» SQUID (только под *nix)

DShtorm

Цитата:

Jan 21 22:50:59 main kernel: possible SYN flooding on port 3128. Sending cookies.

Если у вас Linux, то необходимо выполнить следующие команды в консоле:

Цитата:

sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_synack_retries=2

Что бы сохранить изменения, то необходимо добавить в файл /etc/sysctl.conf следующее:

Цитата:

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
#Prevent SYN attack
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2

Добавлено:
slut

Цитата:

Ситуация: (инет) - (squid1) - (squid2).
Всё работало, на squid1 была обычная привязка по ip. Сейчас на squid1 сделал аутентификацию по login/password без привязки к ip, соответственно, нужно переконфигурировать squid2 для аутентификации на squid1.
Подскажите где что крутить, а то я сходу что-то не нашел в документации.
Заранее спасибо

Вам необходимо смотреть следующие параметры:
cache_peer
always_direct
never_direct

ginger
Спасибо за совет

Осталось у меня по Squid 2 вопроса

1) Как получить заведомо закешированный файл из кеша .
Вот пример с DownloadMaster , я его кучу раз качал с офсайта ,
и потом закачивал с ускорением из кеша , и потом начинал очередную скачку
и он опять тянулся как с офсайта .Смотрю ситуация идет после события
-TCP_CLIENT_REFRESH_MISS . Никто не в курсе как это подкрутить ??

1232574378.036 531 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574392.376 422 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574406.673 458 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574421.516 466 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574436.488 422 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574454.783 3413 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574469.609 403 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232574483.685 405 192.168.5.16 TCP_CLIENT_REFRESH_MISS/503 446 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232578527.695 156074 192.168.5.30 TCP_MISS/200 5044657 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232583678.508 6152 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232583693.952 5587 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232587178.725 8192 192.168.5.30 TCP_HIT/200 5044667 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232611849.701 7176 192.168.5.30 TCP_HIT/200 5044668 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232614234.190 6876 192.168.5.30 TCP_HIT/200 5044668 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232630008.145 3877 192.168.5.109 TCP_MISS/200 66740 GET http://letitbit.net/tmpl/dmaster.exe - DIRECT/88.208.22.161 application/octet-stream
1232630008.428 940 192.168.5.109 TCP_CLIENT_REFRESH_MISS/206 8828 GET http://letitbit.net/tmpl/dmaster.exe - DIRECT/88.208.22.161 application/octet-stream
1232630008.543 3286 192.168.5.109 TCP_CLIENT_REFRESH_MISS/206 22576 GET http://letitbit.net/tmpl/dmaster.exe - DIRECT/88.208.22.161 application/octet-strea
m
1232633048.480 8611 192.168.5.30 TCP_HIT/200 5044668 GET http://download.downloadmaster.ru/dm/dmaster.exe - NONE/- application/octet-stream
1232646670.414 4732 192.168.5.122 TCP_CLIENT_REFRESH_MISS/200 11699 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/
octet-stream
1232646710.196 275 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646731.657 299 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646752.786 264 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646776.015 1047 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646798.547 236 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646823.639 238 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646849.472 261 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646876.525 261 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646903.623 275 192.168.5.122 TCP_CLIENT_REFRESH_MISS/503 806 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 text/html
1232646910.446 238889 192.168.5.122 TCP_MISS/200 1457641 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232646927.979 248161 192.168.5.122 TCP_CLIENT_REFRESH_MISS/206 1420777 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232646968.425 281893 192.168.5.122 TCP_CLIENT_REFRESH_MISS/206 1242523 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232647008.291 309703 192.168.5.122 TCP_CLIENT_REFRESH_MISS/206 1388009 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 applicatio
n/octet-stream
1232648296.026 15888 192.168.5.30 TCP_MISS/200 433646 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream
1232703829.800 11144 192.168.5.20 TCP_MISS/200 201012 GET http://download.downloadmaster.ru/dm/dmaster.exe - DIRECT/80.93.57.212 application/octet-stream

2 ) как лучше заархивировать логи ? за 3 дня лог размером в 300 метров
Использую LightSquid там идет разбивка по дням неделям месяцам
( не в курсе сохраняет он собственную базу или все тащит из access.log )

подскажите пожалуйста, правельно как в ubuntu настроить squid при установке он не открывает порт

kuzin_danil
http://squid.opennet.ru

DShtorm

Цитата:

как лучше заархивировать логи ?

Только тебе решать.

Цитата:

сохраняет он собственную базу или все тащит из access.log

Сохраняет.

подскажите пожалуйста как правильно настроить suid
как только раскаментирую строчки:
с папкой кеш cache_dir ufs /var/spool/squid 200 32 384
или другую строчкуsquid перестаёт открывать порт

вот мой файл конфига
http_port 3128
visible_hostname nttp

icp_port 0
htcp_port 0

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 50 MB

#cache_access_log /usr/local/squid/logs/access.log

ftp_user anonymous@multik.istu.ru


#cache_dir ufs /var/spool/squid 200 32 384

#maximum_object_size 10096 KB


#cache_access_log /usr/local/squid/logs/access.log


#cache_log /usr/local/squid/logs/cache.log


cache_store_log none


#ftp_user ano@nim.ru


acl all src 192.16.101.0/24
http_access allow all

#cache_effective_user nobody
#cache_effective_group nogroup

подскажите что надо исправить

kuzin_danil
А в логах что?
squid -z выполнял?

логи показать не могу.
так как попросту не знаю где они, а если указываю ему папку где их хранить то после перезапуска порт squid закрыт. Команда squid -z у меня не работает и выдаёт ошибку( я предпологаю потому что у меня Ubuntu)

kuzin_danil Пока не сделаешь squid -z пахать не будет, убунту тут не причем, руки кривоваты.
Цитата:

cache_dir ufs /var/spool/squid

Проверь путь! По дефолту у тебя везде /usr/local/squid
а кэш - /var/spool/squid - такой каталог создан? права на него user nobody и group nogroup даны? Какую ошибку пишет в cache.log и в messages самой системы?

извините пожалуйста за мои кривые руки и незнание linux а точнее Ubuntu
подскажите пожалуйста как правельнее
создать и дать прова user nobody и group nogroup

kuzin_danil Создать каталог, далее chmod и chown, если для вас это сложно то запустите midnight commander (запуск midc или mc зависит от ОС, если его нет - установите - очень полезная штука - ака NC и FAR для виндов) и в нем сделайте это в меню FILE. в chmod задаете права чтение/запись, в chown права на юзера и группу.

Цитата:

Если у вас Linux, то необходимо выполнить следующие команды в консоле:

Цитата:sysctl -w net.ipv4.tcp_syncookies

Цитата:

Цитата:Jan 21 22:50:59 main kernel: possible SYN flooding on port 3128. Sending cookies.

Если у вас Linux, то необходимо выполнить следующие команды в консоле:

Цитата:sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_synack_retries=2

Что бы сохранить изменения, то необходимо добавить в файл /etc/sysctl.conf следующее:

Цитата:# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
#Prevent SYN attack
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2

Спасибо помогло

Ротацию логов сделал так ( кому надо , а то за неделю почти гиг набежал)

crontab

0 * * * * root /usr/sbin/lightparser.pl ( чтобы статистику снять )
5 0 * * * root /usr/sbin/logrotate -s /var/log/logrotate.state /etc/logrotate.d/squid -v -f

/etc/logrotate.d/squid

/media/hda3/squid27/var/logs/access.log {
copytruncate
missingok
compress
notifempty
daily
rotate 6
}

такой вопрос. я задаю диапазон адресов в acl списке. например так:
acl opaopa src 10.200.2.0-10.200.2.56/255.255.255.255
и делаю правила. могу ли я сделать исключение для одного или нескольких адресов из этого списка?
т.е. правило работает так:
http_access deny odno1
исключение для acl списка так
http_access deny odno1 !opaopa

а как сделать исключение только для одного адреса из списка?

fixxoff
Цитата:

cl opaopa src 10.200.2.0-10.200.2.56/255.255.255.255

маска неверная! правильно так
acl opaopa src 10.200.2.0-10.200.2.56/255.255.255.0
исключение можно сделать, нарисовать отдельный аксель на исключаемый айпи и отдельный аксель для них, причем http_access для этого акселя должен быть выше чем для opaopa

acl opaopa src 10.200.2.1-10.200.2.56/255.255.255.0
acl excl 10.200.2.13 10.200.2.17 10.200.2.133
http_access deny excl
http_access allow opaopa

ipmanyak
спасибо, именно оно.

привет, Всем
не подскажите можно ли обычному пользователю прошедшему авторизация на сквиде покинуть/закрыть/обнулить ее через веб форму?
заранее благодарен

Приветствую!
Не знал куда написать, поэтому решил отписаться здесь...

Есть у меня машина, на которой стоит CACTI и собирает статистику с серверов по SNMP.
появилась необходимость рисовать графики по работе сквида "какую ширину канала он сейчас использует"

В squid-е работу с snmp я настроил, добавил в кактус шаблоны для построения графиков, но графики не рисуются.
с машины где стоит кактус сделал snmpwalk -v 1 -c public proxy:3401 .1.3.6.1.4.1.3495.1.1
ответ есть....
SNMPv2-SMI::enterprises.3495.1.1.1.0 = INTEGER: 8196
SNMPv2-SMI::enterprises.3495.1.1.2.0 = INTEGER: 0
SNMPv2-SMI::enterprises.3495.1.1.3.0 = Timeticks: (868823) 2:24:48.23

не подскажите как порешать трабл....

Не могу уловить где поставить запрет.

По ссылке http://passport.meta.ua - доступ запрещен
По ссылке https://passport.meta.ua - отлично заходит (хотя в squidguard происано что на passport.meta.ua доступ запрещен).

Куда копать?

ZERGE_VIOLATOR

Цитата:

Куда копать?

В настройки... Скорее всего метод CONNECT плевать хотел на squidguard или наоборот.

Обновил Squid до версии 2.7 Stable 6, перестао коректно работать reply_body_max_size,

было reply_body_max_size 0 allow vip
reply_body_max_size 3000000 allow vip1
не дает качать группе vip файлы больше 3 мегов,в старой версии (2.6) было все нормально

Есть канал на 2 Мб/с
Нужно сделать группы 128, 256, 512 К, 1 и 2 М
Реально?

ohlos
вполне...

Ruza
Как? Примеров с тремя пулами валом, а вот на пять...

ohlos
Хм... А у тебя какие то предубеждения на счёт числа "3", т.е. всё что дальше не существует?
Я вон у одного 11 пулов видел - и ничего работает.

Просто многим откровенно лень писать - вот три примера и дают.

Цитата:

Я вон у одного 11 пулов видел - и ничего работает.

Некоторые утверждают, что НЛО или приведений видели

Как может быть 11 пулов, если определены всего 3 класса? Не вдуплюсь.

ohlos
Вот блин ну прям заставляют с ленью бороться


Цитата:

delay_pools 4 (8,10, и т.д.)
delay_class 1 1
delay_class 2 2
delay_class 3 2
delay_class 4 2
...
delay_access 1 allow root
delay_access 1 deny all
delay_access 2 allow usernames
delay_access 2 deny all
delay_access 3 allow usernames
delay_access 3 deny all
delay_access 4 allow usernames
delay_access 4 deny all
.....
delay_parameters 1 -1/-1
delay_parameters 2 64000/64000 -1/-1
delay_parameters 3 32000/32000 -1/-1
delay_parameters 4 16000/16000 -1/-1
....

Может быть много пулов одного класса...

Так проблемы с reply_body_max_size в версии 2.7 ни у кого небыло?

Настраивал по http://pc-inform.ru/articles/Chto_est_Squid.html
Из руководства по настройки.
В конфигурационном файле squid.conf найдите строку:
http_access deny all

После неё добавьте следующее:
acl weekendmechnetwork 10.1.100.1/255.255.255.0
http_access allow weekendmechnetwork

Вы можете изменить имя ACL-правила "weekendmechnetwork" на любое другое по вашему выбору. В нашем случае правило с именем "weekendmechnetwork" используется для определения IP-адреса 10.1.100.1 (proxy-сервер) с сетевой маской 255.255.255.0 Таким образом, "weekendmechnetwork" является именем, ассоциируемым с клиентом сети.
Строка "http_access allow weekendmechnetwork" говорит, что для клиента "weekendmechnetwork" разрешён доступ через http-протокол.

Настроил все по инструкции, после чего запускаю sqid, а он выдает такие вот матюки:
# squid -z
2009/02/28 18:36:49| aclParseAclLine: Invalid ACL type '192.168.1.100/255.255.255.0'
FATAL: Bungled squid.conf line 2553: acl weekendmechnetwork 192.168.1.100/255.255.255.0
Squid Cache (Version 2.6.STABLE5): Terminated abnormally

Вчем проблема, что ему не нравится?

наверное, лучше 192.168.1.100/255.255.255.255

dim0n282 тебе уже ответили в другой ветке по сквиду!
неправильный синтаксис, нет опции src
acl weekendmechnetwork 192.168.1.100/255.255.255.0 неправильно причем дважды
если нужен тока 1 хост то маску можно не писать!
правильные варианты:
acl weekendmechnetwork src 192.168.1.0/255.255.255.0 # вся сетка
acl weekendmechnetwork src 192.168.1.100/255.255.255.255 # 1 хост
или тоже самое
acl weekendmechnetwork src 192.168.1.100
хосты можно перечислять
acl weekendmechnetwork src 192.168.1.100 192.168.1.107 192.168.1.103

Ага спасибо проблемой меньше, после того как исправил squid стал ругаться
debian:/home/ki100# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid2009/03/04 12:07:10| ACL name 'valid_clients' not defined!
FATAL: Bungled squid.conf line 2557: http_access deny valid_clients
Squid Cache (Version 2.6.STABLE5): Terminated abnormally.
failed!

Закомментировал строки:
#http_access allow valid_clients
#http_access deny valid_clients

Ругатся перестал, но не раздает инет,

squid.conf выглядит так:

http_port 192.168.1.100:6080
ierarchy_stoplist cgi-bin ?
ache deny QUERY
cl apache rep_header Server ^Apache
broken_vary_encoding allow apache
ache_mem 8 MB
ache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
сache_log /var/log/squid/cache.log
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access deny all
acl weekendmechnetwork src 192.168.1.100/255.255.255.255
http_access allow weekendmechnetwork
acl valid_cliens src 192.168.1.2
# http_access allow valid_clients
# http_access deny valid_clients

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_group proxy
visible_hostname proxy
coredump_dir /var/spool/squid


Помогите настроить прокси...