Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.

SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается
Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 
// текущий бэкап шапки..
Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ohlos

Цитата:
Cache Manager menu
 
                Hostname       Hash Multiplier     Factor     Actual
 
Generated Wed, 06 May 2009 13:20:00 GMT, by cachemgr.cgi/3.0.STABLE15@gw.domain.com

Local time 16:20
Запись в cache.log

Цитата:
2009/05/06 16:20:00| CACHEMGR: manager@127.0.0.1 requesting 'carp'

 
Nickolas1979
POST+NTLM запросы довольно сложная проблема, я задолбался танцевать с бубном вокруг ntlm и разрешил без авторизации...
Если посмотреть access.log то при GET идёт 2 раза TCP_DENIED/407 потом TCP_MISS/200 (специфика ntlm), а при PUT/POST в большинстве случаев 3-й запрос авторизации не отправляется...
Советуют:

Цитата:
       If you experience problems with PUT/POST requests when using the
       Negotiate authentication scheme then you can try setting this to
       off. This will cause Squid to forcibly close the connection on
       the initial requests where the browser asks which schemes are
       supported by the proxy.
 
       auth_param ntlm keep_alive on

Но мне не помогло...

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:27 06-05-2009 | Исправлено: Ruza, 17:29 06-05-2009
Nickolas1979

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а ессть ли возможность при NTLM авторизации, создать какой нибудь acl со списком сайтов для которых не будет проходить авторизация, ни NTLM, ни BASIC?
Всего записей: 8 | Зарегистр. 13-02-2007 | Отправлено: 09:52 07-05-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Nickolas1979
Конечно есть...

Цитата:
acl ourproxyusers external nt_group ourproxyusers
acl ourproxyusers_full external    nt_group ourproxyusers_full
acl ourproxyusers_hr external nt_group ourproxyusers_hr
acl ourproxyusers_limited external nt_group ourproxyusers_limited
acl OFFICE proxy_auth REQUIRED  
.........
acl HZ dstdomain "/etc/squid/HZ.txt"
..........
http_access allow HZ
...............
http_access    allow    ourproxyusers_limited    allow_limited_url
http_access    allow    ourproxyusers
http_access    deny    all  

 
 
 
 

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 16:19 07-05-2009
Nickolas1979

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Огромное спасибо вам Ruza за помощь.. Но немного повозившись с методом POST у меня все таки заработала почта, стали прикрепляться вложения, окно авторизации больше не появляеться. В конфиг добавил строчки:
 
acl localnet src 192.168.10.2/255.255.255.0
acl post method POST
http_access allow post localnet  
 
а по поводу того что у меня размер кэша прописан 5г, а реально папка с кэшем занимает 18г, это нормально? И процент попадания в кэш, средний 25-30%?
 
Всего записей: 8 | Зарегистр. 13-02-2007 | Отправлено: 16:39 07-05-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Nickolas1979

Цитата:
Но немного повозившись с методом POST у меня все таки заработала почта, стали прикрепляться вложения, окно авторизации больше не появляеться. В конфиг добавил строчки:
 
acl localnet src 192.168.10.2/255.255.255.0
acl post method POST
http_access allow post localnet  

Хм... Ну так ты разрешил метод POST без авторизации - я тож похоже сделал...
 

Цитата:
а по поводу того что у меня размер кэша прописан 5г, а реально папка с кэшем занимает 18г, это нормально?  

А с чего ты взял что у тебя 5 гиг? Из твоего конфига видно:

Цитата:
cache_dir ufs /squid/cache/ 50000 64 512  

 
А теперь читаем что в доке написано:

Цитата:
cache_dir ufs Directory-Name Mbytes L1 L2 [options]

 

Цитата:
И процент попадания в кэш, средний 25-30%?  

% попадания в кеш - это довольно эмпирический показатель...


----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 10:17 08-05-2009
bga83



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
немного туплю: задача сделать так чтобы активность ряда компов не попадала в лог
 
сделал так :
 
acl No_Logs src "/usr/local/etc/squid/acl/no_logs.acl"
access_log none No_Logs
access_log /var/log/squid/access.log squid
 
Однако в лог по прежнему идет вся информация, сквид естественно перезапускал. В чем проблема?  
Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено: 18:57 14-05-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bga83
Вроде ещё вот это есть:

Цитата:
#  TAG: log_access      allow|deny acl acl...
#       This options allows you to control which requests gets logged
#       to access.log (see access_log directive). Requests denied for
#       logging will also not be accounted for in performance counters.
#
#Default:
# none


----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 19:55 14-05-2009
bga83



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
Спасибо
Заработало в таком виде:  
acl No_Logs src "/usr/local/etc/squid/acl/no_logs.acl"
access_log /var/log/squid/access.log squid
log_access deny  No_Logs
log_access allow all
 
Хотя не совсем понятно почему первый вариант не работал, ведь судя по описанию директива access_log так же поддерживает acl
Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено: 13:57 15-05-2009
prestigo

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а есть ли какое-то графическое средство для просмотра содержимого кеша? чтобы его можно было увидеть хотя бы как содержимое папки кеша Internet Explorer - т.е. картинки в виде картинок, а не непонятных файлов с неизвестными названиями и расширениями...
Всего записей: 314 | Зарегистр. 03-09-2006 | Отправлено: 19:29 15-05-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
prestigo
Сам не пробовал - наткнулся на опеннете...
http://www.wa.apana.org.au/~dean/sources/

Цитата:
purge - magnifying glass into your squid-2 cache - Утилита для просмотра URL'ей сохраненных в кэше прокси сервера squid и вытаскивания файлов из кэша (в том числе по маске).


----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:39 16-05-2009 | Исправлено: Ruza, 17:40 16-05-2009
kharkovmax

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый.
 
Под freebsd 7.1 поставил squid 3 и unbound.
 
Первое время все было нормально, а теперь сквид не пускает на некоторые сайты (наиболее часто посещаемые)
Напрямую все работает.
 
Можете подсказать в чем может быть проблема ?
Всего записей: 188 | Зарегистр. 26-03-2008 | Отправлено: 14:26 24-05-2009
BONDBIG

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kharkovmax
Телепаты на Бали загорают.
Что в логах? access.log, cache.log
Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 17:33 24-05-2009
StiffR

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не могу понять в чём дело...
ситуация следующая.  
 
конфиг

Код:
 
acl all src 0.0.0.0/0.0.0.0
acl our_networks src 192.168.0.0/31
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object
acl QUERY urlpath_regex cgi-bin \?
acl apache rep_header Server ^Apache
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access allow our_networks
http_reply_access allow all
broken_vary_encoding allow apache
icp_access allow all
miss_access allow all
reply_body_max_size 0 allow all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost
follow_x_forwarded_for deny all
ident_lookup_access deny all
cache deny QUERY
http_access deny all
snmp_access deny all  

 
При конекте с 192.168.0.2(клиента) пишет, что The requested URL could not be retrieved.  Access  Denied. Access control configuration prevents your request from being allowed at this time.
 
При этом в access.log.  

Код:
 
1244480875.185     40 192.168.0.2 TCP_DENIED/403 1412 GET http://google.com/ - NONE/- text/html
1244481040.512    116 192.168.0.2 TCP_DENIED/403 1412 GET http://google.com/ - NONE/- text/html
 

В cache.log

Код:
 
2009/06/08 21:45:49| Preparing for shutdown after 0 requests
2009/06/08 21:45:49| Waiting 30 seconds for active connections to finish
2009/06/08 21:45:49| FD 15 Closing HTTP connection
2009/06/08 21:45:49| Shutting down...
2009/06/08 21:45:49| FD 16 Closing ICP connection
2009/06/08 21:45:49| Closing unlinkd pipe on FD 13
2009/06/08 21:45:49| storeDirWriteCleanLogs: Starting...
2009/06/08 21:45:49|   Finished.  Wrote 0 entries.
2009/06/08 21:45:49|   Took 0.0 seconds (   0.0 entries/sec).
CPU Usage: 0.016 seconds = 0.012 user + 0.004 sys
Maximum юResident Size: 0 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
        total space in arena:    2140 KB
        Ordinary blocks:         2009 KB      4 blks
        Small blocks:               0 KB      4 blks
        Holding blocks:           280 KB      1 blks
        Free Small blocks:          0 KB
        Free Ordinary blocks:     130 KB
        Total in use:            2289 KB 95%
        Total free:               131 KB 5%
2009/06/08 21:45:49| logfileClose: closing log /var/log/squid/store.log
2009/06/08 21:45:49| logfileClose: closing log /var/log/squid/access.log
 

В  
 
Добавлено:
Запостил, и сразу нашёл...методом тыка...
Вобщем дело было в http_access deny all .
Честно, думал что  
acl our_networks src 192.168.0.0/31  
http_access allow our_networks  
перекрывает  
acl all src 0.0.0.0/0.0.0.0  
http_access deny all
Всего записей: 1 | Зарегистр. 08-06-2009 | Отправлено: 21:49 08-06-2009
sinakxz



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вообще то согласно мануалу лучше вместо:
...
acl our_networks src 192.168.0.0/31
...
написать:
...
acl our_networks src 192.168.0.0/24
...
Всего записей: 95 | Зарегистр. 08-05-2008 | Отправлено: 22:07 08-06-2009
tankistua

Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
/31 /24 - этов се голишь разные маски
http://novikov.ua/articles/web-secrets/6768/
 
192.168.0.0/31 = 192.168.0.0/255.255.255.254  - вот и все.
 
Добавлено:

Цитата:
При конекте с 192.168.0.2(клиента) пишет, что The requested URL could not be retrieved.  Access  Denied. Access control configuration prevents your request from being allowed at this time.

ну при сети 192.168.0.0/31 так и должно было быть.
Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 00:47 09-06-2009
kirsm

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
имею настроенную связку squid-2.6.21 + rejik + ntlm_auth
в режике режем айпи адреса (pcre)
 
задача: разрешить skype
 
пытаюсь делать через такой конфиг:
 
===
acl SSL_ports port 443
acl Skype_UA browser ^skype^
acl CONNECT method CONNECT
 
http_access deny CONNECT !SSL_ports
 
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
url_rewrite_children 100
url_rewrite_access allow !Skype_UA
 
http_access allow CONNECT Skype_UA all
 
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers
 
http_access deny all
===
 
однако режик репортует что скайп все-равно лезет через него.
 
вопрос: это я дурак и правила не правильно пишу, или url_rewrite_access ничего про тип browser не знает ?
 
ПыСы: играться доступом к редиректору пробовал, в случае dst/src работает.
Всего записей: 3 | Зарегистр. 22-06-2009 | Отправлено: 16:38 22-06-2009
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Скайп и аську все-таки лучше пускать через НАТ.
Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 23:39 22-06-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kirsm
Покажи весь конфиг, логи режика и access.log на момент подключения skype.

----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 07:25 23-06-2009
kirsm

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Скайп и аську все-таки лучше пускать через НАТ.

что даст огромнейшую дыру в безопасности, отклоняем.
 

Цитата:
Покажи весь конфиг, логи режика и access.log на момент подключения skype.

=== squid.conf ===
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin \?
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 483 563 15100
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 483 563
acl Safe_ports port 70
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT
acl 4dk dstdomain .4dk.ru
acl eset dstdomain .eset.com
acl lgn dstdomain .lgn.ru
acl apple dstdomain .apple.com
acl itunes dstdomain .itunes.com
acl edgesuite dstdomain .edgesuite.com
acl mosnalog dstdomain .mosnalog.ru
acl Skype_UA browser ^skype^
 
no_cache deny QUERY
 
http_access allow manager localhost
http_access deny manager
 
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow 4dk
http_access allow eset
http_access allow lgn
http_access allow apple
http_access allow itunes
http_access allow edgesuite
http_access allow mosnalog
http_reply_access allow all
 
icp_access allow all
 icon_directory /usr/local/etc/squid/icons
 error_directory /usr/local/etc/squid/errors/Russian-1251
 
http_port 192.168.0.1:3128
cache_dir ufs /var/spool/squid 41920 16 256
cache_effective_group squid
cache_effective_user squid
 
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
url_rewrite_children 100
url_rewrite_access allow !Skype_UA
 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 70
 
http_access allow CONNECT Skype_UA all
 
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers
 
http_access deny all
=== squid.conf ===
 
=== redirecdor.log ===
2009-06-22 17:41:14 IP: 192.168.2.21 test_ii 76.101.26.238:443 (pcre rule#: 1)
2009-06-22 17:41:40 IP: 192.168.2.21 test_ii 64.234.215.96:443 (pcre rule#: 1)
2009-06-22 17:42:08 IP: 192.168.2.21 test_ii 204.14.159.203:443 (pcre rule#: 1)
2009-06-22 17:42:33 IP: 192.168.2.21 test_ii 72.222.181.67:443 (pcre rule#: 1)
2009-06-22 17:42:34 IP: 192.168.2.21 test_ii 65.184.202.188:443 (pcre rule#: 1)
=== redirector.log ===
 
=== access.log ===
1245678128.017    903 192.168.2.21 TCP_DENIED/407 1847 CONNECT 204.14.159.203:443 - NONE/- text/html
1245678128.123      6 192.168.2.21 TCP_MISS/404 0 CONNECT 204.14.159.203:443 test_ii DIRECT/- -
1245678153.712     31 192.168.2.21 TCP_DENIED/407 1844 CONNECT 72.222.181.67:443 - NONE/- text/html
1245678153.814     16 192.168.2.21 TCP_MISS/404 0 CONNECT 72.222.181.67:443 test_ii DIRECT/- -
1245678154.426     17 192.168.2.21 TCP_DENIED/407 1847 CONNECT 65.184.202.188:443 - NONE/- text/html
1245678154.528     41 192.168.2.21 TCP_MISS/404 0 CONNECT 65.184.202.188:443 test_ii DIRECT/- -
=== access.log ===
 
возникают смутные сомнения, что со строкой типа браузера меня, мягко говоря, накололи ?
если так, то что народ может предложить ?
Всего записей: 3 | Зарегистр. 22-06-2009 | Отправлено: 10:29 23-06-2009 | Исправлено: kirsm, 10:30 23-06-2009
Ruza



Gold Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kirsm
1. Перепиши url_rewrite_access deny Skype_UA
2. Попробуй включить user-agent.log (посмотришь что говорит скайп)
3. И проверь через эту директиву:

Цитата:
#acl aclname req_header header-name [-i] any\.regex\.here
# regex match against any of the known request headers.  May be
# thought of as a superset of "browser", "referer" and "mime-type"
# ACLs.



----------
Fools rush in where angels fear to tread.
Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 11:02 23-06-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru