Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.

SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается
Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 
// текущий бэкап шапки..
Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serdon
Ну из того что Вы привели ни чего лишнего я не вижу, некоторое даже нужно.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 22:08 04-08-2015
serdon

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
В логе Wireshark на клиенте присутствует много таких записей:

Код:
...TCP    1514    [TCP Dup ACK 373#1] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]
...TCP    1514    [TCP Dup ACK 373#2] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]
...TCP    1514    [TCP Dup ACK 373#3] 80->50426 [ACK] Seq=10039 Ack=430 Win=6432 Len=0 [ETHERNET FRAME CHECK SEQUENCE INCORRECT]
 

а потом еще и такие идут:

Код:
TCP    55    [TCP Keep-Alive] 50436->80 [ACK] Seq=1356 Ack=352 Win=63889 Len=1
TCP    55    [TCP Keep-Alive] 50432->80 [ACK] Seq=3235 Ack=1201 Win=63040 Len=1[Reassembly error, protocol TCP: New fragment overlaps old data (retransmission?)]
TCP    66    [TCP Keep-Alive ACK] 80->50436 [ACK] Seq=352 Ack=1357 Win=8136 Len=0 SLE=1356 SRE=1357

А может это delay_pools безобразничает?

Код:
delay_pools 2
delay_class 1 2
delay_class 2 1
delay_access 1 allow our_networks worktime
delay_access 1 deny all
delay_access 2 allow beforework afterwork weekend
delay_access 2 deny all
delay_parameters 1 1280000/1280000 256000/256000
delay_parameters 2 1280000/1280000

Всего записей: 15 | Зарегистр. 03-10-2005 | Отправлено: 08:34 05-08-2015 | Исправлено: serdon, 08:41 05-08-2015
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serdon
Цитата:
А может это delay_pools безобразничает?
очень маловероятно
Скорее то что у вас пакеты путаются и не могут восстановить цепочку TCP соединения.
 
А эти же клиенты без принудительного редиректа работали нормально?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 12:32 05-08-2015
serdon

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd

Цитата:
А эти же клиенты без принудительного редиректа работали нормально?

В том то и дело, что да. Стоит отключить редирект в iptables, как все прекрасно работает.
Всего записей: 15 | Зарегистр. 03-10-2005 | Отправлено: 13:04 05-08-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serdon
Цитата:
Стоит отключить редирект в iptables, как все прекрасно работает
Ваше утверждение не противоречит известным фактам. Продолжайте наблюдение.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:39 05-08-2015
serdon

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
При этом у пользователей юзающих обычный прокси проблем нет, у NAT-юзеров ходящих мимо Сквида тоже  
 
все ОК.  

Ну кое-что проясняется. Анализ в Wireshark лога tcpdump со шлюза говорит о том, что при прямом NAT стабильно идут пакеты/сегменты фиксированной длины 1412 байт:

Код:
...
3330    15.713963    192.168.11.213    80.239.149.81    TCP    60    49965->80 [ACK] Seq=1483 Ack=3041449 Win=64952 Len=0
3331    15.715973    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3078161 Ack=1483 Win=16944 Len=1412
3332    15.716347    192.168.11.213    80.239.149.81    TCP    60    49965->80 [ACK] Seq=1483 Ack=3044273 Win=64952 Len=0
3333    15.716697    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3079573 Ack=1483 Win=16944 Len=1412
3334    15.717734    80.239.149.81    192.168.11.213    TCP    1466    80->49965 [ACK] Seq=3080985 Ack=1483 Win=16944 Len=1412
...

А в случае редиректа и перехвата Сквидом начинается вакханалия:

Код:
...
72    17.212830    213.155.152.138    192.168.11.213    HTTP    1514    HTTP/1.0 200 OK  (application/octet-stream)
73    17.212834    213.155.152.138    192.168.11.213    TCP    112    80->49905 [PSH, ACK] Seq=1461 Ack=1483 Win=8760 Len=58
74    17.213421    213.155.152.138    192.168.11.213    TCP    1454    80->49905 [PSH, ACK] Seq=1519 Ack=1483 Win=8760 Len=1400
75    17.214462    192.168.11.213    213.155.152.138    TCP    60    49905->80 [ACK] Seq=1483 Ack=1519 Win=64240 Len=0
76    17.214477    213.155.152.138    192.168.11.213    TCP    1454    80->49905 [PSH, ACK] Seq=2919 Ack=1483 Win=8760 Len=1400
...
124    17.331088    192.168.11.213    213.155.152.138    TCP    60    49905->80 [ACK] Seq=1483 Ack=40719 Win=64240 Len=0
125    17.331107    213.155.152.138    192.168.11.213    TCP    5894    80->49905 [ACK] Seq=51919 Ack=1483 Win=8760 Len=5840
126    17.331114    213.155.152.138    192.168.11.213    TCP    1214    80->49905 [PSH, ACK] Seq=57759 Ack=1483 Win=8760 Len=1160
127    17.333505    192.168.11.213    213.155.152.138    TCP    60    49905->80 [ACK] Seq=1483 Ack=43519 Win=64240 Len=0
...
229    17.524311    192.168.11.213    213.155.152.138    TCP    60    49905->80 [ACK] Seq=1483 Ack=187759 Win=64240 Len=0
230    17.524332    213.155.152.138    192.168.11.213    TCP    20494    80->49905 [ACK] Seq=230199 Ack=1483 Win=8760 Len=20440
231    17.526771    192.168.11.213    213.155.152.138    TCP    60    49905->80 [ACK] Seq=1483 Ack=190679 Win=64240 Len=0
232    17.537963    192.168.11.213    213.155.152.138    TCP    66    49905->80 [ACK] Seq=1483 Ack=192139 Win=64240 Len=0 SLE=196519 SRE=197979
233    17.537980    213.155.152.138    192.168.11.213    TCP    1514    80->49905 [ACK] Seq=250639 Ack=1483 Win=8760 Len=1460
234    17.539133    192.168.11.213    213.155.152.138    TCP    66    [TCP Dup ACK 232#1] 49905->80 [ACK] Seq=1483 Ack=192139 Win=64240 Len=0 SLE=196519 SRE=199439
235    17.539148    213.155.152.138    192.168.11.213    TCP    1514    [TCP Retransmission] 80->49905 [ACK] Seq=192139 Ack=1483 Win=8760 Len=1460
...

Что это может быть?
Всего записей: 15 | Зарегистр. 03-10-2005 | Отправлено: 14:27 06-08-2015 | Исправлено: serdon, 14:30 06-08-2015
Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serdon
Len это скорее всего длинна TCP пакета, а не Ethernet Frame'а.
Почему в первом случае он фрагментирован, а во втором нет, точно сказать не могу.

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 18:41 07-08-2015
OOD

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день подскажите пожалуйста.
Перестали работать политики безопасности AD, в которых прописывались настройки для пользователей, а именно хосты в IE в группе :"не использовать прокси-сервер для адресов, начинающихся с:"
Можно ли как то на SQUID прописать эти адреса?
У пользователей в IE уже прописан нужный айпи адрес SQUID и порт, а вот сам список сложно всем настраивать и актуализировать....
Всего записей: 3379 | Зарегистр. 20-05-2006 | Отправлено: 14:00 17-08-2015
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OOD Нет,  разбирайся с политиками. Смотри результирующие политики на раб станции:
gpresult /R
rsop.msc
Проанализируй ошибки в системных журналах.
Как вариант, можешь импортировать ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings, например в логон-скрипте командой reg.exe  
https://support.microsoft.com/ru-ru/kb/819961
тебе нужно добавить изменить параметр ProxyOverride
 
P.S.
Один админ писал, что  политики для IE нормально применяются только для Windows XP
 
http://inkvizitor-windows.blogspot.ru/2014/06/microsoft-windows-xp-ie-78.html

Код:
 
 
    Через общие параметры для IE политики нормально применяются только для Windows XP;
    Параметр ProxyServer лучше задавать единым - один прокси для всех протоколов, поскольку могут возникнуть проблемы с прокси из-за наличия параметров для протокола Gopher;
    При настройке параметров IE через консоль GPO - Конфигурация пользователя/Настройка/Параметры панели управления/Параметры обозревателя, файл настроек создается, но... параметры ProxyOverride, ProxyEnable, StartPage, несмотря на то, что необходимые значения им присвоены, они имеют статус disabled... Это справедливо для настроек IE 7 и IE 8. Вылечить это можно выяснив UID политики, зайти по нужному пути: ...\SYSVOL\sysvol\YourDomain\Policies\{UID политики, который выяснили чуть ранее}\User\Preferences\InternetSettings\ и поправить файл InternetSettings.xml у нужных параметров поменять disable с 1 на 0. Это можно сделать в обычном текстовом редакторе.
    Для того, чтоб параметры IE 8 применялись для IE 9 и выше, необходимо найти: min="8.0.0.0" max="9.0.0.0 и поменять 9 на, например, 20 или выше - политика станет применяться для IE 9-11.
    ProxyOverride применяется (во всяком случае у меня так) при отсутствии в адресах следующих символов: : / \ * (пробел здесь использован в качестве разделителя).
 



----------
В сортире лучше быть юзером, чем админом...
Всего записей: 11740 | Зарегистр. 10-12-2003 | Отправлено: 14:26 17-08-2015 | Исправлено: ipmanyak, 14:24 19-08-2015
gekm

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Друзья! Очень нужна помощь! Хочу с помощью squid3+AD+skydns разделить пользователей, чтобы пользователи в AD группе "wrong" ходили в интернет через skydns, а в группе "right" через googledns (или любой другой). Привязал acl сквида к группам AD, получилось так:
 
dns_nameservers 193.58.251.251 8.8.8.8
 
acl auth proxy_auth REQUIRED
acl right external memberof ".../right.txt" (привязка к группе в AD)
acl wrong external memberof ".../wrong.txt" (привязка к группе в AD)
acl skydns dst 193.58.251.251 (ip адрес skydns)
 
http_access allow wrong auth localnet (разрешить группе wrong ходить через skydns)
http_access deny skydns (запретить skydns ПО ОЙПИ)
http_access allow right auth localnet (разрешить группе right ходить везде кроме skydns)
 
 
В итоге группа right все-равно резолвит адреса через 193.58.251.251, а блокируется этот адрес сквидом только если вбить его в браузере. Как запретить группе right доступ к 193.58.251.251?
Всего записей: 1 | Зарегистр. 08-04-2014 | Отправлено: 18:35 27-08-2015 | Исправлено: gekm, 18:41 27-08-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gekm
Цитата:
чтобы пользователи в AD группе "wrong" ходили в интернет через skydns,  
а в группе "right" через googledns (или любой другой)
Да где же ты такое прочел? ДНС у сквида один на всех, либо системный, либо назначенный в конфиге.
Акцесс-листов для разных ДНС разным юзерам пока не придумали. Ты - первый.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 19:07 27-08-2015
redson



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто нибудь пробовал Sonar, это совершенно новый веб-интерфейс для прокси-сервера Squid ??? Адрес sonar-squid.ru.
Всего записей: 1336 | Зарегистр. 23-04-2007 | Отправлено: 12:08 04-09-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson
Цитата:
это совершенно новый веб-интерфейс для прокси-сервера Squid
А зачем он вообще нужен? Squid не пользовательская программа, а демон.
Один раз сконфигурил его - и забыл. У меня на 3.5 до сих пор старый конфиг от 2.7 работает  
(с незначительными правками в старом добром vi).

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 14:47 04-09-2015
redson



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
А зачем он вообще нужен? Squid не пользовательская программа, а демон.  
Один раз сконфигурил его - и забыл. У меня на 3.5 до сих пор старый конфиг от 2.7 работает  
(с незначительными правками в старом добром vi).  

раньше, так и делал. но когда часто приходится удалять или заводить пользователей, это не очень удобно
Всего записей: 1336 | Зарегистр. 23-04-2007 | Отправлено: 20:09 04-09-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson
Цитата:
но когда часто приходится удалять или заводить пользователей
??!! SQUID  то здесь каким боком? Обычно это делает хелпер,  
который работает либо с АД, либо с какой-то базой.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 23:34 04-09-2015
redson



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
??!!  SQUID  то здесь каким боком? Обычно это делает хелпер,  
который работает либо с АД, либо с какой-то базой.

у меня настроена прозрачная авторизация (kerberos), скриптом забираю учетку из АД, и добавляю в локальную базу (mysql). учетки у нас не заводят хелперы
Всего записей: 1336 | Зарегистр. 23-04-2007 | Отправлено: 11:43 05-09-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson
Цитата:
учетки у нас не заводят хелперы
Они их нигде не заводят, только проверяют.
А что, разве Sonar и учетки сам заводит? Кроме правки squid.conf?


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 13:13 05-09-2015
redson



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
А что, разве Sonar и учетки сам заводит? Кроме правки squid.conf?  

Sonar еще не щупал
Всего записей: 1336 | Зарегистр. 23-04-2007 | Отправлено: 13:17 05-09-2015
mihmig

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson
wget http://sonar-squid.ru/download/sonar-0-1-1/
--2015-09-07 17:30:26--  http://sonar-squid.ru/download/sonar-0-1-1/
Распознаётся sonar-squid.ru (sonar-squid.ru)… 185.27.134.217
Подключение к sonar-squid.ru (sonar-squid.ru)|185.27.134.217|:80... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 403 Forbidden
2015-09-07 17:30:27 ОШИБКА 403: Forbidden.
Всего записей: 276 | Зарегистр. 25-09-2007 | Отправлено: 17:31 07-09-2015
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mihmig
Цитата:
HTTP-запрос отправлен. Ожидание ответа... 403 Forbidden
А у меня обычным броузером нормально  скачалось  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 17:49 07-09-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru