Добрый день!

Подскажите где у меня ошибка!

Стоит следующая задача:

1. закрыть выход в интернет всем пользователям не входящим в определенные доменные группы
2. создать две группы: группа полного доступа и группа с ограниченным доступом к ресурсам интернета

Конфиг настраивал на три группы: полный доступ, частичный доступ и полный запрет. Но пока писал подумал что группа полного запрета не нужна, нужно просто ограничить доступ всем домменным пользователям не входящим в группы полного и частичного доступа, а так же недоменным пользователям. Подскажите как правильно это реализовать. Я так понимаю положение правил доступа относительно друг друга очень важно?

В общем с сушествующим конфигом проблема в следующем, при перемещении пользователя из групп с разрешенным доступом в группу с закрытым доступом в инет доступ к интернету не пропадает. Прилагаю конфиг ниже.



# Аутентификация в Active Directory
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/proxy.samba.domain.ru@SAMBA.DOMAIN.RU
auth_param negotiate children 30 #startup=10 idle=5
auth_param negotiate keep_alive off

external_acl_type squid-all-access-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-baselist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-baselist-stv -D SAMBA.DOMAIN.RU
external_acl_type squid-blacklist-stv ttl=900 negative_ttl=900 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-blacklist-stv -D SAMBA.DOMAIN.RU

####################################################################################################################################################################################



# Авторизация требуется ОБЯЗАТЕЛЬНО, без нее никого не пускать
acl auth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl BLOCKED dstdomain «/etc/squid/blocklist.acl»


# Разрешенные группы
acl squid-all-access-stv external squid-all-access-stv
acl squid-baselist-stv external squid-baselist-stv
acl squid-blacklist-stv external squid-blacklist-stv

# Правила доступа
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow squid-all-access-stv



http_access allow squid-baselist-stv
http_access deny squid-blacklist-stv
http_access allow auth

http_access deny BLOCKED

# Подключение к вышестоящему прокси-серверу
cache_peer proxy.samba.domain.ru parent 3128 0 no-query no-digest no-netdb-exchange default
cache_peer_access proxy.samba.domain.ru allow all
never_direct allow all

http_access deny all


# Порт прокси-сервера
http_port 3128

# Каталог дампа ядра
coredump_dir /var/spool/squid

# Объем оперативной памяти, используемой для хранения обрабатываемых объектов
cache_mem 1024 MB

# Директория хранения кэша ([тип файловой системы] [где хранить кэш] [количество дискового пространства в мегабайтах] [количество каталогов]
cache_dir diskd /var/spool/squid 16384 32 256

# Используется, чтоб определить не устарел ли объект в кэше
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

# Куда и в каком объеме будем писать логи
access_log daemon:/var/log/squid/access.log squid
logfile_rotate 31

#debug_options ALL,1 33,2 28,9

Добрый день!

Прошу помочь разобраться!

Имеется два удаленных офиса соединеных через VPN тунель. В офисах развернуты сервера Active Directory, основной и подчиненный. Так же в офисах имеются прокси-сервера на базе CentOS 7, squid 3.5 которые настроенны на работу с домменными группами.
Прилетела задача отказаться в филиале от интернета и выпустить пользователей в интернет через головной офис. Между офисами будет VPN повер провайдерского L2. Так вот необходимо все запросы приходящие на прокси-сервер филиала пересылать на прокси-сервер головного офиса который будет выпускать в инет и при этом группы должны работать.
Не могуразобраться как правильно это реализовать.

Конфиг в головном офисе:

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/proxy01.samba.domain.ru
auth_param negotiate children 20 startup=10 idle=5
auth_param negotiate keep_alive off

#acl trustedproxy src 10.190.196.35 #ip прокси в филиале (если раскоментировать, филиал подключаеся но без авторизации и доменных групп)
#http_access allow trustedproxy

external_acl_type squid-all-access-01 ttl=300 negative_ttl=60 children-startup=15 ipv4 %LOGIN %ACL /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-01 -D SAMBA.DOMAIN.RU

acl auth proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT

acl squid-all-access-01 external squid-all-access-01

http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow squid-all-access-01
http_access deny all

http_port 3128



Конфиг в филиале:

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/proxy02.samba.domain.ru@SAMBA.DOMAIN.RU
auth_param negotiate children 200 startup=10 idle=5
auth_param negotiate keep_alive off

external_acl_type squid-all-access-02 ttl=300 negative_ttl=60 ipv4 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g squid-all-access-02 -K -D SAMBA.DOMAIN.RU

cache_peer proxy01.samba.domain.ru parent 3128 0 no-query no-digest no-netdb-exchange default login=squid:passwd
cache_peer_access proxy01.samba.domain.ru allow all
never_direct allow all

acl auth proxy_auth REQUIRED

acl SSL_ports port 443
acl SSL_ports port 563
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT

acl squid-all-access-02 external squid-all-access-02

http_access deny CONNECT !SSL_ports
http_access deny !Safe_ports
http_access allow squid-all-access-02
http_access deny all

http_port 3128

В данной конфигурации на тестовой машине инет не появляется.

Добрый вечер! Прошу помочь советом! И с радостью почитаю различные мнения по поводу реализации моей задачи. Необходимо развернуть гипервизор на котором будут крутиться пару десятков виндовых и линуксовых серверов. Я сторонник proxmox-а, давно им пользуюсь, да и привык уже к нему. Виндовый вообще не рассматриваю, не сторонник я windows. Все что можно поднять на линуксе, поднимаю на линуксе. Но реч не об этом. У меня есть два идентичных по модели и железу сервера, хотелось бы реализовать кластер. Но на сколько я понял касаемо proxmox, для реализации кластеризации на нем необходимо три идентичных железки. С кластерами раньше не работал. Подскажите какие есть варианты с двумя железками, желательно на линуксе и с бесплатной лицензией. За ранее спасибо!

Добрый день!

Появилась задача перенести файловое хранилище с Windows на Linux. Все бы ничего но в одном из отделов начальник поросил организовать права доступа, как были на Windows хранилише. А было там следующее, есть одна директория в (структура доменная) в которой у отдела полные права доступа, а остальные отделы имеют возможность создать но не имеют возможности изменять или удалять созданный файл или директорию. Посмотрел на Windows хранилище там в свойствах безопасности можно развернуть дополнительные разрешения и снять галочки с удаления. Пробовал средствами Windows задать подобные права на новом сервере но они не применяюся, сбрасываются. Я так понимаю линукс не распознает подобных атрибутов. Возможно ли списком ACL или каким то другим инструментом реализовать данную задачу?

За раннее благодарю!