» SQUID (только под *nix)

установлен SQUID 2.7 + FreeBSD

необходимо прозрачно проксирование,
в конфиге сквида: http_port 192.168.0.1:3128 transparent
в IPFW - fwd 192.168.0.2,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl1

вроде всё работает, при непрописанной проксе в браузере в лог сквида сайты пишутся посещённые.
но. если прокся в браузере прописана, при вводе несуществующего сайта выскакивает встроенная страница ошибки сквида.

а при непрописанной проксе такого нету, такое ощущение, что никакого сквида и нету.
Почему так?

Цитата:

capitannemo

Можно проверить сессию пользователя - что то подобное:

Цитата:EXAMPLE
Configuration example using the default automatic mode

external_acl_type session ttl=300 negative_ttl=0 children=1 concurrency=200 \
%LOGIN /usr/local/squid/libexec/squid_session

acl session external session

http_access deny !session

deny_info http://your.server/bannerpage?url=%s session

Then set up http://your.server/bannerpage to display a session startup
page and then redirect the user back to the requested URL given in the
url query parameter.


Добавлено:
вот ещё есть редиректор, но не проверял... Проверь отпишись что к чему.
http://guifi.net/en/node/14092

С редиректром от guifi.net - все работает отлично.

lkrotish

Цитата:

необходимо прозрачно проксирование,

Цитата:

при непрописанной проксе в браузере в лог сквида сайты пишутся посещённые.

Цитата:

если прокся в браузере прописана

Ты сам то понял что спросил?


Цитата:

такое ощущение, что никакого сквида и нету.

В церковь/мечеть/синагогу сходить и попустит...

capitannemo

Цитата:

С редиректром от guifi.net - все работает отлично.

Спасибо за проверку.

Ruza
Всё я понял) Окей, укорочу вопрос,
почему при прозрачном проксировании при посещении скажем несуществующего сайта не выскакивает встроенная страница ошибки сквида?

Была аналогичная ситуация, когда тестил прозрачный прокси. Кажись это особенность сквида , когда при прозрачной работе пытаешся зайти по прокси - блокирует. Точно не узнавал.

вопрос к спецам:
есть сетка. ходит в нет через SQUID. НО нада чтобы тем у кого прозрачный прокси - все шло как есть, а тем у кого прокси настроен в броузере - резалась реклама (с помощью url_rewrite_program)
было бы классно, если сделать для SQUID два порта (3128 - для норм прокси, 3127 - для прозрачного) и для первого резать рекламу а для второго нет.
в конфиге я указал:
http_port 3128
http_port 3127 transparent
теперь можно коннектится к любому порту, но как отключить редиректор для второго порта ?

ЗЫ: вариант с двумя SQUIDами не устраивает (машинка слабовата)

Добавлено:
придумал )


http_port 3128
http_port 3127 transparent

acl rewriteclients myport 3128

url_rewrite_access allow rewriteclients
url_rewrite_access deny all
url_rewrite_program /usr/local/squid/bin/ufdbgclient –l /usr/local/squid/logs
url_rewrite_children 16

lkrotish
Вот же проблема то... Ну давай разбираться - с какого бодуна сквид не пихает страницу-ошибку в ответ на прозрачный запрос.
В прозрачном прокcировании браузер отправляет запрос вида:

Цитата:

1. соединение с сервером (HTTP порт = 80):
connect (www.server.ru, 80)
2. запрос файла
GET /homepage/index.htm HTTP/1.0
Host: www.server.ru
Accept: *.*, */*
3. скачивание файла

А при не прозрачном (это когда ты в браузере прописываешь прокси:порт):

Цитата:

1. соединение с proxy сервером (порт = 8080):
connect (proxy.ru, 8080)
2. запрос файла
GET http://www.server.ru/homepage/index.htm HTTP/1.0
Host: www.server.ru
Accept: *.*, */*
3. скачивание файла

Так вот ответь на такой вопрос - куда в первом случае пихать страницу не нарушая RFC?

Собсна есть проблема...
Поднимаю squid, вроде сделал норм рабочий конфиг.... но беда в том, что не получается открыть 443 порт.
Постоянно появляется ошибка (113)No route to host

Ещё 1 вещь, которую, думаю следует уточнить - это то, что мой squid "сидит" ещё за 1м squid'ом
Так вроде всё работает кроме этого 443 порта
вот конфиг :


http_port 3128
#https_port 443
#ssl_unclean_shutdown on
visible_hostname 10.20.10.158
icp_port 0
cache_mem 100 MB
cache_dir ufs /home/ideally/log/cache 4096 16 256
cache_peer 172.20.0.1 parent 3128 0 no-query no-digest no-netdb-exchange proxy-only
maximum_object_size 2048 KB
cache_replacement_policy heap GDSF
cache_store_log none
memory_replacement_policy heap GDSF
quick_abort_min 0 KB
quick_abort_max 10 KB
negative_ttl 1 minutes
range_offset_limit 0
access_log /home/ideally/log/access.log
cache_log /home/ideally/log/cache.log
acl localnet src 10.60.10.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl PURGE method PURGE
acl all src 0.0.0.0/0.0.0.0
acl noscan urlpath_regex -i \.(jpeg|gif|png|ico|swf|flv|pdf|bmp|mov|avi|rar|mp3|viv)&
http_access allow localnet
http_access allow localhost
http_access allow PURGE localhost
#http_access allow !SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny CONNECT
http_access deny PURGE
http_access deny all
http_reply_access allow all
icp_access allow all
cache_peer_access 172.20.0.1 deny noscan
#cache_mgr TIMUR@TIMUR.TIMUR
buffered_logs on
balance_on_multiple_ip on
pipeline_prefetch on
relaxed_header_parser on

ЗЫ: на пути в /home/ мона не обращать внимания, это чушь

iDeally
Вот это попробуй убрать:

Цитата:

http_access deny CONNECT

Ты уже запретил CONNECT к не SSL строкой выше.

Хм. всё равно не работает... то же самое, на 80 порт норм а на 443 no route ho host

А проблема не может быть вызвана тем, что я сижу за ещё 1м squid? или мб из-за него и настройки этого как то по другому должны выглядеть ?)
Если не использовать мой squid, т.е. тока тот, за которым я сижу то 443 работает...

логи обеих сквидов покажи

ммм, тот squid, который между мной и инетом это высшестоящая админка, к которой доступа у меня нету...

вот кусочек лога squid'a который поднимаю я:

1228142401.786 172 10.20.0.10 TCP_REFRESH_HIT/200 1327 GET http://www.trancefix.nl/images/v2/misc/right.gif - FIRST_UP_PARENT/172.20.0.1 image/gif
1228142402.036 327 10.20.0.10 TCP_MISS/200 23083 GET http://www.google-analytics.com/urchin.js - FIRST_UP_PARENT/172.20.0.1 text/javascript
1228142402.352 314 10.20.0.10 TCP_MISS/200 578 GET http://www.google-analytics.com/__utm.gif? - FIRST_UP_PARENT/172.20.0.1 image/gif
1228142402.562 209 10.20.0.10 TCP_MISS/200 4138 GET http://www.trancefix.nl/favicon.ico - FIRST_UP_PARENT/172.20.0.1 image/x-icon
1228142417.213 6717 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228142481.936 6278 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228142623.145 6262 10.20.0.10 TCP_MISS/503 1466 POST http://www.trancefix.nl/search.php - DIRECT/62.204.68.38 text/html
1228199904.363 155 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228199905.752 553 10.20.0.10 TCP_MISS/302 800 GET http://ru.fxfeeds.mozilla.com/ru/firefox/headlines.xml - FIRST_UP_PARENT/172.20.0.1 text/html
1228199906.054 302 10.20.0.10 TCP_REFRESH_MISS/200 7229 GET http://newsrss.bbc.co.uk/rss/russian/news/rss.xml - FIRST_UP_PARENT/172.20.0.1 text/xml
1228199907.642 3044 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228199910.830 3016 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200057.515 42925 10.20.0.10 TCP_MISS/503 1523 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.43.101 text/html
1228200251.101 45 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200251.633 16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200252.158 16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200254.800 3019 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200260.990 9014 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200267.183 16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200270.347 3014 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200378.411 44 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200378.987 16 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200382.186 3016 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228200388.319 9018 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -
1228201999.063 150408 10.20.0.10 TCP_MISS/503 1606 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/safebrowsing.clients.google.com text/html
1228205305.646 749 10.20.0.10 TCP_MISS/302 800 GET http://ru.fxfeeds.mozilla.com/ru/firefox/headlines.xml - FIRST_UP_PARENT/172.20.0.1 text/html
1228205306.941 1283 10.20.0.10 TCP_MISS/200 7266 GET http://newsrss.bbc.co.uk/rss/russian/news/rss.xml - FIRST_UP_PARENT/172.20.0.1 text/xml
1228205490.446 42335 10.20.0.10 TCP_MISS/503 1523 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - DIRECT/74.125.43.102 text/html


тут вроде есть и "разрешения" по 80 и "запреты" на 443й порты...

iDeally
Где запреты-то? Нет ни одного.

возьми дефолтный конфиг - он пускает

1228200254.800 3019 10.20.0.10 TCP_MISS/503 0 CONNECT ru.add-ons.mozilla.com:443 - DIRECT/63.245.209.16 -

А это не запрет?
Впрочем, даже если не запрет то при попытке обратиться на 443 порт в лог добавляется эдентичкая запись, а в браузере ошибка 113 No route to host...
Мб в силу своего незнания я думал, что это запреты, но факт остаётся фактом.. не получается дать доступ на 443 порт...

iDeally
TCP_MISS - означает, что объекта не было в кеше.
TCP_DENIED - а вот он, запрет.

Как уже писал Ruza, убери из конфига строку:

Цитата:

http_access deny CONNECT

И всё чудесным образом заработает.
А если нет, то значит на вышестоящем прокси запрещено.

Добавлено:
Кстати, а к чему вообще эти городульки с каскадом прокси? Есть какой-то сакральный смысл, или просто нет другого выбора?

фактически нету другого выбора...
с недавних времён "начальство" решило ограничить пользхование инетом и из 3х учёток ВПН оставили тока 1..
ну и что бы разделить его - решил побаловаться с squid ...

Я вот не знаю, пробовал коментить это строку, всё равно 443 не работает...
но если не использовать мой squid, т.е. на прямую ломиться то всё работает..
я вот не знаю, может ли быть там ограничение по клиенту? мол тот squid видит что это не браузер и блокирует 443?

а по поводу лога, DIRECT это не сброс ?
там же, как бы када по 80 сайты открываются, он пишет типа first_up_parent/172.20.0.1 , как я понимаю это директ на родительны йпрокси..
а по 443 DIRECT и ни слова о вышестоящим прокси... т.е. запрос "затухает" на моём squid? или нет?

iDeally
Извини за глупый вопрос - ты после правки конфига запускал squid -k reconfigure ?
DIRECT означает, что объект был запрошен с оригинального сервера
Таки да, твой сквид не перенаправляет CONNECT на родительский прокси.

ммм
мб и не глупый, но не знаю, я делал sudo /etc/init.d/squid restart

Ну, рестарт вовсе необязательно делать (хотя если сервер эксплуатируется слабо - никто не заметит), достаточно reconfigure.

Цитата:

решил побаловаться с squid ...

В таком случае моя рекомендация будет стара, как айтишный мир - необходимо изучить матчасть, а потом уже задавать вопросы по конкретике. Можно начать вот с этого и этого.

Почесав маленько репу...
Сдалось мне что CONNECT сцуко подразумевает прямое соединение и вроде как для такого случая есть директивы always_direct и never_direct...
iDeally
never_direct allow all - должно решить проблему.

подскажите пожалуйста, можно ли использовать одновременную аутентификацию ncsa и ntlm?

Такая штука у мну не прокатывает



Добавлено:
Сори, пред идущий пост случано отправил незаконченным

Подскажите пожалуйста, можно ли использовать одновременную аутентификацию ncsa и ntlm?

Такая штука у мну не прокатывает:

> auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
> auth_param ntlm children 5
>
> auth_param basic program /usr/lib/squid/ncsa_auth /usr/local/stc/etc/password
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours

По ntlm авторизация проходит, а вот по юзер-паролю нет! (

past0r
Где то читал что ntlm+ncsa не могут вместе работать...
Так что тут в basic напиши:

Цитата:

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm DOMAIN
auth_param basic credentialsttl 1 hours

И вообще для чего ncsa?

[q][/q]
Для тех, кто не в домене... Ж(

Цитата:

Почесав маленько репу...
Сдалось мне что CONNECT сцуко подразумевает прямое соединение и вроде как для такого случая есть директивы always_direct и never_direct...
iDeally
never_direct allow all - должно решить проблему.

Спс, это действительно помогло... = )

2BONDBIG
Я конечно всё понимаю, но када нада сделать, тратишь 2 недели на изучение мат части и в итоге ничего не получается, или получается но не всё - появляется желание спросить у тех, кто знает...
И ты, знаток мат части, лучше бы помог, чем посылать за парту

past0r

Цитата:

Для тех, кто не в домене...

А много таких?
есть же mac/ip и ещё sasl и pam может они заработают...
Ну на крайняк 2 сквида

Есть прозрачный сквид.
Есть pf + ipfw
на pf редир на сквид:
rdr pass on $int_if inet proto tcp from $internal_addr to !192.168.0.0/24 port { 80, 3128, 8000, 8080 } -> 192.168.0.100 port 3128
и НАТ:
nat on fxp0 from 192.168.0.0/24 to any -> 77.88......

на ipfw разделение канала на мир и ЮА(так как мир медленный и на всех качателей не хватит, а на отдельных задротов торрентеров вообще никакого нета не хватит )

ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00270 pipe 510 ip from table(10,510) to table(29,512) out via sk0
00280 pipe 512 ip from table(29,512) to any in via sk0
00290 pipe 513 ip from not table(29,512) to table(29,512) out via sk0
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any


кусок конфы...
#исход
/sbin/ipfw pipe 512 config bw 128Kbit/s mask src-ip 0xFFFFFFFF

/sbin/ipfw pipe 513 config bw 256Kbit/s mask dst-ip 0xFFFFFFFF

#вход из UA
${ipfw} pipe 510 config bw 2Mbit/s mask dst-ip 0xFFFFFFFF

${ipfw} add 270 pipe 510 ip from "table(10,510)" to "table(29,512)" out via sk0
/sbin/ipfw add 280 pipe 512 ip from "table(29,512)" to any in via sk0
/sbin/ipfw add 290 pipe 513 ip from not "table(29,512)" to "table(29,512)" out via sk0


таблица 29 - локальные ИПшки, 10я - ЮА


Проблема:
Пакеты с инета к локальному клиенту прошедшие сквид(хоть он и прозрачный) и НАТ, не могут быть классифицированы и распиханы в пайпы, так как они уже по идее идут с локалки в локалку.

нужно:
каждому ИП гарантированно 128Кбит + сколько есть свободно (динамика) по миру
и так же по ЮА..

+ приоритеты по портам (сетевые игры)

Кто поможет переписать все на ПФ(RED + borrow или еще чего там) без ипфв = многим будет полезно + от меня не много но WMZ\U\R\E

и на последок

uname -a
FreeBSD ххх.kiev.ua 7.0-RELEASE-p5 FreeBSD 7.0-RELEASE-p5 #0: Mon Nov 10 15:09:16 EET 2008 ххх.kiev.ua:/usr/obj/usr/src/sys/GENERIC.last.ok

ifconfig 22:58 ttyp1
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:13:d4:ad:a7:de
inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseTX <full-duplex,flag0,flag1>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:02:b3:8b:12:ab
inet 77.88..... netmask 0xfffffffc broadcast 77.88.......
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000

Ребят столкнулся с такой ситуацией.
надо сервер переводить на бесплатное по
решил поставь sese 11.0 которая была под рукой...
на ней надо поднять Squid
но есть загвозга мне надо чтоб она бегала без всяких прокси прописаных в браузере....а то у меня программы есть которые не дружат с прокси
помогите как это все дело организовать и с чего начать

LDEL Сквид это HTTP прокси и более ничего, программы не будут работать через него. Их будешь NAT-ить или по портам или по ip адресам назначения. Чтобы не прописывать в браузере, сделай сквид прозрачным прокси (transparent) В доках и википедии всё есть как делать.

а как будет правильней организовать
сеть смотрит 192.168.1.1 ADSL смотрит 192.168.2.1
скажите как в конфиге деистовать с прозрачным прокси