Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
mihmig

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
В том-то и дело что браузером нормльно, а на системе wget-от - нет.
 
 
Мне пришлось ещё выполнить команды
a2enmod actions
a2enmod cgi

Всего записей: 276 | Зарегистр. 25-09-2007 | Отправлено: 19:40 07-09-2015
gap5



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите по delay pools, можно ли реализовать ограничение скорости с разным приоритетом?
 
Дано несколько клиентских ACL:
LOW_SPEED (192.168.50.0/24)
MEDIUM_SPEED (192.168.35.0/24)
HIGH_SPEED (192.168.25.0/24)
 
Общая ширина канала 10 мбит.
 
Варианты:
 
1) Пользователи из high_speed могут утилизировать не более 8 мегабит, medium_speed <=5 мегабит, low_speed <=3 мегабита, но суммарно все вместе не могут утилизировать больше 10 мбит. Реализуемо?
 
2) Все пользователи могут утилизировать до 10 мбит канала, но приоритет имеют пользователи high_speed - они утилизируют канал на 8 мбит, остальные ужимаются в пропорции, но суммарно все вместе не могут утилизировать больше 10 мбит. Реализуемо?
 
 

Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 00:19 15-12-2015 | Исправлено: gap5, 00:20 15-12-2015
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gap5 можно, но не всё так как ты хочешь.
8, 5 и 3 в сумме уже  будет  16 мегабит !
 
10 мегабит  = 1250000 байт /сек
8 мегабит = 1000000 байт
5 мегабит = 625000 байт
3 мегабит = 375000 байт
 
delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 3
delay_access 1 allow HIGH_SPEED
delay_access 1 deny all
delay_access 2 allow MEDIUM_SPEED
delay_access 2 deny all
delay_access 3 allow LOW_SPEED
delay_access 3 deny all
delay_access 4 allow ALL_USER
delay_access 4 deny all
delay_parameters 1 1000000/1000000 1000000/1000000  
delay_parameters 2 625000/625000 625000/625000  
delay_parameters 3 375000/375000 375000/375000  
delay_parameters 4 1250000/1250000 1000000/1000000 1000000/1000000
 
Примерно так. В твоем случае пул 3 го типа лучше не использовать и в пулах 1-3 в первом параметре ведро лучше уменьшить, и во втором параметре скорости лучше поубавить.
 
Для понимания:
delay_parameters 2 -1/-1 2000/16000  
-1/-1 – весь канал отдать сквиду  - анлимитед, а индивидуально на каждого юзверя ведерки по 16кб, а струйка в него в 2кб !  (сначала быстро усосет 16кб, а потом будет лить со скоростью в 2кб/cек)  точнее - быстро будет усасывать объекты размером до 16кб , объекты больше 16кб будет сосать на скорости 2кб
 
Если у  тебя канал 10 мегабит, то весь канал сквиду отдавать нельзя, так как есть и другие сервисы, то бишь SMTP, FTP и др.
 
 
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 09:38 15-12-2015 | Исправлено: ipmanyak, 09:43 15-12-2015
gap5



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо. А почему "В твоем случае пул 3 го типа лучше не использовать"?  
Тогда 4 пул делать 2 типа (класса)?
 
Т.е. все попадают в свои ведра в 1-3 пулах, потом все попадают в общее ведро в 4 пуле, которого не дает суммарно превысить ширину канала, верно?
 
А с приоретизацией ничего нельзя придумать, т.е. условно если всем пулам 2 типа дать плюс-минус одинаковую скорость, но расположить их в разном порядке, тут будет какой-то приоритет? Т.е. первым гарантированно, вторым и третьим то, что осталось от первых, но всем вместе не больше 10 (или 8)?

Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 12:28 15-12-2015
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gap5 Нет никакой приоритезации в  сквиде, вёдра на всех и на каждого. Подели 10 мегабит ( а лучше 8) на 3 пула и всё, например 5,3,2. Если есть желание экспериментируй и анализируй загрузку канала, но для этого нужно время ( и не мало)  и инструменты.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 13:41 16-12-2015
gap5



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
delay_access 1 allow HIGH_SPEED
delay_access 1 deny all
delay_access 2 allow MEDIUM_SPEED
delay_access 2 deny all
delay_access 3 allow LOW_SPEED
delay_access 3 deny all
delay_access 4 allow ALL_USER
delay_access 4 deny all  
 
При таком раскладе в 4 пул ip адреса прописанные в HIGH, MEDIUM и LOW не попадут?

Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 17:38 16-12-2015
gap5



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Другой вопрос: можно ли put (исходящую скрость) ограничить в другом delay pools? Т.к. канал не симметричный (исходящая больше, чем входящая в 10 раз)

Всего записей: 1033 | Зарегистр. 30-05-2006 | Отправлено: 13:27 17-12-2015
mrak78

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый, подскажите пожалуйста, в конторе стоит Ubuntu в связке со webmin+squid, 3 подсети в локалке. Обновил убунту до 14.04. В итоге проксик отпал, подтянул старую конфигу sharewoll теперь инет работает в lan 1 и lan2 на прямую, без прокси, а не через 192.168.1.1:8080, lan3 в инет вообще никак не заходит. Не могу найти причину чем блокируется проксик. Может дело в настройках sharewoll-а вообще.

Всего записей: 2 | Зарегистр. 21-05-2006 | Отправлено: 09:10 03-01-2016
TheBarmaley TMP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
..пока топик не грохнули - поправил/заменил битые ссылки в шапке + чуток причесал..
// текущий бэкап #

----------
один из.. шоб было понятно.. =)

Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 09:24 29-02-2016 | Исправлено: TheBarmaley TMP, 09:31 29-02-2016
The_Immortal



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 1542 | Зарегистр. 10-01-2009 | Отправлено: 23:07 29-02-2016 | Исправлено: The_Immortal, 23:08 29-02-2016
TheBarmaley TMP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
The_Immortal
Цитата:
del
вот если бы таких "писателей" как ты было бы поменьше, можно было бы и найти нужную тему..  

----------
один из.. шоб было понятно.. =)

Всего записей: 4230 | Зарегистр. 10-11-2015 | Отправлено: 06:13 01-03-2016
puz27

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята,здравствуйте!Есть прокси-сервер,все работает,но есть одна проблема.Если пользователь пытается скачать файл,то сквид блокирует этот файл.Все здорово.Но вот если на сайте при закачке какого нибудь файла открывается дополнительное окно для скачки,то файл скачивается. Как это можно побороть? Конфигурация ниже.  
 
acl nomedia url_regex -i «/etc/squid3/list/nomedia»  
http_access deny internet-on nomedia  
http_access deny internet-on-full nomedia  
http_access allow internet-on-full  
http_access allow internet-on whitelist  
http_access deny !Safe_ports  
http_access deny CONNECT !SSL_ports  
http_access allow localhost manager  
http_access deny manager  
http_access allow localhost  
http_access deny all  
 
Возможно блокировку надо делать с помощью rep_mime_type?Как это можно сделать например для zip или iso? Может кто сталкивался? СПАСИБО!

Всего записей: 14 | Зарегистр. 09-04-2014 | Отправлено: 12:21 07-04-2016
Osennij_Lis



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Надеюсь не ошибся темой. Не смотря на тему вопроса, изначально все это делается для реализации прокси на сквиде.
 
Делаю прокси сервер. Transparent+NTLM (по разным портам разумеется и для разных пользователей). Проверку NTLM (после ввода Debian 8 в домен) делаю по этому мануалу http://wiki.525.su/doku.php?id=squid_ad если конкретнее то три следующие проверки:
# wbinfo -a user%password  
plaintext password authentication succeeded  
challenge/response password authentication succeeded  
 
# ntlm_auth —helper-protocol=squid-2.5-basic  
user password  
OK  
 
# ntlm_auth —username=user —nt-response  
password:  
NT_STATUS_OK: Success (0x0)
 
Первая и последняя проходят идеально и без вопросов. Вторая просто зависает и ничего не выдает, пока не нажму ctrl+c. Ни ошибки, ничего, просто виснет. В чем может быть проблема? и какой лог почитать для понимания? До кучи обнаружил что wbinfo -u не выдает список пользователей. Тоже никакой ошибки, просто проходит и появляется следующая строка для ввода. При этом wbinfo -g работает как часы. Возможно это как-то связано. Хотя понятия не имею как.

Всего записей: 96 | Зарегистр. 15-12-2008 | Отправлено: 17:44 11-05-2016
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Osennij_Lis
Прозрачность и авторизация  
 
Q: Могу ли я использовать proxy auth с прозрачным проксированием?  
A: Нет, не можете. При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и никогда не посылает заголовок Proxy-authorization.
 
Убирай прозрачность в iptables и в сквиде и прописывай прокси в браузеры, это можно сделать политиками домена, по-моему можно даже и для мозиллы, хром берет настройки прокси из IE. Сам сервер с дебианом вводить в домен смысла нет никакого.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:50 12-05-2016 | Исправлено: ipmanyak, 07:52 12-05-2016
Osennij_Lis



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мне нужно использовать и то и другое. Есть ряд клиентов, которые будут заведены в домен, и авторизовываться через доменные учетки, у них в браузере будет прописан прокси сервер и ходить они будут через 3127 порт.
Есть ряд клиентов, которые в домен заведены не будут, и в интернет их прокси будет пускать на основании разрешений по IP адресам, эти будут ходить через 3128.
Соответственно клиентов. у которых одновременно должно работать и так и так - не будет.
Сейчас это у меня реализовано на виндовом сервере, прокси переносится на никсовый. Вопрос не в том, как мне это сделать. А почему winbind -u не выдает пользователей, и почему ntlm_auth —helper-protocol=squid-2.5-basic вместо того, чтобы выдать успешный тест, тупо зависает и ничего не делает.
 
Для полноты информации добавлю, что правила iptables для чистоты эксперимента я обнулял, а сквид отключал. Результат такой же.

Всего записей: 96 | Зарегистр. 15-12-2008 | Отправлено: 08:16 12-05-2016
Osennij_Lis



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Извиняюсь, был неправ. Немного подучил матчасть и все заработало. Спасибо, что пытались помочь.

Всего записей: 96 | Зарегистр. 15-12-2008 | Отправлено: 18:22 17-05-2016
Mosl

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Установил centos 7. Произвел минимальную настройку, добавил сервер в домен. Далее установил SQUID и настроил его на ntlm авторизацию через домен.
Вот конфиг - https://dl.dropboxusercontent.com/u/4928793/squid.conf
 
Подскажите, пожалуйста, как мне теперь настроить доступ в интернет только определенным группам в AD?

Всего записей: 620 | Зарегистр. 09-05-2006 | Отправлено: 19:13 15-07-2016
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mosl
Надо эти группы объявить как ACL. Тогда с ними можно будет работать как и со всеми остальными списками.
Мне помнится два способа, видимо Ваш первый
1. external_acl_type ldap_users %LOGIN /usr/lib/squid/wbinfo_group.pl
2. external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=company,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=groups,ou=company,dc=company,dc=ru))" -D squidreader@company.ru -W /etc/squid3/adpw.txt 192.168.0.1
 
Второй способ более громоздок и требует указания реквизитов RO пользователя домена, что бы общаться с контроллером домена напрямую.
 
После Вам надо описать сами группы, например так:
acl administrations external ldap_users GroupAdministrations
acl admins external ldap_users GroupAdmins


----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 01:09 16-07-2016 | Исправлено: Alukardd, 01:18 16-07-2016
Mosl

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Попробовал первый способ:
external_acl_type ldap_users %LOGIN /usr/lib/squid/wbinfo_group.pl  
Не работает
 
Может причина в том что:
В папке /usr/lib нет папки squid
В папке /usr/lib64 есть папка squid, но в ней нет wbinfo_group.pl.
 
Почему может отсутствовать wbinfo_group.pl?
 
UP:
Вычитал что теперь скрипт wbinfo_group.pl переделали в ext_wbinfo_group_acl
Указал в конфиге вот такую строчку:  
external_acl_type win_group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
 
Потом пишу:
acl Internet external nt_group Internet
 
После этого делаю service squid restart, а в ответ получаю:
Job for squid.service failed because the control process exited with error code. See "systemctl status squid.service" and "journalctl -xe" for details.
 
[root@SQUID2 squid]# systemctl status squid.service
 squid.service - Squid caching proxy
   Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Sat 2016-07-16 13:40:24 EEST; 13s ago
  Process: 16544 ExecStop=/usr/sbin/squid -k shutdown -f $SQUID_CONF (code=exited, status=1/FAILURE)
  Process: 16581 ExecStart=/usr/sbin/squid $SQUID_OPTS -f $SQUID_CONF (code=exited, status=1/FAILURE)
  Process: 16576 ExecStartPre=/usr/libexec/squid/cache_swap.sh (code=exited, status=0/SUCCESS)
 Main PID: 16524 (code=killed, signal=TERM)
 
Jul 16 13:40:24 SQUID2 squid[16581]: Bungled /etc/squid/squid.conf line 8: http_access allow Internet
Jul 16 13:40:24 SQUID2 squid[16581]: FATAL: Bungled /etc/squid/squid.conf line 8: http_access allow Internet
Jul 16 13:40:24 SQUID2 squid[16581]: Squid Cache (Version 3.3.8): Terminated abnormally.
Jul 16 13:40:24 SQUID2 squid[16581]: CPU Usage: 0.005 seconds = 0.002 user + 0.004 sys
Jul 16 13:40:24 SQUID2 squid[16581]: Maximum Resident Size: 25040 KB
Jul 16 13:40:24 SQUID2 squid[16581]: Page faults with physical i/o: 0
Jul 16 13:40:24 SQUID2 systemd[1]: squid.service: control process exited, code=exited status=1
Jul 16 13:40:24 SQUID2 systemd[1]: Failed to start Squid caching proxy.
Jul 16 13:40:24 SQUID2 systemd[1]: Unit squid.service entered failed state.
Jul 16 13:40:24 SQUID2 systemd[1]: squid.service failed.
 
В чем проблема?

Всего записей: 620 | Зарегистр. 09-05-2006 | Отправлено: 13:02 16-07-2016 | Исправлено: Mosl, 13:41 16-07-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mosl
Цитата:
В чем проблема?
 Ты определяешь external_acl_type win_group, а далее почему-то acl Internet external nt_group
Ты уж определись,  nt_group или win_group
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:57 16-07-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru