» SQUID (только под *nix)

Помогите плз.Стоит линух на нем сквид Version 2.5.STABLE9.Все работает нормально.Только одна проблема..когда использую прокси спутникого провайдера express-proxy.planetsky.com то chat.mail.ru не работает у клиентов.А когда ставлю другоий прокси(каторый немного дороже) то все пашет.И интересно то что обе стороны(администрацыя маил.ру и планетскай)говорят что у них все в порядке.Вопрос в том могу ли я(и как) зделать так чтобы запросы на chat.mail.ru перенаправлялись на один прокси а все остольное на планетскай.
Спосибо заранее!!!

Такой вопросик, я не знаю совсем синтаксиса помогите разобратся плс как вы пишите "бэд" домены, например если ваша запись вида: advert\.citycat\.ru/cgi-bin/rle\.cgi\?
то какой это ресурс нета забанен???
или как забанить например byaka.com.ru или все сайты в названии которых есть слово byaka???(типа : www.xxxbyaka.net, byaka_vsem.gov..etc)
Заранее спасибо, изв если так уж безграмотен....

Вопрос снял, разобрался с доменами, а вот с баннерами еще не знаю...синтаксис....
но все же запись : advert\.citycat\.ru/cgi-bin/rle\.cgi\? че говорит?

Народ. Перечитал уже тучу инфы. Нужен ответ на следующий вопрос.
Ситуация. Есть сквид на Фре. Есть новый сервак. Нужно подменить старый с фрей на новый максимально гладко для юзеров. Провайдер дал только 1 внешний IP, поэтому подключить оба сервака сразу не получится. Нужно на сквиде настроить таким образом, чтобы он все полученные запросы переадресовывал новой проксе, то есть чтобы сам сквид работал через прокси. Где это настроить? Сквид 192.168.0.253:3128. Новый прокси 192.168.0.100:8080

NEED
А почему именно так? Может стоит скопировать squid.conf на новый сервак, поставить тот же IP и запустить? А рабочий будет в запасе, если что криво пойдет.

Новый под виндами. Там ISA 2004 стоит. Вот через него сквид и должен брать инет.

NEED
чего тут думать, настраивай конфига сквида - # TAG: cache_peer
и вообще прежде чем задавать вопросы полезно сначала почитать фак сквида !
в частности по твоему вопросу
http://www.squid-cache.org/Doc/FAQ/FAQ-4.html#ss4.9

Всем привет )
Народ, может чуть не в тему, но! помогите настроить в SquidGuard авторизацию, как в Squid, методом BASIC/Ncsa , если быть точнее, то как описать это в настройках SquidGuard , что бы он выдовал запрос на ввод пароля.
Ткните носом, пллз!
З.Ы. Заранее спасибо

DukeArtem возможно нужен патч, почитай фак http://www.squidguard.org/faq/
пункт 11, для сквида 2.3 такой патч был , для других весрий не могу сказать


Добавлено:
еще почитай урлу возможно наведет на мысли
http://www.opennet.ru/docs/RUS/squid_filter/squidguard.html

ipmanyak, на самом деле всё сложнее и легче одновременно, я почти разобрался, кстати в этом мне помогла ссылка http://squid.h12.ru/FAQ/FAQ.html , там глава про редиректы и авторизацию, очень позновательны, а вообще это всё работает, как:
Squid передаёт редиректору ссылку, а он возвращает или пустую строку или замену, но кроме ссылки squid передаёт дополнительные параметры, один из них является ident (имя параметра, почитайте про него в ссылки), он содержит в себе имя пользователя и если ридиректор умеет такое обрабатывать (например у SquidGuard, параметр userlist или user), то на него и накладываешь правила, у меня сейчас чуть другая проблема у меня пароль при проверки не проходит, кодирую с помощью htpasswd, у меня шёл вместе с Аpach2 , вопрос-в какой именно надо кодировать: md5, sha1, или там есть какой то ещё один, забыл, как он называется В форумах нашёл что мол надо прописать в master.passwd и passwd
( http://www.opennet.ru/base/net/squid_userauth.txt.html ), но хочу спросить у знатоков так ли это? И вообще у кого, какие мысли!?
Плииз помогите, а?!
З.Ы. ipmanyak, у меня Squid 2.5stable9 , там это вроде бы уже исправленно!

И с этим разобрался!
Там используется, метод шифрации, который по умолчанию (опция -d). Как всегда вопрос! На этот раз последний!
Ну работает у меня эта бадяга в связке (Squid + SquidGuard + Apache), как мне сделать логическое условие в конфиге SquidGuard, так что бы пароль спрашивало не всё время, а только тогда, когда кто-то патается скачать, допустим mp3: мне надо что-то типа этого
src user {
ip 192.168.8.99/24
}
src super {
userlist /usr/local/squid/passwd #(в нём имена зареганных пользователей, без пароля - имя-строка)
}

dest porno {
domainlist porn/domains
urllist porn/urls
log porn
}
rewrite mp3 {
s@.*\.mp3$@http://192.168.8.99/replace/my.mp3@r
log rewr_mp3

acl {
#И вот тут бы очень хотелось, что-то типа логического условия, мол если пользователь просто с ip, без имени, то тогда он идёт поэтому....
user {
pass !porno all
rewrite mp3
}
иначе если ident не пуст то...
good {
pass all
}
НО КАК???? НУ ПОМОГИТЕ, НУ ПЛИИЗ! ....

Всем привет!
Есть локалка и внешняя сеть. Выход с хттп через прокси, на котором стоит сквид.
Возникла проблема - есть веб-сервер, который стоит внутри и виден извне (redirect). Изнутри он тоже должен быть виден по доменному имени, но оно указывает на внешний интерфейс прокси. Можно ли средствами сквида заменить адрес,чтобы он указывал на внутренний? Вроде решается внешними редиректами. Нет ли у кого-нить примеров?
Заранне благодарен.

EndoR, сразу в голову приходит не редирект, а запись на внутреннем DNS сервере, которая указывает на интернал IP этого веб сервера.

hoochie
а как тогда будут внешние обращаться? днс тут один. на нём прописан внешний адрес.

EndoR, ну я ж не знал, что у тебя он "авторитетный". Тогда вторая простая мысль - подредактировать /etc/hosts на локальных машинах.

hoochie
тоже думал. но в сети более 200 машин. и имхо слишком прямолинейный путь.
есть мысль, что сквид при обращении к конкретному адресу заменял бы сам адрес с помощью редиректа, но как это реализовать - не знаю.
с помощью packet filter тоже пока не знаю, как реализовать задуманное.

в сквиде - через простейший редиректор на perl
можно даже указать сквиду использовать редиретотор для данного домена, так на него нагрузка будет меньше.

оффтопик
в Bind 9.* есть views, для 8 повесть 2 копии на разных интерйесах

Ну, если для PF, то можно вот так. Это малость посложнее.
TCP Proxying
A generic TCP proxy can be setup on the firewall, either listening on the port to be forwarded or getting connections on the internal interface redirected to the port it's listening on. When a local client connects to the firewall, the proxy accepts the connection, establishes a second connection to the internal server, and forwards data between those two connections.
Simple proxies can be created using inetd(8) and nc(1). The following /etc/inetd.conf entry creates a listening socket bound to the loopback address (127.0.0.1) and port 5000. Connections are forwarded to port 80 on server 192.168.1.10.
127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \
20 192.168.1.10 80
The following redirection rule forwards port 80 on the internal interface to the proxy:
rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
127.0.0.1 port 5000

Народ!!!
плз ХЕЛП!!!

хочу запретить скачку файлов типа mp3.


Код:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl server src 10.0.0.1/255.255.255.255
acl sobolev src 10.0.0.117/255.255.255.255
acl LocalNET src 10.0.0.11-10.0.0.116/255.255.255.255 10.0.0.118-10.0.0.254/255.255.255.255
acl Safe_ports port 20 # ftpdata
acl Safe_ports port 53 #DNS
acl multimedia url_regex -i \.mp3$ \.wma$ \.mpeg$ \.avi$ \.mpg$ \.wav$ \.wm$ \.wmx$
acl ICQ dstdomain icq.com aol.com
acl ICQ_port port 5190
acl ICQ_proto proto HTTPS
acl media rep_mime_type audio/mpeg
no_cache deny QUERY


http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow server
http_access allow sobolev
http_access deny LocalNET multimedia
http_access deny LocalNET media
http_access allow LocalNET !multimedia
http_access allow CONNECT LocalNET ICQ ICQ_port ICQ_proto
http_access deny all

И еще, почемуто аська периодически отрубается...
приходится реконнектиться.

возможно по ftp у тебя стоят манагеры закачек, которые ходят мимо сквида
в аське укажи птицу - kepp connection alive

менеджеры закачек кстати выдают ошибку...

Код:
Wed Jun 29 15:22:09 2005 HTTP/1.0 206 Partial Content
Wed Jun 29 15:22:09 2005 Content-Type: application/octet-stream
Wed Jun 29 15:22:09 2005 Last-Modified: Thu, 19 Dec 2002 08:49:20 GMT
Wed Jun 29 15:22:09 2005 Accept-Ranges: bytes
Wed Jun 29 15:22:09 2005 Server: Microsoft-IIS/6.0
Wed Jun 29 15:22:09 2005 X-Powered-By: ASP.NET
Wed Jun 29 15:22:09 2005 Date: Wed, 29 Jun 2005 11:22:58 GMT
Wed Jun 29 15:22:09 2005 Content-Range: bytes 44168249-233197111/233197112
Wed Jun 29 15:22:09 2005 Content-Length: 189028863
Wed Jun 29 15:22:09 2005 X-Cache: MISS from myproxy.mydomain
Wed Jun 29 15:22:09 2005 Connection: close
Wed Jun 29 15:22:09 2005 переход в состояние [закачка]
Wed Jun 29 15:22:09 2005 ошибка создания или открытия файла

Имеется Squid, на этой же машине запущен Web сервер на Apache по 8080 порту. Через iptables сделан редирект, чтобы все пакеты, адресованные к web на 80 порт преобразовывались в 8080 порт.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Если обратится к машине напрямую по 80 порту, все хорошо, но если через Squid, то он не видит внутренний Web сервер на 80 порту, только 8080 (http://server:8080). Подскажите, как решить проблему, заставить Squid видеть внутренний Web сервер по 80 порту?

digital422 в принципе порты для вэб которые не 80, это отклонение от RFC, почему бы тебе не повесить апач на 80 порт ? а сквиду сказать слушать на порту например 3128 ?
eth0 это внешний интерфейс или внутренний ? судя по всему внешний! а сервер у тебя слушает на локальном ip на порту 8080 ! так что ты тогда хочешь от с квида коли апач на 80 порту на локальном ip не слушает, а сквид скорее всего с локального ip на локальный и лезет ?! решение - или скажи апачу слушать еще и на 80 порту или убирай порт 8080 и вешай на 80 порт , есть еще варианты но ты уже понял куда копать ! более правильно сделать как положено и повесить апач на порт 80 .

ipmanyak
какой ужас
digital422
Если вы обращаетесь к своему веб-серверу напрямую, то в этом случае и срабатывает ваш редирект, если он корректно настроен, то есть проброс с 80 порта на порт 8080.
В случае же обращения через прокси, к примеру через ваш сквид, обращение идет в этом случае по порту прокси-сервера (в сквиде по умолчанию он 3128), а уже прокси сам обращается к запрашиваемым ресурсам. Поэтому правило и не срабатывает

ipmanyak
1. eth0 - это единственный интерфейс на машине, которая стоит во внутренней сети.
2. Повесить на 80 порт можно, сейчас так и сделанно, просто я хочу понять, как можно сделать редирект в Squid на локальные приложения.
3. в принципе порты для вэб которые не 80, это отклонение от RFC
На входе 80 порт, который перебрасывается внутри на 8080, так что все нормально.

terrapin
Можете подсказать правило iptables для внутреннего редиректа, я пока новичек в *nix системах ?

digital422
Тут получается, что iptables редиректит только входящие соединения, которые приходят извне. А сквид не попадает под это правило, так как находися на этой же машине.

hoochie
Получается либо Web на честном 80 порту, либо ставить его на другую машину?

1. В каком месте прописать переменную %t, чтобы в ошибках сообщений отображалось локальное время, прописывал непосредственно в файлах ERR_*, время появляется, но не там, где надо, внизу, где строка:
Generated Tue, 05 Jul 2005 05:57:28 GMT by localhost.localhost.ru (squid/2.5.STABLE7)
время не изменяется.
2. Как заставить squid вести логи на локальном времени?

Пожалуй избитый вопрос, но точного рещения найти не смог.

Есть FreeBSD + Squid. Как настроить ограничение по трафику для пользователей не использую дополнительные базы MySQL и т.п.? Для конкретного/каждого? К примеру, указывваю в настройках, что ip 192.168.0.1 можно скачать 100Мб в месяц и при превышения инет должен отрубаться. Пользователей около 30.

На сколько я понимаю, средствами squid это сделать не совсем можно. Тогда может быть это делается с помощью ipfw и мой вопрос не эту тему?..