Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

fortune Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SunRabbit DNS может быть плохо настроен. Всего записей: 117 | Зарегистр. 18-08-2004 | Отправлено: 13:02 26-03-2005

SunRabbit Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: SunRabbit DNS может быть плохо настроен.     А поподробнее. На внешних все нормально, там же до сих пор работало и все было нормально.   Всего записей: 5 | Зарегистр. 15-02-2005 | Отправлено: 10:10 28-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SunRabbit Убей эту опцию и попробуй снова. cache_peer myserver parent 3128 0 no-query У меня похожая ситуация. Я пытаюсь за "кешпирить"  проксю моего прова, которая стоит буквально в трех домах ( гдето метров 150 напрямую) от меня. В результате скорость реакции браузера на ввв падает раз в 10. Скорее всего не я один такой умный . Видать мы все, кто сидит на площадке, пытаемся прокидывать запросы своих пользователей сквозь прововский сквид, и в результате становимся в огромную очередь. Вообщем я просто плюнул на всю затею , и  пускаю свой сквид напрямую в нет , и сам аккумулирую свой фирмовый кеш.  Просто экономия от того что я получу пару банеров и пр от прова , но выстою при это в немерянной очереди, - мизерная .   Хотя в мануалах есть раздел про настройку "пиринга" и в теории можно строить довольно замысловатые цепочки проксей, но это столько гемора, который окупится разве что самосознанием того  - что ты уже почти "атец" по кеш - менеджменту )).   Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 13:08 28-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В файле /usr/local/squid/etc/porno есть строка porno.ru. На сайт пускает, и на все остальные адреса из файла тоже - в чём криворукость?   Мой конфиг: hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 32 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 10000 KB minimum_object_size 0 maximum_object_size_in_memory 50 KB fqdncache_size 1024 cache_replacement_policy lru memory_replacement_policy lru cache_dir ufs /usr/local/squid/var/cache 1024 4 256 cache_access_log /usr/local/squid/var/logs/access.log cache_log /usr/local/squid/var/logs/cache.log cache_store_log none client_netmask 255.255.255.255 # ftp_list_width 32 ftp_passive on # ftp_sanitycheck on dns_timeout 1 minutes #dns_children 5 dns_nameservers 127.0.0.1 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx   auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours   refresh_pattern ^ftp:           1440    20%     10080 refresh_pattern ^gopher:        1440    0%      1440 refresh_pattern .               0       20%     4320     #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl CONNECT method CONNECT   # VIP-Users acl vip url_regex "/usr/local/squid/etc/vip" http_access allow all   ############################### Banners ########################################## acl goodbanners url_regex "/usr/local/squid/etc/goodbanners" http_access allow goodbanners   acl banners url_regex "/usr/local/squid/etc/banners" http_access deny banners   acl noporno url_regex "/usr/local/squid/etc/noporno" http_access allow noporno   acl porno url_regex "/usr/local/squid/etc/porno" http_access deny porno   acl banners_openwindow url_regex "/usr/local/squid/etc/banners_openwindow" http_access deny banners_openwindow   acl ICQban urlpath_regex /client/ate/ad-handler http_access deny ICQban   acl denyURL urlpath_regex /love.mail.ru/mail.ru http_access deny denyURL Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 14:39 28-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Рискну предположить что твоя проблема просто в неправильном построении конфига как такового. Точнее в порядке построения правил. Во - первых : зачастую АЦЛ " all src 0.0.0.0/0.0.0.0" используется для глобального запрещения, поскольку под нее подпадают ВСЕ адреса инета.   Вот у тебя и выходит что ты говоришь:   -- обьявляю ацл all , в которую входят запросы на ЛЮБОЙ адрес. а затем ниже :  -- http_access allow all  - позволяю запросам попадающим под ацл all двигатся. и все. Больше ничего уже можешь не писать . Потому что , любой запрос , достигнув этого места  - начинает работать и до твоих запрещений дело вообще не доходит, так что сквиду все равно позволяешь ты порно или нет . Важно помнить , что сквид , как и ипфв (ipfw) фунциклирует по такому принципу: получив запрос , он перебирает правила сверху вниз , до того момента пока не найдется совпадение , т.е. запрос начнет соответствовать правилу , тогда производится действие о котором это правило говорит , и все. Остальные правила (по крайней мере те что расположены ниже) просто сквидом не учитываются. Вообщем пробуй. Ага, еще типичный пример как реализовывают в большинстве примерных мануалах: Обьявляем листы источников: acl localhost src 127.0.0.1/255.255.255.255 - рекурсивную петлю отдельно acl my_users src 192.168.0.0/24 - моя сеть внутрення , которая будет пользовать сквид acl all src 0.0.0.0/0.0.0.0 - все остальное , что не вошло в первые две, и что я запрещу. Запрещалки - разрешалки: http_access allow localhost - для прозрачного проксирования и вообще   http_access allow my_users - принимать запросы от пользователей моей сети http_access deny all - если это не пользователи моей сети, и не локалхост - то нефиг  коннектицца к моей проксе. Вот так вроде.     Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 13:35 29-03-2005

