Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
конфиг от squid-2.7.8
 
http_port 3128
http_port 127.0.0.1:8080 transparent
 
Ты ему рассказал , что это не просто порт, а транспарент? у меня 3128 - для обычного проксирования через настройки клиента, а на 8080 он принимает трафик из локалки, завернутые фаерволом.
 
Добавлено:
Увидел только что твой конфиг - у тебя действительно нет этой опции.
 
сделай как я написал.
 
З.Ы. проблема в том, что через transparent не будет работать ssl, в итоге https тебе придется либо пускать через нат, либо вручную прописывать настройки на клиентах.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 18:48 16-04-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
to Alukardd

Цитата:
Поднял я Squid и решил, что когда настрою, то будет использовано по средствам iptables прозрачное проксирование...

Вначале определитесь зачем Вам вообще нужен сквид? Резать порно, баннеры, делить канал и проч. исключительно HTTP траффика?...
 
Если он будет прозрачным, то зачем Вам вот эти инструкции:

Цитата:
acl Safe_ports port 21        # ftp  
acl Safe_ports port 443        # https  
acl Safe_ports port 70        # gopher  
acl Safe_ports port 210        # wais  
acl Safe_ports port 280        # http-mgmt  
acl Safe_ports port 488        # gss-http  
acl Safe_ports port 591        # filemaker  
acl Safe_ports port 777        # multiling http  
acl Jabber_ports port 5222 #jabber  
acl Pop_ports port 110 #pop  
acl Smtp_ports port 25 #smtp  
acl Icq_ports port 5190 #ICQ
http_access allow CONNECT Jabber_ports  
http_access allow CONNECT Icq_ports  
http_access allow CONNECT Pop_ports  
http_access allow CONNECT Smtp_ports  

 
Добавьте инструкцию Вашему прокси, что он прозрачный, заменив http_port 192.168.0.2:3128 на  

Код:
http_port 3128 transparent

 
И в фаерволе заверните 80 порт на порт прокси 3128:

Код:
#Заворачиваем весь остальной трафик по 80 порту на SQUID
$IPT -t nat -A PREROUTING -i eth1 -p tcp -s $INTNET -d ! 192.168.1.1 -m multiport --dport 80 -j REDIRECT --to-port 3128

 
Только воткните это правило в нужное место с нужными интерфейсами.
 
 

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 12:43 17-04-2010 | Исправлено: DemonWather, 12:52 17-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
DemonWather
эм вы кажется не оч внимательно читали или не совсем поняли что я щас делаю...
 
про Safe_ports вы действительно правы - извините но привычка полноценного прокси еще не ушла...
 
а про порты так я и не понимаю в чём проблема... я же вам написал что при тестировании проксика я не использую прозрачное проксирование, а прописываю адрес и порт проксика непосредственно в браузере клиента!!! и в такой ситуации разве не так должно быть? http_port 192.168.0.2:3128 - т.е. слушаем только внутренний интерфейс на порту 3128??? функция transparent нужна ведь только для lo интерфейса ну или если сам хочешь работать локально через проксик...
поправьте если я где не прав...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 20:51 17-04-2010 | Исправлено: Alukardd, 20:51 17-04-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
. Поднял я Squid и решил, что когда настрою, то будет использовано по средствам iptables прозрачное проксирование...  

а это типа зачем написано ?

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 21:22 17-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua
Цитата:
а это типа зачем написано ?  
эт на будущее) это правило пока отключено в iptables... я просто описывал уже всё до кучи вот и написал в потоке мыслей... там же написано, что буду использовать когда настрою... а пока вотЪ он не пашет даже просто так... завтра попробую включить правило и прописать transparent
 
так что скажете про отсутствие ответа от SQUID'а???

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 00:08 19-04-2010 | Исправлено: Alukardd, 00:09 19-04-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
to Alukardd
Проверьте что у вас указано в файле /etc/resolv.conf
DNS указаны?
 
Включите опцию:

Код:
debug_options ALL,1 28,9

и посмотрите логи..

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 10:02 19-04-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
он с дефольтным конфигом работает - надо только кеш создать
 
squid -z
 
и все. Я вообще отключаю кеш навсегда
 
cache_dir null /tmp
 
от него толку нынче как с козла молока.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:32 19-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DemonWather
DNS все указаны аж 5 штук, на все случаи жизни хватит...
что значат эти цифры в debug_option??? у меня пишет при рестарте, что они не правильны... на лббой debug_option так ругается походу... пробывал еще ALL,1 32,2 и ALL,6...
и кстати почему у меня часть процессов с именем squid3 запущены от имени root, а часть от имени proxy???
и еще логи-то какие смотреть???смотрел  /var/log/squid3/ тут логи cache.log access.log store.log ну и были еще с именаим .1 и .2.gz - я всё вычистил что б не путались старые... - инфа есть только в cache.log. Также есть файл access.log в /etc/squid3/logs - он пуст...
 
Добавлено:
щас попробовал написать так
http_port 192.168.0.2:3128
http_port 3129 transparent
 
соответственно выполнив "netstat -nl" видим, что он честно слушает 3128 и 3129 порты... также в логе cache.log видно что запуск прошёл успешно...
 
далее дописал
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3129
 
пробывал стучаться просто на 80 порт без всяких настроек клиента, и пробывал с прописанным проксиком на порт 3128 результата ни в том ни в другом случае ни какого... логи все чисты инета нету...
 
Добавлено:
после еще часа тырканей я всё-таки сошёлся на мысли, что SQUID просто не знает где у компа инет находится...
 
по поведению системы вроде как можно сказать, что SQUID запосы от клиента принимает, но инет не видит... Странно в этом умозаключение только одно - это то, что ответ не приходит от SQUID'а, а просто пишет IE, что невозможно отобразить страницу...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 13:07 19-04-2010 | Исправлено: Alukardd, 15:02 19-04-2010
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
после еще часа тырканей я всё-таки сошёлся на мысли, что SQUID просто не знает где у компа инет находится...  

На сколько я понимаю squid'у пох где инет он системный основанный на маршрутах и iptable'цах/pf'ах использует.
Мож у тебя localhost заблокирован или что то ещё.
 
И потом с правилами если оно не изменилось то оно на клиентской машине и работать не будет:

Цитата:
#  TAG: http_access
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
 
http_access deny blockfiles
http_access deny blockregexurl
http_access deny blocksites
http_access deny ads
http_access deny adult
http_access deny aggressive
http_access deny audio-video
http_access deny drugs
http_access deny forums
http_access deny gambling
http_access deny hacking
http_access deny mail
http_access deny porn
http_access deny proxy
http_access deny violence
http_access deny warez
 
http_access allow CONNECT Jabber_ports
http_access allow CONNECT Icq_ports
http_access allow CONNECT Pop_ports
http_access allow CONNECT Smtp_ports  
 
http_access allow localhost
 
http_access deny all

Ты клиентскую машину видишь, а она есть, не?

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:56 19-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
видят они друг друга прекрасно и она пашет через него как через NAT сервер...
 
поправь правила блокировки плз, я лично не вижу в них косяка...
 
а да там щас стоит последней строчкой http_access allow all... если ты об этом... нет это не спасло...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 18:14 19-04-2010
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alukardd
Скрипт iptables, route -n, последний squid.conf, где? А то не найду силой мысли...

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 18:33 19-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
squid.conf
route -n
Код:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x1.y1.z1.w1   0.0.0.0         255.255.255.248 U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         x2.y2.z2.w2   0.0.0.0         UG    0      0        0 eth2
 
,где x1.y1.z1.w1 - адрес выданного мне диапазона внешних адресов. x2.y2.z2.w2 - первый адрес из этого диапазона используемый шлюзом как GateWay. Соответсвенно eth1 смотрит в локалку, а eth2 в инет...
вот вывод команды iptables-save ( соответственно при загрузке if-up.d выполняется скрипт с iptables-restore )
Код:
# Generated by iptables-save v1.4.2 on Fri Mar 26 19:48:17 2010
*nat
:PREROUTING ACCEPT [192:18799]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d x.y.z.w/32 -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.5  
-A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to-source x.y.z.w
COMMIT
# Completed on Fri Mar 26 19:48:17 2010
# Generated by iptables-save v1.4.2 on Fri Mar 26 19:48:17 2010
*filter
:INPUT ACCEPT [2329:193452]
:FORWARD DROP [5:300]
:OUTPUT ACCEPT [37:1480]
-A FORWARD -i eth1 -o eth2 -j ACCEPT  
-A FORWARD -i eth2 -o eth1 -j ACCEPT  
COMMIT
# Completed on Fri Mar 26 19:48:17 2010
,где x.y.z.w мой внешник из диапазона выданного провом.
 
P.S. мб стоит просто прописать tcp_outgoing_address x.y.z.w и оно само заработает?

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 19:26 19-04-2010 | Исправлено: Alukardd, 19:31 19-04-2010
AnDySs1

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а кто такой  

Цитата:
192.168.0.5  

 на который днатится  снаружи 80-й порт?  
и зачем  

Цитата:
#  TAG: http_port
http_port 192.168.0.2:3128
http_port 3129 transparent  


Всего записей: 1426 | Зарегистр. 04-11-2004 | Отправлено: 22:24 19-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AnDySs1
я думал тут на мои вопросы ответят, а не свои зададут...)
 
думаю совсем не сложно догадаться на кого в сетке DNAT'ится 80-й порт... как ни странно - это web-сервер - кстати не проверял работает или нет... т.к. щас сеть использует в качестве шлюза D'Link DIR-300, и всеми вопросами маршрутизации занимается он. А что бы проверить DNAT надо что бы комп 192.168.0.5 использовал в качестве шлюза именно 192.168.0.2 иначе в одну сторону преобразование он делает, а ответ получает D'Link и не знает что с ним делать...
 
а что касается http_port так тут уже выше все рассказали...
http_port 192.168.0.2:3128  - слушает локальный интерфейс на 3128 порту
http_port 3129 transparent - для использования прозрачного проксирования по средствам iptables -j REDIRECT, а на разные порты потому, что чё-то когда все на 3128 понаписал он при запуске сильно ругался, ну мне не впадлу - я разнёс на разные...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:42 19-04-2010 | Исправлено: Alukardd, 22:45 19-04-2010
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
/etc/init.d/iptables stop
 
и проверяй работу сквида, так как ты делаешь - никто не делает.
 
Это было первое.
 
Второе - не надо править дефолтный конфиг, он изначально рабочий, надо всего лишь создать кеш через squid -z или просто его отключить, все , больше конфигурить ничего не надо.
 
и третье. Если сквид не видит интернета он так и пишет - обратитесь к кеш-мастеру, но никак не невозможно отобразить страницу. Это сообщение ИЕ и это значит, что до сквида он попросту не добрался.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 23:26 19-04-2010
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Это сообщение ИЕ и это значит, что до сквида он попросту не добрался.

 
А как ему бедолаге добраться когда оно ужо как бы и не локальный, Alukardd, не?

Цитата:
-A POSTROUTING -s 192.168.0.0/16 -o eth2 -j SNAT --to-source x.y.z.w  

Мож так его попустит:
-A POSTROUTING -s 192.168.0.0/16 ! -d 192.168.0.0/16 -o eth2 -j SNAT --to-source x.y.z.w  
А уже потом дойдём и до конфига сквида...

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 23:49 19-04-2010
DemonWather



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
/etc/init.d/iptables stop

Абсолютно дельная мысль. А лучше чтобы в процедурке stop было что то вроде вот такого:

Код:
 
              $IPT -P INPUT ACCEPT
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT ACCEPT
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT
    $IPT -t nat -P OUTPUT ACCEPT
    $IPT -t mangle -P PREROUTING ACCEPT
    $IPT -t mangle -P OUTPUT ACCEPT
 
    $IPT -F
    $IPT -t nat -F
    $IPT -t mangle -F
 
    $IPT -X
    $IPT -t nat -X
    $IPT -t mangle -X
 

И раз все остальное работает, то носом чую - вся проблема у Вас именно в Вашем фаерволе... Покажите пожалуйста весь скрипт iptables...

Всего записей: 112 | Зарегистр. 07-02-2006 | Отправлено: 00:01 20-04-2010
AnDySs1

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd

Цитата:
умаю совсем не сложно догадаться на кого в сетке DNAT'ится 80-й порт

доступ из локалки не нужен ?
 
  http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
 

Цитата:
http_port 192.168.0.2:3128  - слушает локальный интерфейс на 3128 порту
http_port 3129 transparent - для использования прозрачного проксирования по средствам iptables -j REDIRECT, а на разные порты

 
???????
 
ЗЫ  
https://technichristian.net//firewall-config/index.php

Всего записей: 1426 | Зарегистр. 04-11-2004 | Отправлено: 08:11 20-04-2010 | Исправлено: AnDySs1, 08:12 20-04-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AnDySs1
ваш пост я вообще не понял к чему... как действует iptables и DNAT мне известно...
 
DemonWather
то что я показал и есть весь скрипт iptables если вы хотите что-то еще, то укажите конкретнее...
 
tankistua
щас попробую застопить... отпишусь как только так сразу...
 
Добавлено:
написал
iptables -F
iptables -t nat -F
проверил правила чисты - SNAT рабоу прекратил инет пропал... проверил что squid по прежнему слушает порт попробывал постучаться - результат тот же...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:32 20-04-2010 | Исправлено: Alukardd, 12:37 20-04-2010
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alukardd
telnet 192.168.0.2 3128
с сервера и клиентской машины выполни...

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 14:59 20-04-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru