Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: aezhov
Дата сообщения: 17.09.2007 16:22
help!!!!!!
Автор: ginger
Дата сообщения: 17.09.2007 17:05
Попробуйте сделать следующим образом, в squid.conf добавляем следующие строки:

acl ournetwork src 192.168.0.0/24
acl useragents browser (Firefox)|(MSIE.*[)]$)|(Opera)
http_access allow ournetwork useragents
http_access deny all

Строка acl useragents browser описывает разрешенные браузеры.
Автор: Loafer
Дата сообщения: 17.09.2007 20:39
fly_house

Цитата:
Подскажите пожалуйста как сквиду сказать что конкретный сайт domain.com находится внутри сети по адресу 192.168.0.9, а не пытался ломится в инет, чтоб резолвить этот адрес? пробовал прописать адрес в /etc/hosts, бесполезно. FreeBSD 6.2.

Squid`y разрешено смотреть файл /etc/host?
В настройках squid.conf есть соответствующаю строка и такая связка точно работает.
Автор: ipmanyak
Дата сообщения: 18.09.2007 08:37
aezhov А аксели запрета стоят там где надо ? И знак доллара в конце разве нужен ? - я про это не помню уже - сам уточни.

Попробуй блочить вот так:

acl audio rep_mime_type -i ^audio/
acl audio_32kadpcm rep_mime_type -i ^audio/32kadpcm
acl audio_basic rep_mime_type -i ^audio/basic
acl audio_midi rep_mime_type -i ^audio/midi
acl audio_mpeg rep_mime_type -i ^audio/mpeg
acl audio_vnd.qcelp rep_mime_type -i ^audio/vnd.qcelp
acl audio_x-aiff rep_mime_type -i ^audio/x-aiff
acl audio_x-pn-realaudio rep_mime_type -i ^audio/x-pn-realaudio
acl audio_x-pn-realaudio-plugin rep_mime_type -i ^audio/x-pn-realaudio-plugin
acl audio_x-realaudio rep_mime_type -i ^audio/x-realaudio
acl audio_x-wav rep_mime_type -i ^audio/wav

само собой deny для все этих акселей добавь

запрети еще в сквиде *.asx *.pls,
и на firewall закрой порты :
MS NetShow - TCP -1755, UDP - dyn >=1024 <=5000     streaming video *
1170 - TCP - Voice Streaming Audio
VDOLive TCP - 7000     user-specified     streaming video
Real Audio & Video -TCP 7070 и UDP -     6970-7170     streaming audio and video
Liquid Audio     18888         streaming audio
RTSP - TCP - 554         Real Time Streaming Protocol described in RFC 2326.
короче посмотри список портов здесь - http://www.chebucto.ns.ca/~rakerman/port-table.html


Автор: ipmanyak
Дата сообщения: 19.09.2007 09:08
tolyn77
Цитата:
подскажите как можно из кеша извлечь объект или удалить???

Как вытащить все MP3 файлы из кеша Squid:
purge -n -a -s -c /etc/squid/squid.conf -C /tmp/MP3s/ -e '\.mp3|\.wav'

Утилиту purge скачать можно здесь: http://www.wa.apana.org.au/~dean/sources/
ей же можно и удалить.
Автор: dene14
Дата сообщения: 21.09.2007 17:55
Уважаемые коллеги. У меня возникла проблема.

Установлен Squid ветки 2.6, настроен в транспарент прокси, всё ходит через него нормально, но судя по логам всегда всё грузится напрямую - везде в Access.log стоит DIRECT, даже на самых обыкновенных статических HTTP ссылках на рисунки и прочее, хотя судя по количеству объектов что-то в кэш попадает... Но, по-видимому, ничего оттуда никогда не берётся ((( ну разве что изредка совсем какой-нить css или картиночка загрузится... подскажите что подкрутить чтобы было максимальное кэширование.

Вопрос номер два:
Кто-нить может подсказать, как при прозрачном кэшировании отрубать юзера? Суть проблемы такова, что стоит биллинг и считает потраченный трафф, так вот если у человека осталось на счету всего пару мегабайт, а он начинает качать фильм к примеру с HTTP, то, само собой, останавливается ESTABLISHED соединение. Я сделал так что ESTABLISHED между сервером и юзером рубится, но ведь остаётся соединение от сервера к интернет хосту, и проблема зарубить его состоит в том, что удалённый адрес может быть любой, а порты динамические, а кто инициировал данное соединение естественно знает тока сквид...
Может кто-то подскажет идейку, как блокировать такие соединения самим сквидом, чтобы оно рвалось сразу в две стороны? Буду весьма благодарен!

Вопрос номер три:
Можно ли создать некий ACL, который определённые типа файлов (например rar, zip) перенаправлял на другой проксик (тоже сквид, не прозрачный)?

Вопрос номер четыре:
Можно ли для определённого сайта сделать авторизацию самим сквидом, чтобы юзерам не нужно было сообщать пароль на сайт (пароль общий, сайтом пользуются все, авторизация вроде как basic) ???

----

По всем вопросам если кто-то поделится ещё и готовыми наработанными выкладками, а не только направит мои смятённые мысли в нужную сторону, буду признателен вдвойне! ))
Автор: tolyn77
Дата сообщения: 27.09.2007 07:49
привет, Всем
подскажите как, где можно посмотреть логи регистрации клиента на проксе?
у меня просто не понятки какие то если у клиента в браузере выставить просто прокси-сервер то он заходит на адрес, а если выставить сценарий автоматической настройки то не пускает на этот же адрес, хотелось бы разобраться.
заранее благодарен
ПС
в конфиге сквида есть
acl allowed_hosts src 10.0.0.0/255.255.255.0 213.x.x.64/255.255.255.248
в сценарии есть
if (dnsDomainIs(host,"host.ru") || isInNet(host,"213.x.x.64","255.255.255.248"))
return "DIRECT";

if (dnsDomainIs(host,"host.nt") || isInNet(host,"10.0.0.0","255.255.255.0"))
return "DIRECT";
а не получается попасть на 213.x.x.70, он ведь в этой сети?
Автор: sergeytt
Дата сообщения: 27.09.2007 09:52
Всем прив, встала проблемка - поставить ограничение по трафу (на каждого юзера с авторизацией по Ip) и онлайн проверка трафа идущего через проксю squid антивирем... ныне пользуюсь SquidParser, но не понимаю как прикрутить туда-же антивирь...
Автор: ipmanyak
Дата сообщения: 27.09.2007 12:04
sergeytt SAMS система управления доступом пользователей к прокси серверу SQUID.
http://sams.perm.ru/
Антивирь прикручивай так: HAVP +Squid + Clamav
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=07.2005
Читай там статьи Маркелова и Авраменко и ссылки к статьям внизу
Текстовичок статьи Маркелова тут - http://www.samag.ru/source/source7(32).txt
Или еще эта же статья на его сайте - http://www.markelov.net/articles.php?lng=ru&pg=186
Автор: vovanj7
Дата сообщения: 28.09.2007 16:33
Может не совсем по сквиду вопрос, но все же настроен squid(freebsd 6.1), пользователи Виндовые
1. те у кого Opera или Mozilla нормально ходят по инету
2. У тех, у кого IE при загрузке страницы, страница грузится, но http://rd.foto.radikal.ru/0709/5e/965b660c7053.jpg

Как от этого можно избавиться? Это глюки только IE?(Опера то нормально работает)
Вот конфиг Squid на всякий случай

http_port 10.65.2.4:3128
visible_hostname gw-od
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
mime_table /usr/local/squid/etc/mime.conf
cache_mem 32 MB
maximum_object_size 5000 KB
cache_dir ufs /usr/local/squid/var/cache 1024 16 256
cache_replacement_policy lru
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/logs/var/cache.log
cache_store_log none
cache_store_log /usr/local/squid/var/logs/store.log
ftp_user ano@nim.ru
acl all src 0.0.0.0/0.0.0.0
acl ITT src 10.65.2.0/255.255.255.0
acl PPO src 10.65.3.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

## setting safe ports
#
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 53        # DNS
acl Safe_ports port 5190    # icq
acl Safe_ports port 5999    # cvsup
acl Safe_ports port 3128    # proxy
acl Safe_ports port 3120    # icp
acl CONNECT method CONNECT

http_access allow ITT
http_access allow PPO

http_access deny !Safe_ports
http_access deny !SSL_ports

cache_peer 10.65.2.1 parent 1080 3120 no-query proxy-only no-delay default
login=maxtest:maxtest
never_direct allow ITT
never_direct allow PPO

delay_pools 2
#
#    IT
#
delay_class 1 1
delay_parameters 1 50000/50000
delay_access 1 allow ITT
delay_access 1 deny all
#
delay_class 2 1
delay_parameters 2 20000/20000
delay_access 2 allow PPO
delay_access 2 deny all

refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.zip$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.tar$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.gz$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.tgz$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.exe$ 10800 100% 21600 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wma$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.avi$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mpg$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wmv$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mpeg$ 10800 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mov$ 10800 100% 43200 override-lastmod override-expire

Автор: esvaf
Дата сообщения: 07.10.2007 21:16
Здравствуйте!
Подскажите пожалуйста как настроить сквид, чтобы он работал в прозрачном режиме, и писал в логи имена пользоватлей домена(без авторизации, просто надо чтобы велся учет по именам ползователей).
Это вообще реально?
Автор: ipmanyak
Дата сообщения: 08.10.2007 10:44
esvaf Одно из двух или прозрачность или авторизация !

Q: Могу ли я использовать proxy auth с прозрачным проксированием?
A: Нет, не можете. При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и никогда не посылает заголовок Proxy-authorization.

Но если юзать внешнюю программу для авторизации, то вроде как можно, хотя странно. Лично я сам не проверял.
external_acl_type domain_users children=20 ttl=300 %SRC /root/bin/getname.pl
acl AuthorizedUsers external domain_users
http_access allow AuthorizedUsers

По авторизации читай статью в шапке.

Автор: yuuyake
Дата сообщения: 12.10.2007 09:04
Добрый день.
Система FreeBSD 6.2
Squid 2.6 STABLE 16

Бывает, что Squid не стартует, причем не важно, как я перезагружал машину. Командами reboot, halt, или просто просто включил и выключил. Может стартовать, а может и не стартовать. Выдаёт только такое сообщение, копирую из файла /var/log/messages:

Код: squid[635]: Squid Parent: child process 637 started
squid[635]: Squid Parent: child process 637 exited with status 1
squid[635]: Squid Parent: child process 766 started
squid[635]: Squid Parent: child process 766 exited with status 1
squid[635]: Squid Parent: child process 773 started
squid[635]: Squid Parent: child process 773 exited with status 1
squid[635]: Squid Parent: child process 775 started
squid[635]: Squid Parent: child process 775 exited with status 1
squid[635]: Squid Parent: child process 777 started
squid[635]: Squid Parent: child process 777 exited with status 1
squid[635]: Exiting due to repeated, frequent failures
Автор: Sadok
Дата сообщения: 12.10.2007 10:10
yuuyake
Пересоздай кеш. Редиректоры используешь? Режик какой-нить...
Автор: yuuyake
Дата сообщения: 12.10.2007 10:27
Sadok
Спасибо, как еще раз не запустится, то попробую. Сейчас проверил и раз 6 перезагрузился и все 6 раз Squid стартовал без проблем. Как назло прямо =)

Редиректоров не использую, у меня вообще конфиг дефолтный, я только диапазон своих IP прописал.
Автор: AcidSly
Дата сообщения: 14.10.2007 21:24
yuuyake
а место на винтах есть, у меня такое было, логи и кеш забили весь раздел, в результате когда писать некуда сквид вылетает и снова стартует
Автор: Angelok69
Дата сообщения: 23.10.2007 10:31
В стандартном конфиге (по умолчанию) не могу понять смысл этих строк:
acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

Т.о. сначала создаётся список доступа, но что за протокол cache_object?
А во втором случа непонятно зачем нужно последнее правило, если в первом доступ уже разрешен?
Автор: ginger
Дата сообщения: 23.10.2007 11:10

Цитата:
В стандартном конфиге (по умолчанию) не могу понять смысл этих строк:


Цитата:
acl manager proto cache_object

здесь описывается доступ к объектам хранящимся в кэше

Цитата:
http_access allow manager localhost

правило позволяющее иметь доступ к хранящимся в кэше объектам для manager только с localhost

Цитата:
http_access deny manager

правило запрещающее какой либо доступ для manager
Автор: griin
Дата сообщения: 23.10.2007 14:36
Стоит FreeBSD 6.1 и squid/2.5.STABLE12 (а также ipfw и natd). В последнее время периодически при попытке открыть тот или иной сайт выдается сообщение:

Цитата:
Запрошенный URL не может быть доставлен.
Невозможно определить IP адрес узла www.сайт.ru

Сервер адресов ответил:

Temporary network problem, please retry later


Провайдер говорит, что с его DNS-сервером все в порядке. Проблема возникает, в том числе, и с часто посещаемыми сайтами вродe rbc.ru. Иногда после нескольких рефрешей страница загружается нормально. В чем может быть проблема, куда копать? Это проблема моего сквида или все-таки провайдера?
Автор: ginger
Дата сообщения: 23.10.2007 14:58
griin

Цитата:
В чем может быть проблема, куда копать?

Посмотрите ваш /etc/resolv.conf, проверьте на доступность сервера имен прописанные в нем, так же было бы не плохо поднять на вашем сервере со squid, кеширующий сервер имен.
Автор: griin
Дата сообщения: 23.10.2007 15:30
Сервера из resolv.conf доступны.

Еще обратил внимание, что проверка имени пользователя/пароля при коннекте по ssh длится дольше чем обычно (секунд 5, а раньше моментально логинился)... Может проблема не в сквиде?
Автор: ipmanyak
Дата сообщения: 23.10.2007 16:22
griin Глючит или тормозит резолвинг. Проверь файл /etc/hosts ? Что в нем ?
Что прописано в конфиге сквида # TAG: dns_nameservers ? Локальный кеширующий сервер имен поднят или нет ?
Канал в инет не забит ? Сквиду отдан весь канал ? delay_pool настраивал ?
Автор: nakonectozaregilsya
Дата сообщения: 13.11.2007 18:16
Вот буквально на днях наткнулся на весьма полезный ресурс, а то в нашей конторе завелось несколько любителей "горяченького". Думаю, что многим пригодится.
http://www.url2ban.com/
Позиционируется как "сервис поддержки "черного списка" сайтов (blacklist, banlist)". Скормил его squid-у. Вроде работает.
Автор: Loafer
Дата сообщения: 14.11.2007 20:38
nakonectozaregilsya
Скормил своего - прикорми и рубордовских
Если это правда список из 150 тыс сайтов - то на рапиду его pls кинь 0.03$ не жалко - но кто его знает сколько там снимут реально, верить оснований нет

Добавлено:
Да и отсутствие в таком огромном списке - такого огромного порно ресурса как madgals.com выглядит странным.
Автор: Ruza
Дата сообщения: 15.11.2007 01:15
ИМХО Да развод это всё. Банить порно по именам сайтов - утопия... 0,3 бакса в день если они оперативно обновлять будут, тогда да возможно и будет смысл.

nakonectozaregilsya
Признавайся _http://www.url2ban.com твой ресурс ???
Автор: nakonectozaregilsya
Дата сообщения: 15.11.2007 07:51
Ну вот сразу подкалывают Ресурс не мой, в яндексе нашел. Да и я насколько я понял список не стоит на месте, а постоянно растет.
Автор: MrCreo
Дата сообщения: 15.11.2007 08:22
Тоже посмотрел. Только там не 0,3 в день, а 0,03 в сутки. Разница существенная.
Ресурс я так понял новый, но список внушительный и постоянно увеличивается.
madgals.com там тоже есть, похоже вчера не его очередь была.
Сделали они тебя Loafer

Добавлено:

Цитата:
Банить порно по именам сайтов - утопия...

Кстати, а какие еще варианты?
1) Выкачивать контент, проверять на соответствие действительности и принимать решение отдавать его клиенту или нет? По такой схеме экономии трафика не получится
2) Резать регулярными выражениями? Давайте разберем natteslet.startspot.nl на составные части ?

Добавлено:
Кстати вот еще один подобный ресурс http://www.urlblacklist.com.ua/
Только список там порядка 35000 сайтов, и у меня вебмани нет.
Автор: tip
Дата сообщения: 15.11.2007 12:12
Привет. Кто-нить может набросать простейшую конфигу для локального ипользования ? Никаких ограничений, резалоок пока ненадо, только локалхост. Два дня мучаюсь уже, не идёт через него и всё (( Да, итернет через другие прокси, одна с авторизацией одна нет, на выбор...
Автор: MrCreo
Дата сообщения: 15.11.2007 17:31

Цитата:
Привет. Кто-нить может набросать простейшую конфигу для локального ипользования ? Никаких ограничений, резалоок пока ненадо, только локалхост. Два дня мучаюсь уже, не идёт через него и всё (( Да, итернет через другие прокси, одна с авторизацией одна нет, на выбор...


http_port 3128
htcp_port 0
cache_peer адрес_прокси_прова parent 3128 no-query default
never_direct allow all
hierarchy_stoplist cgi-bin
acl QUERY urlpath_regex cgi-bin

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i \.cab$    2880    700%    8640 override-expire
refresh_pattern -i \.swf$    2880    700%    8640 override-expire
refresh_pattern -i \.swf$    2880    700%    8640 override-expire
refresh_pattern -i \.gif$    2880    700%    8640 override-expire
refresh_pattern -i \.png$    2880    700%    8640 override-expire
refresh_pattern -i \.jpg$    2880    700%    8640 override-expire
refresh_pattern -i \.jpeg$    2880    700%    8640 override-expire
refresh_pattern -i \.inf$    4320    1000%    8640 override-expire
refresh_pattern -i \.mid$    17280    1000%    24660 override-expire
refresh_pattern -i \.wav$    17280    1000%    24660 override-expire
refresh_pattern -i \.asp$    1440    90%    8640 override-expire
refresh_pattern -i \.php$    1440    90%    8640 override-expire
refresh_pattern -i \.pl$    1440    90%    8640 override-expire
refresh_pattern -i \.html$    1440    1000%    8640 override-expire
refresh_pattern -i \.htm$    1440    1000%    8640 override-expire
refresh_pattern -i \.shtml$    1440    1000%    8640 override-expire
refresh_pattern -i \.css$    1440    90%    8640 override-expire
refresh_pattern -i \.js        1440    90%    8640 override-expire
refresh_pattern .        2880 1000% 20160 override-expire

quick_abort_min 0 KB
quick_abort_max 0 KB

acl CONNECT method CONNECT

acl all src 0.0.0.0/0.0.0.0

http_access allow all

http_reply_access allow all

forwarded_for off

#адрес_прокси_прова замени на адрес прокси, и порт 3128 следом если он другой
#должно работать, если нет то смотри лог и исправь ошибки
Автор: tip
Дата сообщения: 16.11.2007 06:52
А что значит это множественное refresh_pattern ? hierarchy_stoplist cgi-bin ?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.