SunRabbit Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: SunRabbit Убей эту опцию и попробуй снова. cache_peer myserver parent 3128 0 no-query У меня похожая ситуация. Я пытаюсь за "кешпирить"  проксю моего прова, которая стоит буквально в трех домах ( гдето метров 150 напрямую) от меня. В результате скорость реакции браузера на ввв падает раз в 10. Скорее всего не я один такой умный . Видать мы все, кто сидит на площадке, пытаемся прокидывать запросы своих пользователей сквозь прововский сквид, и в результате становимся в огромную очередь. Вообщем я просто плюнул на всю затею , и  пускаю свой сквид напрямую в нет , и сам аккумулирую свой фирмовый кеш.  Просто экономия от того что я получу пару банеров и пр от прова , но выстою при это в немерянной очереди, - мизерная .   Хотя в мануалах есть раздел про настройку "пиринга" и в теории можно строить довольно замысловатые цепочки проксей, но это столько гемора, который окупится разве что самосознанием того  - что ты уже почти "атец" по кеш - менеджменту )).     Так в этом то и дело. Если я ету опцию убью, он в Инет не пойдет, у него же напрямую доступа нету. Только через прокси который parent.   Проблема то в чем Если пускать по схеме   INET ---------Proxy-server (squid)--------------LAN - более менее нормальная скорость (нагрузку читывать и все) А если                       DMZ INET --------Proxy(ext)--------Proxy(int) -------LAN - совсем медленно.   Кто может подскажет в чем трабла ??? Всего записей: 5 | Зарегистр. 15-02-2005 | Отправлено: 16:54 29-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ptrovich Ё-маё! Цитата: # VIP-Users acl vip url_regex "/usr/local/squid/etc/vip" http_access allow all Тут вместо all должно стоять vip, чтобы ip-адресам из списка /usr/local/squid/etc/vip разрешалось всё. Сам ступил - не заметил Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 19:01 29-03-2005

