Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dene14

Цитата:
Ruza
Так что насчёт аськи? Совсем не хочется чтобы Nep расстрелял за засранный форум ))

Протупил... Отправил в профильную аську запрос...

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 15:12 10-11-2008 | Исправлено: Ruza, 15:12 10-11-2008
lkrotish

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
установлен SQUID 2.7 + FreeBSD
 
необходимо прозрачно проксирование,
в конфиге сквида: http_port 192.168.0.1:3128 transparent
в IPFW - fwd 192.168.0.2,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl1
 
вроде всё работает, при непрописанной проксе в браузере в лог сквида сайты пишутся посещённые.
но. если прокся в браузере прописана, при вводе несуществующего сайта выскакивает встроенная страница ошибки сквида.
 
а при непрописанной проксе такого нету, такое ощущение, что никакого сквида и нету.  
Почему так?

Всего записей: 219 | Зарегистр. 26-09-2007 | Отправлено: 11:11 17-11-2008
capitannemo

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
capitannemo  
 
Можно проверить сессию пользователя - что то подобное:  
 
Цитата:EXAMPLE  
       Configuration example using the default automatic mode  
 
              external_acl_type session ttl=300 negative_ttl=0 children=1 concurrency=200 \  
%LOGIN /usr/local/squid/libexec/squid_session  
 
              acl session external session  
 
              http_access deny !session  
 
              deny_info http://your.server/bannerpage?url=%s session  
 
       Then set up http://your.server/bannerpage to display a session  startup  
       page  and then redirect the user back to the requested URL given in the  
       url query parameter.  
 
 
Добавлено:  
вот ещё есть редиректор, но не проверял... Проверь отпишись что к чему.  
http://guifi.net/en/node/14092  

 
С редиректром от guifi.net - все работает отлично.

Всего записей: 69 | Зарегистр. 10-06-2005 | Отправлено: 16:46 18-11-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lkrotish

Цитата:
необходимо прозрачно проксирование,  


Цитата:
при непрописанной проксе в браузере в лог сквида сайты пишутся посещённые.  


Цитата:
если прокся в браузере прописана

Ты сам то понял что спросил?
 

Цитата:
такое ощущение, что никакого сквида и нету.  

В церковь/мечеть/синагогу сходить и попустит...
 
capitannemo

Цитата:
С редиректром от guifi.net - все работает отлично.

Спасибо за проверку.


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 16:58 18-11-2008 | Исправлено: Ruza, 17:01 18-11-2008
lkrotish

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
Всё я понял) Окей, укорочу вопрос,
почему при прозрачном проксировании при посещении скажем несуществующего сайта не выскакивает встроенная страница ошибки сквида?

Всего записей: 219 | Зарегистр. 26-09-2007 | Отправлено: 08:04 19-11-2008
cxpoh80

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Была аналогичная ситуация, когда тестил прозрачный прокси. Кажись это особенность сквида , когда при прозрачной работе пытаешся зайти по прокси - блокирует. Точно не узнавал.

Всего записей: 44 | Зарегистр. 11-01-2008 | Отправлено: 11:02 19-11-2008
sasku



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос к спецам:
есть сетка. ходит в нет через SQUID. НО нада чтобы тем у кого прозрачный прокси - все шло как есть, а тем у кого прокси настроен в броузере - резалась реклама (с помощью url_rewrite_program)
было бы классно, если сделать для SQUID два порта (3128 - для норм прокси, 3127 - для прозрачного) и для первого резать рекламу а для второго нет.
в конфиге я указал:
http_port 3128
http_port 3127 transparent
теперь можно коннектится к любому порту, но как отключить редиректор  для второго порта ?
 
ЗЫ: вариант с двумя SQUIDами не устраивает (машинка слабовата)
 
Добавлено:
придумал )
 
 
http_port 3128
http_port 3127 transparent  
 
acl rewriteclients myport 3128
 
url_rewrite_access allow rewriteclients
url_rewrite_access deny all
url_rewrite_program /usr/local/squid/bin/ufdbgclient –l /usr/local/squid/logs
url_rewrite_children 16

Всего записей: 413 | Зарегистр. 30-05-2002 | Отправлено: 23:34 26-11-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
lkrotish
Вот же проблема то... Ну давай разбираться - с какого бодуна сквид не пихает страницу-ошибку в ответ на прозрачный запрос.
В прозрачном прокcировании браузер отправляет запрос вида:

Цитата:
  1.   соединение с сервером (HTTP порт = 80):
      connect (www.server.ru, 80)
   2. запрос файла
      GET /homepage/index.htm HTTP/1.0
      Host: www.server.ru
      Accept: *.*, */*
   3. скачивание файла

А при не прозрачном (это когда ты в браузере прописываешь прокси:порт):

Цитата:
   1.   соединение с proxy сервером (порт = 8080):
      connect (proxy.ru, 8080)
   2. запрос файла
      GET http://www.server.ru/homepage/index.htm HTTP/1.0
      Host: www.server.ru
      Accept: *.*, */*
   3. скачивание файла

Так вот ответь на такой вопрос - куда в первом случае пихать страницу не нарушая RFC?

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 08:29 29-11-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Собсна есть проблема...
Поднимаю squid, вроде сделал норм рабочий конфиг.... но беда в том, что не получается открыть 443 порт.
Постоянно появляется ошибка (113)No route to host  
 
Ещё 1 вещь, которую, думаю следует уточнить - это то, что мой squid "сидит" ещё за 1м squid'ом
Так вроде всё работает кроме этого 443 порта
вот конфиг :
 
 
http_port 3128
#https_port 443
#ssl_unclean_shutdown on
visible_hostname 10.20.10.158
icp_port 0
cache_mem 100 MB
cache_dir ufs /home/ideally/log/cache 4096 16 256
cache_peer 172.20.0.1 parent 3128 0 no-query no-digest no-netdb-exchange proxy-only
maximum_object_size 2048 KB
cache_replacement_policy heap GDSF
cache_store_log none
memory_replacement_policy heap GDSF
quick_abort_min 0 KB
quick_abort_max 10 KB
negative_ttl 1 minutes
range_offset_limit 0
access_log /home/ideally/log/access.log
cache_log /home/ideally/log/cache.log
acl localnet src 10.60.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl PURGE method PURGE
acl all src 0.0.0.0/0.0.0.0
acl noscan urlpath_regex -i \.(jpeg|gif|png|ico|swf|flv|pdf|bmp|mov|avi|rar|mp3|viv)&
http_access allow localnet
http_access allow localhost
http_access allow PURGE localhost
#http_access allow !SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny CONNECT
http_access deny PURGE
http_access deny all
http_reply_access allow all
icp_access allow all
cache_peer_access 172.20.0.1 deny noscan
#cache_mgr TIMUR@TIMUR.TIMUR
buffered_logs on
balance_on_multiple_ip on
pipeline_prefetch on
relaxed_header_parser on
 
ЗЫ: на пути в /home/ мона не обращать внимания, это чушь

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 17:21 01-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
iDeally
Вот это попробуй убрать:

Цитата:
http_access deny CONNECT  

Ты уже запретил CONNECT к не SSL строкой выше.

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:00 01-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хм. всё равно не работает... то же самое, на 80 порт норм а на 443 no route ho host
 
А проблема не может быть вызвана тем, что я сижу за ещё 1м squid? или мб из-за него и настройки этого как то по другому должны выглядеть ?)
Если не использовать мой squid, т.е. тока тот, за которым я сижу то 443 работает...

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 09:43 02-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
логи обеих сквидов покажи

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 15:06 02-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ммм, тот squid, который между мной и инетом это высшестоящая админка, к которой доступа у меня нету...
 
вот кусочек лога squid'a который поднимаю я:
 
1228142401.786    172 10.20.0.10 TCP_REFRESH_HIT/200 1327 GET http://www.trancefix.nl/images/v2/misc/right.gif - FIRST_UP_PARENT/172.20.0.1 image/gif
1228142402.036    327 10.20.0.10 TCP_MISS/200 23083 GET http://www.google-analytics.com/urchin.js - FIRST_UP_PARENT/172.20.0.1 text/javascript
1228142402.352    314 10.20.0.10 TCP_MISS/200 578 GET http://www.google-analytics.com/__utm.gif? - FIRST_UP_PARENT/172.20.0.1 image/gif
1228142402.562    209 10.20.0.10 TCP_MISS/200 4138 GET http://www.trancefix.nl/favicon.ico - FIRST_UP_PARENT/172.20.0.1 image/x-icon
1228142417.213   6717 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228142481.936   6278 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228142623.145   6262 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228199904.363    155 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228199905.752    553 10.20.0.10 TCP_MISS/302 800 GET http://ru.fxfeeds.mozilla.com/ru/firefox/headlines.xml - FIRST_UP_PARENT/172.20.0.1 text/html
1228199906.054    302 10.20.0.10 TCP_REFRESH_MISS/200 7229 GET http://newsrss.bbc.co.uk/rss/russian/news/rss.xml - FIRST_UP_PARENT/172.20.0.1 text/xml
1228199907.642   3044 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228199910.830   3016 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200057.515  42925 10.20.0.10 TCP_MISS/503 1523 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.43.101 text/html
1228200251.101     45 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200251.633     16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200252.158     16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200254.800   3019 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200260.990   9014 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200267.183     16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200270.347   3014 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200378.411     44 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200378.987     16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200382.186   3016 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200388.319   9018 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228201999.063 150408 10.20.0.10 TCP_MISS/503 1606 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/safebrowsing.clients.google.com text/html
1228205305.646    749 10.20.0.10 TCP_MISS/302 800 GET http://ru.fxfeeds.mozilla.com/ru/firefox/headlines.xml - FIRST_UP_PARENT/172.20.0.1 text/html
1228205306.941   1283 10.20.0.10 TCP_MISS/200 7266 GET http://newsrss.bbc.co.uk/rss/russian/news/rss.xml - FIRST_UP_PARENT/172.20.0.1 text/xml
1228205490.446  42335 10.20.0.10 TCP_MISS/503 1523 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.43.102 text/html
 
 
тут вроде есть и "разрешения" по 80 и "запреты" на 443й порты...

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 15:12 02-12-2008
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iDeally
Где запреты-то? Нет ни одного.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 20:09 02-12-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возьми дефолтный конфиг - он пускает

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 22:51 02-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1228200254.800   3019 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -  
 
А это не запрет?
Впрочем, даже если не запрет то при попытке обратиться на 443 порт в лог добавляется эдентичкая запись, а в браузере ошибка 113 No route to host...
Мб в силу своего незнания я думал, что это запреты, но факт остаётся фактом.. не получается дать доступ на 443 порт...

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 10:10 03-12-2008
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iDeally
TCP_MISS - означает, что объекта не было в кеше.  
TCP_DENIED - а вот он, запрет.
 
Как уже писал Ruza, убери из конфига строку:

Цитата:
http_access deny CONNECT

И всё чудесным образом заработает.
А если нет, то значит на вышестоящем прокси запрещено.
 
Добавлено:
Кстати, а к чему вообще эти городульки с каскадом прокси? Есть какой-то сакральный смысл, или просто нет другого выбора?

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 10:58 03-12-2008 | Исправлено: BONDBIG, 11:05 03-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
фактически нету другого выбора...  
с недавних времён "начальство" решило ограничить пользхование инетом и из 3х учёток ВПН оставили тока 1..
ну и что бы разделить его - решил побаловаться с squid ...
 
Я вот не знаю, пробовал коментить это строку, всё равно 443 не работает...
но если не использовать мой squid, т.е. на прямую ломиться то всё работает..
я вот не знаю, может ли быть там ограничение по клиенту? мол тот squid видит что это не браузер и блокирует 443?
 
а по поводу лога, DIRECT это не сброс ?
там же, как бы када по 80 сайты открываются, он пишет типа first_up_parent/172.20.0.1 , как я понимаю это директ на родительны йпрокси..
а по 443 DIRECT и ни слова о вышестоящим прокси... т.е. запрос "затухает" на моём squid? или нет?

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 11:50 03-12-2008 | Исправлено: iDeally, 11:53 03-12-2008
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iDeally
Извини за глупый вопрос - ты после правки конфига запускал squid -k reconfigure ?
DIRECT означает, что объект был запрошен с оригинального сервера
Таки да, твой сквид не перенаправляет CONNECT на родительский прокси.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 13:44 03-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ммм
мб и не глупый, но не знаю, я делал sudo /etc/init.d/squid restart

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 14:50 03-12-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru