Как отключить окно авторизации при попытке загрузки запрещенного url

0

2

имеется группа

#proxy_lite
acl ProxyLite external nt_group BARNGET+proxy_lite
acl news_url dstdomain .amic.ru .gismeteo.ru .lenta.ru .adobe.com .google-analytics.com .yandex.ru .24smi.org .dt00.net .liveinternet.ru
acl deny_url dstdomain .ru .com .org .net
http_access allow news_url ProxyLite
http_access deny deny_url ProxyLite
#end proxy lite

но при переходе допустим на amic.ru браузер показывает окно авторизации на прокси, происходит потому что на сайте расположенны запрещенные проксиком адреса, как исправить данную промблему? вот сопсно весь конфиг сквида чтоб не шарить в слепую. [spoiler]

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="BARNGET+proxy_enabled"
auth_param ntlm children 30
auth_param ntlm use_ntlm_negotiate on
auth_param ntlm keep_alive on
auth_param ntlm max_challenge_lifetime 2 minutes
#auth_param negotiate program /usr/lib/squid/squid_kerb_auth
#auth_param negotiate children 10
#auth_param negotiate keep_alive on
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic #--require-membership-of="BARNGET+proxy_enabled"
#auth_param basic children 10
#auth_param basic realm Barnget proxy-server authority
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid.users
auth_param basic children 10
auth_param basic realm Barnget proxy-server authority
#
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl 
acl SuperUsers external nt_group BARNGET+super_proxy_enabled
acl ALLOWED_USERS proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl valyaev src 192.168.0.190
acl special_url url_regex ^http://www.vk.com/
http_access allow valyaev special_url

#proxy_lite
acl ProxyLite external nt_group BARNGET+proxy_lite
acl news_url dstdomain .amic.ru .gismeteo.ru .lenta.ru .adobe.com .google-analytics.com .yandex.ru .24smi.org .dt00.net .facebook.com .liveinternet.ru
acl deny_url dstdomain .ru .com .org .net
http_access allow news_url ProxyLite
http_access deny deny_url ProxyLite
#end proxy lite

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl SSL_ports port 7700
acl SSL_ports port 993
acl SSL_ports port 465
acl Safe_ports port 22		# ssh
acl Safe_ports port 80		# http
acl Safe_ports port 83		# vipfile.com
acl Safe_ports port 85		# vipfile.com
acl Safe_ports port 89		# letitbit
acl Safe_ports port 92		# letitbit
acl Safe_ports port 21		# ftp
acl Safe_ports port 20		# ftp-data
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 563		# snews
acl Safe_ports port 873		# rsync
acl Safe_ports port 7000	# gambler
acl Safe_ports port 7700	# bank-client
acl Safe_ports port 5190	# icq
acl Safe_ports port 5222	# qip
acl Safe_ports port 143		# imap
acl Safe_ports port 993		# imaps
acl Safe_ports port 25		# smtp
acl Safe_ports port 465		# smtps
acl Social_networks dstdomain od-4ever.ru vkontakte.ru vk.com odnoklassniki.ru .vkontakte.ru .vk.com .odnoklassniki.ru    .*\.odnoklassniki\.ru .*\.odnokalsniki\.ru
acl dlyamudakov url_regex -i vkontakt vkontact vcontact vcontakt odnoklassniki odnoklasniki
acl CONNECT method CONNECT
acl RSYNC port 873
acl FTP proto FTP
acl QUERY urlpath_regex cgi-bin \? price
acl QUERYDST dstdom_regex -i training\.naumen\.ru tools\.cisco\.com rapidshare dealers\. hightechsoft\.de
acl URL_BARNGET dstdomain barnget.ru mail.barnget.ru
acl BARNGET dst 192.168.0.6
acl work_time time 09:00-20:00
acl dinner_time time 12:00-12:30
acl weekend time AS
#acl crashx proxy_auth crashx
#acl xenych proxy_auth xenych
#acl raishin proxy_auth raishin
#acl 61mss proxy_auth 61mss
#acl khades proxy_auth khades
acl media urlpath_regex -i \.mp3$ \.avi$ \.mpeg$ \.mpg$ \.rm$ \.wmv$ \.wav$ \.kar$ \.mid$ \.avi\.zip$ humor anekdot \.avi;type Games \.flv$
acl JVM browser Java/1.4 Java/1.5 Java/1.6 K-Frame
acl winamp browser regexp Winamp NSPlayer Windows-Media-Player
acl TeamView browser -i DynGate
acl local dstdomain "/etc/squid/localdomains.list"
no_cache deny QUERY
always_direct allow FTP
always_direct allow SSL_Ports
always_direct allow BARNGET
http_access allow BARNGET
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT RSYNC
http_access deny CONNECT !SSL_ports
#http_access allow TeamView crashx
#http_access allow TeamView xenych
#http_access allow TeamView raishin
#http_access allow TeamView khades
http_access allow Social_networks SuperUsers
http_access allow TeamView SuperUsers
http_access allow dlyamudakov SuperUsers
http_access deny TeamView all
http_access deny Social_networks all
http_access deny dlyamudakov all
http_access allow all local
http_access allow JVM all
http_access allow URL_BARNGET all
http_access allow FTP ALLOWED_USERS
http_access allow ALLOWED_USERS 
http_access allow localhost
http_access deny all
icp_access deny all
http_port 192.168.0.6:3128
http_port centurion:3128
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
memory_pools off
cache_dir ufs /var/spool/squid 4000 16 256
cache_swap 512 MB
maximum_object_size 1024 KB
access_log /var/log/squid/access.log squid 
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
log_ip_on_direct on
log_mime_hdrs on
ftp_user anonymous@barnget.ru
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
request_header_max_size 20 KB
reply_header_max_size 20 KB
via off
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
cache_mgr admin@barnget.ru
#cache_effective_user proxy 
cache_effective_group proxy
httpd_suppress_version_string on
visible_hostname centurion.barnget.local
umask 027
icp_port 0
error_directory /usr/share/squid/errors/Russian-1251
dns_nameservers 192.168.0.5 
forwarded_for off
coredump_dir /var/spool/squid

[/spoiler]

Ссылка

←	Squid и его ACL'ы

freeradius + abbils + pptpd + centos

→

Вроде как это должно помочь:

http_access deny ProxyLite deny_url

Или писать редиректор вместо deny_url.

mky ★★★★★
(18.07.13 14:35:27 MSK)

Ответ на: комментарий от mky 18.07.13 14:35:27 MSK

Хотя, наверное, нужно просто сначала разрешить доступ для тех, кого не задевает это deny (SuperUsers), а запрещать доступ к deny_url для всех, без требования авторизации (ProxyLite).

mky ★★★★★
(18.07.13 14:42:50 MSK)

Ответ на: комментарий от mky 18.07.13 14:42:50 MSK

те кто в группе proxy_enabled у них нет промблем с окном авторизации, а вот у proxy_lite только у него «без требования авторизации (ProxyLite)» вот это мне как раз и нужно

litle
(19.07.13 05:47:15 MSK) автор топика

Ответ на: комментарий от litle 19.07.13 05:47:15 MSK

Вы пробовали поставить deny_url в конце строки? Squid выдает 407 вместо 403 (комментарий)

Чтобы по «http_access deny» выдавалась ошибка 403, а не 407, нужно чтобы последним в строке (списке acl'ов) была статическое правило. Или чтобы вобще в «http_access deny» не было acl на авторизацию пользователя. То есть можно попробвать:

http_access deny deny_url

но в конце списка, где-то вблизи:

http_access deny TeamView all

mky ★★★★★
(19.07.13 09:31:09 MSK)

Ответ на: комментарий от mky 19.07.13 09:31:09 MSK

да, вроде бы вышло, но что то сквид ругается на кеш parseConfigFile: squid.conf:121 unrecognized: 'cache_swap'

#proxy_lite
acl ProxyLite external nt_group BARNGET+proxy_lite
acl news_url dstdomain .amic.ru .gismeteo.ru .lenta.ru .adobe.com .google-analytics.com .yandex.ru .24smi.org .dt00.net .liveinternet.ru
acl deny_url dstdomain .ru .com .org .net
http_access allow ProxyLite news_url
http_access deny ProxyLite deny_url
#end proxy lite

litle
(19.07.13 10:39:28 MSK) автор топика

Ответ на: комментарий от litle 19.07.13 10:39:28 MSK

Если я не путаю, то cache_swap умер в прошлом веке, вместе со squid 1.x. Там он задавал размер всех вместе взятых cache_dir. Сейчас у каждой cache_dir размер задаётся отдельно.

mky ★★★★★
(19.07.13 11:16:17 MSK)

Ответ на: комментарий от mky 19.07.13 11:16:17 MSK

все спасибо, главное работает :) вообще все эти настройки мне достались еще от позапрошлого админа, а когда пришол я работать то я даже не слышал о сквиде, а тут понадобилась группа, для которых доступ только на определенные сайты. еще раз спасибо за помощь ;)

litle
(22.07.13 05:44:41 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Squid и его ACL'ы

Admin

freeradius + abbils + pptpd + centos

→

Похожие темы