squid Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Markes Цитата: # VIP-Users   acl vip url_regex "/usr/local/squid/etc/vip"   http_access allow all     вот эта строка разрешает всем ходить куда угодно   поставь ее в конце всех строк, что ты написал Всего записей: 185 | Зарегистр. 18-07-2004 | Отправлено: 21:53 29-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору squid Цитата: вот эта строка разрешает всем ходить куда угодн Я же выше уже написал, что нашёл эту ошибку Цитата: поставь ее в конце всех строк, что ты написал Зачем в конце всех? Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 23:20 29-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SunRabbit Цитата: Так в этом то и дело. Если я ету опцию убью, он в Инет не пойдет, у него же напрямую доступа нету. Только через прокси который parent.   Проблема то в чем   Если пускать по схеме   INET ---------Proxy-server (squid)--------------LAN - более менее нормальная скорость (нагрузку читывать и все)   Брр , я чето совсем ничего не понимаю.  Тоесть тебя не устраивает ходить по вышеуказаной схеме или как? Да и кстати как ты подключен к интернету если не можешь напрямую в нет пустить свой сквид?  Если ты админишь локаль которая еще в одной локали и не имеешь наружного айпа, то пусть тогда запросы побегают до наружного сквида который стоит у вас уже на самом выходе в мир. Если они проскачут пару лишних десятиметровок, то я думаю особых проблем не будет , так? Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 15:58 30-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ptrovich Цитата: В конфиге:   deny_info http:\mycoolsite.com\squiderror\error.html   тода везде где сквид по рулезам не сможет соединится, он пульнет   этот файлик. Хотя на банеры это тоже повлияет. Возвращаясь к разговору Прописал в кофиге error_directory /usr/local/squid/share/errors/Russian-1251. Всё красиво, но действительно вместо зарезанных баннеров видно часть моего эррора. Закомментировал строчку - всё равно "работает" моя "русская ошибка". Раскомментировал и указал вместо Russian-1251 English - стало везде вылазить англ. ошибка. Опять закомментировал строку - вылазит русский еррор Откуда конфиг его берёт? И как всё вернуть в зад, т.е. чтобы была стандартная ошибка при попытке открытия зарезанных в acl сайтах и баннеры просто не показывались? Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 12:14 31-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Markes   deny_info http:\mycoolsite.com\squiderror\error.html   Это ответка на случай если идет запрос на какую то урлу  и,  согласно правилам , доступ к ней запрещен. А  error_directory /usr/local/squid/share/errors/Russian-1251  - это ответка на случай если произошла ошибка связи или еще какая нить ошибка.   По этому обычно в deny_info заталкивают какой нить гиф однотонный размером 1 на 1 пиксель. У меня он салатового цвета. И тогда вместо банеров у меня получаются салатовые пятна. А в error_directory ложат русскую ошибку чтоб юзера (у меня это в основном одни деффки , которые в англ ничего не понимают) прочли что проблема с инетом , и сходили и позвали сисадмина.     Лирическое отступление. У меня допустим в русской ошибке пишет "У вас проблемы с интернетом нажмите красную кнопку на "главном компьютере" у меня под столом.  Если через 10 минут ничего не изменилось позвоните мне по телефону: " и мой номер мобилы.   (Соответственно на серваке висит наклейка рекалом красного цвета " Главный компьютер" , ну и ресет покрашен красным лаком от ногтей). Иногда я еще вешаю распечатку над столом "Красная кнопка под столом!"  потому что на столе стоит моя рабочая машина , и иногда ее перегружают.   Цитата: Опять закомментировал строку - вылазит русский еррор По умолчанию видно сквид у тя скомпилирован с русской ошибкой.   --enable-default-err-language=Russian-1251 А когда ты в конфиге ставишь англ, то это меняет дифолтные настройки вот и все.   Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 12:34 31-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ptrovich Цитата: По этому обычно в deny_info заталкивают какой нить гиф однотонный размером 1 на 1 пиксель. У меня он салатового цвета. И тогда вместо банеров у меня получаются салатовые пятна. Т.е. если у меня режется порно, то вместо ошибки типа "Доступ запрещён", я увижу этот пиксель? Цитата: По умолчанию видно сквид у тя скомпилирован с русской ошибкой.   --enable-default-err-language=Russian-1251   А когда ты в конфиге ставишь англ, то это меняет дифолтные настройки вот и все. Не знаю как он был скомпилирован, но я вижу как раз отредактированную мною ошибку по адресу /usr/local/squid/share/errors/Russian-1251, но у меня это закомментировано в конфиге. Значит от по умолчанию оттуда берёт еррор? Раньше-то этого не было. Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 12:46 31-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Т.е. если у меня режется порно, то вместо ошибки типа "Доступ запрещён", я увижу этот пиксель? Точно. Обычно банер маленький,  тоесть ты не можешь угадать с каким масштабом написать "Доступ запрещен" чтоб его было полноценно видно. Обычно видно только "Дос" или еще как то так. По - этому я использую просто цвет.   Цитата: Не знаю как он был скомпилирован, но я вижу как раз отредактированную мною ошибку по адресу /usr/local/squid/share/errors/Russian-1251, но у меня это закомментировано в конфиге. Значит от по умолчанию оттуда берёт еррор? Раньше-то этого не было.   Быть может ты где то еще выше оставил строчку с русским еррором? Хотя какая в принципе разница какой еррор будет лезть, смысле из какой директории? Просто отредактируй его как тебе надо и дело с концом. Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 13:07 31-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ptrovich Цитата: Точно. Обычно банер маленький,  тоесть ты не можешь угадать с каким масштабом написать "Доступ запрещен" чтоб его было полноценно видно. Обычно видно только "Дос" или еще как то так. По - этому я использую просто цвет. ОК. Создал из стандартного еррора ERR_PIXEL такого вида:   <HTML><HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1"> <TITLE>ERROR: The requested URL could not be retrieved</TITLE> <STYLE type="text/css"><!--BODY{background-color:#ffffff;font-family:verdana,sans-serif}PRE{font-family:sans-serif}--></ STYLE> </HEAD><BODY> <IMG src="/usr/local/squid/share/errors/antibanner/pixel.gif"> </body> </html>   Положил его в /usr/local/squid/share/errors/Russian-1251   Добавляюв конфиг:   acl banners url_regex "/usr/local/squid/etc/banners" deny_info ERR_PIXEL banners http_access deny banners   Нифига не работает. Вместо баннера вижу слово "Ошибка" из стандартного error.   Цитата:   Быть может ты где то еще выше оставил строчку с русским еррором?   Вот именно что нет Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 14:05 31-03-2005 | Исправлено: Markes, 14:08 31-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Markes Опять  неправильно. Тут нужно четко усвоить разницу между deny_info и error_directory Цитата: deny_info   This can be used to return an ERR_ page for requests, which do not pass the 'http_access' rules. A single ACL will cause the http_access check to fail. If a 'deny_info' line exists for that ACL then Squid returns a corresponding error page.   и   Цитата: error_directory If you wish to create your own versions of the default (English) error files, either to customize them to suit your language or company, copy the template English files to another directory and point this tag at them   При этом deny_info требует (я не знаю почему , просто верю на слово тому кто мне сказал) чтоб файл который будет отправляцца клиенту лежал на ресурсе доступном из нета. Тоесть у тебя или у кого то еще должен быть поднят апач который хостит эти файлы ошибок. acl banner url_regex -i "/usr/local/squid/etc/banners" deny_info http://google.com.ua/error.gif banner http_access deny banner   Меня смущает одна вещь: если простые эрроры пуляются и без апача, то почему для специфического еррора апач нужен?  Если чесно , то я не пробовал без апача , может и так  работает?   Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 15:12 31-03-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ptrovich   Короче, я пытаюсь сделать 2 вещи:   1. Чтобы вместо части моей стандартной ошибки при резке баннеров у меня был gif. Кладу pixel.gif в корень моего домена. В конфиге это выглядит так: acl banners url_regex "/usr/local/squid/etc/banners" deny_info http://mydomain.ru/pixel.gif banners http_access deny banners Перезапускаю сквиду, она падает с такой ошибкой: errorTryLoadText: '/usr/local/squid/etc/errors/http://mydomain.ru/pixel.gif': (2) No such file or directory   Ок. Кладу этот pixel.gif в /usr/local/squid/etc/errors/ и меняю строку в конфиге: deny_info pixel.gif banners Сквида ни на что не ругается, но вместо гифа показывает мне опять же часть моей стандартной русской ошибки из /usr/local/squid/share/errors/Russian-1251 (или откуда она грузится, хрен его знает)   2. Хочу, чтобы при срабатывании правила по резке порно, юзер получал спец-еррор. Получаю аналогичные грабли: сделал из стандартного /usr/local/squid/share/errors/Russian-1251/ERR_ACCESS_DENIED спец-порно-еррор ERR_PORNO_DENIED (просто изменил немного первый ). Пишу в конфиге: acl porno url_regex "/usr/local/squid/etc/porno" deny_info /usr/local/squid/share/errors/Russian-1251/ERR_PORNO_DENIED porno http_access deny porno   Получаю ошибку в cache.log: errorTryLoadText: '/usr/local/squid/etc/errors//usr/local/squid/share/errors/Russian-1251/ERR_PORNO_DENIED': (2) No such file or directory   Делаю так: deny_info ERR_PORNO_DENIED porno   -> Ошибки нет и вижу свою стандартную ошибку.   Моя сходит с ума Где криворукость? Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 16:26 31-03-2005

Ptrovich Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ты можешь  посмотреть этот гиф через експлорер? В первом случае вообще все идеально, должно пахать. У меня все пашет. Я думаю это надолго , давай по аське, чтоб быстрее инфа ходила.   5334467 Всего записей: 125 | Зарегистр. 26-01-2003 | Отправлено: 17:13 31-03-2005

Pleshkov Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Markes Цитата: Делаю так:   deny_info ERR_PORNO_DENIED porno     -> Ошибки нет и вижу свою стандартную ошибку. А потом сделай так Код: squid -k reconfigure и будет тебе счастье .... только что проверил Всего записей: 452 | Зарегистр. 15-06-2004 | Отправлено: 17:34 03-04-2005

Markes Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pleshkov Цитата: А потом сделай так   Код:squid -k reconfigure   и будет тебе счастье .... только что проверил   Делал killall -HUP squid (у меня фря). Проблема не в этом. Не работает и всё. "Помешали" конфиг с Ptrovich - никаких продвижений. У него работает таким образом как я описал выше, у меня - нет Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 10:31 04-04-2005

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование