http_access allow class_maximum
http_access allow class_medium
http_access allow class_minimum
delay_pools 3 Количество пулов
delay_class 1 1
delay_parameters 1 1875000/1875000
delay_access 1 allow class_maximum
delay_access 1 deny all
delay_class 2 3
delay_parameters 2 1000/1000 1000/1000 1000000/1000000
delay_access 2 allow class_medium
delay_access 2 deny all
delay_class 3 3
delay_parameters 3 500000/500000 500000/500000 500000/500000
delay_access 3 allow class_minimum
delay_access 3 deny all
Доступы
http_access allow localhost
http_access deny !port_allowed
http_access deny !social_net white_social_net
http_access deny !shops white_shops
http_access deny black_deny
http_access deny domain_deny
Кто не состоит ни в одной из описанных нами групп, запретить доступ ко всем веб-сайтам.
http_access deny all
