Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
DmitriyK

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Попробовать смогу только на выходных. Но не вижу принципиальной разницы от моих правил. Согласно твоим приведенным правилам, squid опять же посмотрит на строку _http://mail.ru/?ya.ru и найдет в ней разрешенную подстроку ya.ru из good_url.txt и опять же разрешит отобразить страницу.
Вот если бы регулярными выражениями выделить подстроку от начала до третьего символа "/" (первые два будут после http: ) и среди этой подстроки уже искать разрешенные подстроки, то думается было бы как раз то что надо...

Всего записей: 2116 | Зарегистр. 08-02-2003 | Отправлено: 19:03 18-01-2007 | Исправлено: DmitriyK, 19:07 18-01-2007
urasov

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
To All
Помогите решить следующую задачу с разрешением доступа к определенным ресурсам на уровне групп.
_Имеем_: Стандартную аутентификацию пользователей через NTLM. Т.е. если пользователь принадлежить группе "Internet-Access", то сквид пускает его:
 
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-787762258-882461402-281947949-2472
auth_param ntlm children 10
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
 
auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
 
 acl myusers proxy_auth REQUIRED
      http_access allow myusers
 
_Задача_: Сделал ещё одну группу, назовем её "Internet-Limit", пользователи этой группы должны иметь доступ только к определенным сайтам, скажем: mail.ru, yandex.ru.
Как мне реализовать это в конфиге squid? Нужно как-то привязать группы к разным acl, но как?
Помогите пожалуйста!

Всего записей: 34 | Зарегистр. 19-12-2006 | Отправлено: 11:41 24-01-2007
ITProf



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поискал в теме, вроде никто не упоминал:
 
Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.
 
Очень интересно было бы реализовать данную связку.

Всего записей: 137 | Зарегистр. 05-01-2005 | Отправлено: 12:39 24-01-2007
SSV_RA



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ITProf
Шейпер не относится к SQUID, он действует на более низком уровне.
 
Добавлено:
DmitriyK
Поставь squidGuard и не мучайся. В нем разрешишь ходить только на нужные тебе сайты.

Всего записей: 77 | Зарегистр. 21-02-2005 | Отправлено: 10:22 29-01-2007
pusiyjan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SSV_RA
Для небольших задач, встроенных функций SQUID вполне достаточно. Если уже что-то прикручивать то я б посоветовал http://rejik.ru/ вместо
Цитата:
Поставь squidGuard и не мучайся.

Вещь серьезная.
У нас таже в конторе есть разделение на  
1 - Ограничен только white list  - идет только на разрешенные несколько сотен сайтов
2 - Ограничен black list - можно все кроме порно, мп3 и другой фикни (Вот на них и стои у нас rejik.ru)
3 - "Элита" можно все =)
организовывается это все выгрузкой с базы этих параметров с созданием файлов, которые подгружаются в сквида!

Всего записей: 823 | Зарегистр. 17-12-2003 | Отправлено: 10:47 29-01-2007
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Может кто-нибудь поделится опытом создания динамического шейпера с использованием связки Squid + ipfw с использованием пайпов.

в сквиде есть pool-ы, в них можно назначить приоритеты для клиентов.
С помощью ipfw ограницить не получиться, потому что ты можешь ограницить скорость от клиента до прокси-серрвера. А как известно запрос попадая на сквид ставиться в очередь и качается как все - в итоге канал все равно занят запросом от низкоприоритетного пользователя.
 
Попробуй поставить на машину флешгет какой-нибудь , поставь качаться большой файл и ограничь скорость скачки на 0.1К, через 5 минут переключи на неограниченную скорость закачки. Выводы сделаешь сам :)

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:02 29-01-2007
SSV_RA



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pusiyjan
Быть может, но у squidGuard есть плюс - он хранит базу разрешений и запретов в базе данных, что дает скорость обработки запросов, потому как у меня в некоторых базах до 3000-4000 доменов запрещены.

Всего записей: 77 | Зарегистр. 21-02-2005 | Отправлено: 11:16 29-01-2007
pusiyjan



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2all
сори за глупый вопрос, но я никак не могу найти в кэше когда захожу на менеджер через веб интерфейс, допустим http://192,168,1,1/cgi-bin/cachemgr.cgi
авторизировавшись не могу найти ссылки что показывает кто что откуда тянет ...  
потому как какой-то уникум весь день с рапиды что-то сливает и не дает дуда пробится!!!
 
 
Добавлено:
да глупо вышло как-то все нашел, что надо =(

Всего записей: 823 | Зарегистр. 17-12-2003 | Отправлено: 13:22 29-01-2007
Gabzya



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите новичку в линухе чем дзыбить(и как настроить) траффик текущий, кто-где и что в SQUIDе
ось- ASP Linux11  
или где про это написано... сарг пробовал с опеннета ставить не получилось

Всего записей: 1149 | Зарегистр. 14-12-2004 | Отправлено: 09:37 30-01-2007
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gabzya
Текущий смотри sqstat - там скрипты на php.

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 09:43 30-01-2007
Gabzya



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
sqstat
bash: sqstat: command not found


Всего записей: 1149 | Зарегистр. 14-12-2004 | Отправлено: 12:01 30-01-2007
oie71

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть два вышестоящих сквидовых прокси
 
Как в моём сквиде сделать, чтобы:
 
1. Трафик на сайты из списка sites1 передавался через прокси1
2. Всё остальное - через прокси2
 

Всего записей: 66 | Зарегистр. 09-08-2006 | Отправлено: 10:22 08-02-2007
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oie71 Примерно где-то так:
acl all src 0.0.0.0/0.0.0.0  
acl second dstdomain "/usr/local/squid/etc/as.list"  
cache_peer второй-squid parent 3129 0 no-query default (описываем вспомогательный squid как старший для нас)  
cache_peer_access второй-squid allow second (обращаться к нему только, если сервер находится в AS из списка)  
never_direct allow second (не обращаться напрямую к серверам из AS списка)  
never_direct deny all  
 
в файле as.list список доменов по одному в строке:
.foo.com
.rambler.ru  
 

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 10:42 08-02-2007
oie71

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо.
 
Пока сделал вот так:
 
acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua
cache_peer 10.30.1.1 parent 3128 0 - прокси 2
acl all src 0.0.0.0/0.0.0.0  
cache_peer 10.0.1.1 parent 8080 0 no-query default - прокси 1
cache_peer_access 10.0.1.1 allow second
never_direct allow all

Всего записей: 66 | Зарегистр. 09-08-2006 | Отправлено: 13:38 08-02-2007
oie71

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ещё воросик
 
Вместо "acl second dstdomain .kiev.ua .gov.ua .com.ua .org.ua" хотел прикрутить  
 
acl second dst "c:\squid\wget\uaix.ip"
 
Файл uaix.ip - строки типа 123.123.123.0/маска описывает зону UA-IX.
Лежит здесь - http://noc.ix.net.ua/ua-list.txt
 
После reconfigure ругается, что  
 
2007/02/08 18:20:49| WARNING: '62.64.64.0/255.255.248.0' is a subnetwork of '62.64.64.0/255.255.192.0'
2007/02/08 18:20:49| WARNING: because of this '62.64.64.0/255.255.192.0' is ignored to keep splay tree searching predictable
2007/02/08 18:20:49| WARNING: You should probably remove '62.64.64.0/255.255.248.0' from the ACL named 'uaix'
 
Вопрос: как проверить, какие сети попали acl second?
Судя по  WARNING - только 62.64.64.0/255.255.192.0 - но хочу проверить.
 
В cachemgr.cgi есть пункт меню "Current Squid Configuration" где описаны все текущие acl (если не ошибаюсь) но не могу туда попасть.
 
Если в squid.conf не прописывать строчку "cachemgr_passwd MY_PASS all"  "Current Squid Configuration" не доступен.
 
Если в squid.conf прописать "cachemgr_passwd MY_PASS all" , то по паролю MY_PASS открываются все пункты меню кроме "Current Squid Configuration".
 
Squid Cache.log пишет:
 
2007/02/08 18:34:52| CACHEMGR: admin@10.30.1.3 requesting 'config'
FATAL: Received Segment Violation...dying.
2007/02/08 18:34:52| storeDirWriteCleanLogs: Starting...
2007/02/08 18:34:52| WARNING: Closing open FD   30
2007/02/08 18:34:52|   Finished.  Wrote 8644 entries.
2007/02/08 18:34:52|   Took 0.0 seconds (278838.7 entries/sec).
 
Apache Error.log пишет:
 
[Thu Feb 08 18:40:07 2007] [error] [client 10.30.1.12] malformed header from script. Bad header=</table></PRE>: cachemgr.cgi, referer: http://server3:8080/cgi-bin/cachemgr.cgi
 
Куда копать?

Всего записей: 66 | Зарегистр. 09-08-2006 | Отправлено: 19:52 08-02-2007
sattan



taNo
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите
 
как в сквиде прописать правило, чтобы пользователя, требуя авторизации, пускало _только_ на домены .gov.ua и _только_ с определённого ip адреса ?

----------
к дракону надо приходить с подарками

Всего записей: 5226 | Зарегистр. 24-07-2001 | Отправлено: 15:56 20-02-2007
slayer120



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите решить проблему.
  Есть домен. Выход в инет - связка - Proxy (linux с sduid 2.5 - далее шлюз с натом
тож на линуксе).  
 Авторизация в сквиде - смешанная нтлм или базик -через внешние модули
Проблема периодически на некоторых машинках Proxy становится недоступен-
проверяю запросом на порт 3128 -хренушки. В логах сквида ни ошибок авторизации ничего. Машинка не очень сильная - целерон, сетевуха обычная 100 -ка
выход в инет радиоканал.
  В чем может быть проблема?
  Да когда на клиенте запускаешь "repair" на сетевом подключении - соединение со скидом как правило восстанавливается.

Всего записей: 303 | Зарегистр. 24-01-2007 | Отправлено: 17:34 21-02-2007
Teo



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sattan
в смысле, авторизовать только для этих доменов и пускать?
и не пускать других?
 
acl all src 0.0.0.0/0.0.0.0
acl password proxy_auth REQUIRED
acl restricted_domain dst_domain .gov.ua
acl restricted_client x.x.x.x
 
http_access allow password restricted_domain restricted_client
http_access deny all
 
 
slayer120
дебаг включаешь и смотришь
для wbinfo_group параметр -d
для кальмара -d LEVEL [0-9] -X
но учти - вывода будет немеряно
DHCP есть?

Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 15:40 23-02-2007 | Исправлено: Teo, 15:40 23-02-2007
hda0



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хелп!
Админы, хелп! срочный!
заинстолил еще 2 железяки для диалупа. нагрузка в сети возросла.
Раннее стоял Oops, так с такой нагрузкой он просто сдыхает...
ПОставил сквидяру, 3 сетки зарулил на сквидяру. И с ужасом обнаружил что он тоже загибаться стал! Страницы или стоят на месте, или недогружаютсья картинки и тд.
если пробовать телнетом на порт сквида, он даже телнетом долго коннектит
каналу хватает, он даже на 50% еле загружен....
 
вот мой конфг и как компилял:
 
#sbin/squid -v
Squid Cache: Version 2.6.STABLE9
configure options: '--prefix=/usr/local/squid_8282' '--enable-heap-replacement' '--disable-ident-lookups' '--enable-cache-digests' '--enable-poll' '--enable-delay-pools'
 
---
http_port 0.0.0.0:8383 transparent protocol=http
icp_port 3133
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
icp_query_timeout 0
maximum_icp_query_timeout 2000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin
hierarchy_stoplist ?
cache Deny QUERY
cache_vary on
broken_vary_encoding Allow apache
cache_mem 8388608 bytes
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4194304 bytes
minimum_object_size 0 bytes
maximum_object_size_in_memory 8192 bytes
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
cache_dir ufs /cache/squid_8383 2048 16 256
logformat squid  %ts.%03tu %6tr %>a %>p %Ss/%03Hs %
---
 
я так понимаю очень много запросов прёт от юзеров, сквид начинает загибаться...
юзеров на диалупе в часы пик 270 челов с лишним.
260 - качальщики... каждый качает или флешгетом или донлодмастером по куче файлов...
 
что надо еще покрутить, какие фичи выставить чтоб он справлялся с бешенной нагрузкой?
 
конфиг сервака:
озу 512
 
#cat /proc/cpuinfo  
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 15
model           : 2
model name      : Intel(R) Pentium(R) 4 CPU 2.00GHz
stepping        : 9
cpu MHz         : 1997.517
cache size      : 512 KB

Всего записей: 158 | Зарегистр. 28-02-2005 | Отправлено: 01:31 25-02-2007 | Исправлено: hda0, 01:33 25-02-2007
slayer120



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Teo
 dhcp нет. В сквиде авторизация внешними модулями (на php, из мускула берется связка ИП логин (для обычной авторизации), либо из AD для ntlm авторизации.
  В логах нет собщений об ошибках авторизации. Из-за чего порт сквида может становится недоступным? Да используются delay pool, если  нужен конфиг сквида могу кинуть.

Всего записей: 303 | Зарегистр. 24-01-2007 | Отправлено: 10:23 26-02-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru