» SQUID (только под *nix)

Все спасибо ipmanyak, разобрался.


Цитата:

acl work_time time MTWHF 09:00-18:00

acl weekendmechnetwork src 192.168.1.100
acl weekendmechnetwork src 192.168.1.5
acl weekendmechnetwork src 192.168.1.7
acl weekendmechnetwork src 192.168.1.10

acl weekendmechnetwork_bl src 192.168.1.2
acl weekendmechnetwork_bl src 192.168.1.4

acl block url_regex -i "/etc/squid/block.txt"

http_access deny weekendmechnetwork_bl block work_time
http_access allow weekendmechnetwork_bl
http_access allow weekendmechnetwork
http_access deny all

Теперь все как мне нужно, есть две группы пользователей, с полным доступом (weekendmechnetwork) и с ограниченным доступом в рабочее время (weekendmechnetwork_bl).

Доброго времени суток!

Вопрос в следующем.

Поставил и настроил сквид 3,0 stable

Только он чего-то не запускается при запуске. Может чего подскажите?

1. Я посмотрел файлы squid в директориях /etc/inittab , /etc/rc.d/init.d есть
Может подскажите где копать или что добавить?
Может где-то журналы запусков есть и написано что не так.

2. Как сделать чтобы сквид по сети работал. Если пишу на другом компе в прокси серверах сквид 192.х.х.х:3128, то он ничего не находит.

Заранее спасибо за ответ.

Guardian2007 так он хоть запускается и работает у тебя? посмотри логи для начала.

Guardian2007 Вопрос по автозапуску сквида при старте системы или что ?
Стартуй сквид вручную для начала из каталога где его бинарник - ./squid и затем смотри cache.log

Цитата:

2. Как сделать чтобы сквид по сети работал. Если пишу на другом компе в прокси серверах сквид 192.х.х.х:3128, то он ничего не находит.

не находит или не отвечает? В фаере локаль разрешил?
telnet 192.х.х.х 3128
с раб станции кажет что-то или сразу отшивает?
Судя по всему у тебя или сквид не запущен или фаер бреет локаль.

Вопрос: Как сделать чтобы сквид по сети работал. Если пишу на другом компе в прокси серверах сквид 192.х.х.х:3128, то он ничего не находит.

отвалился, когда перенастроил файервол и разрешил этот порт



Вопрос по поводу автозапуска остался в силе. Сквид запускается нормально командой service squid start и работает. При перезагрузке автоматически не запускается.
Вот я и спрашиваю где можно посмотреть что не так?

Дело в том, что сквид (он же родной сквид) ставился вместе с ОС, а потом я еще пытался поставить. Но получилось так, что ОС дружит только с родным сквидом. Вот я и хочу узнать как сделать, чтобы родной сквид запускался вместе с ОС

Может скрипт со второго сквида как-то можно использовать?


Через 15 минут:

Нашел файл в /usr/sbin/ Остановил сквид и запустил ./squid В итоге получилось что сквид запустился этим скриптом.
Перезапустил. Та же история

Посмотрел в лог cache.log там ничего интересного не было, кроме того, что "too few basicauthentificator are running"
Сквид сам не запустился )))

И вообще где хранятся логи с удачными неудачными запусками демонов?

Подскажите, буду очень благодарен

Guardian2007
Вставлю и я свои 5 коп...

Что за ОС, версия SQUID (предидущая)???
squid -v более чем информативен...

Как устанавливался 3.0?
Что в файле squid.out?

Ruza, ipmanyak

Огромное спасибо за помощь.

В файле squid.out ничего интересного об ошибках нет. Когда запускаю пишет Initializing https proxy context

Версия сквида: Version 3.0 STABLE1. Если нужно укажу параметры, указанные после обозначения версии. Кстати попутный вопрос есть ли возможность скопировать этот текст, а не тупо набирать?

Также остается в силе вопрос с автозапуском. Буду благодарен за скорый ответ

Guardian2007

Цитата:

Также остается в силе вопрос с автозапуском. Буду благодарен за скорый ответ

Жаль смайлика нет - разбег, лоб, стена...

Вопросы остались...

Цитата:

Что за ОС? Как устанавливался 3.0?

Чисто телепатически для RedHat Based:
1. chkconfig --list | grep squid
2. chkconfig --add squid
3. chkconfig squid on

Народ, подскажите плз, как сделать так.. чтобы запрос в логах вырисовывался полностью:

к примеру ныне в логах :

1238252062.259 504 192.168.2.2 TCP_MISS/204 422 GET http://www.google.ru/url? - DIRECT/209.85.135.147 text/html

а хочется что-то типа GET http://www.google.ru/url?=мойзапрос

заранее благодарен!

sergeytt

Цитата:

# TAG: logformat
# Usage:
#
# logformat <name> <format specification>
#
# Defines an access log format.
#
# The <format specification> is a string with embedded % format codes
#
# % format codes all follow the same basic structure where all but
# the formatcode is optional. Output strings are automatically escaped
# as required according to their context and the output format
# modifiers are usually not needed, but can be specified if an explicit
# output format is desired.
#
# % ["|[|'|#] [-] [[0]width] [{argument}] formatcode
....

И далее по тексту

Цитата:

# TAG: access_log
# These files log client request activities. Has a line every HTTP or
# ICP request. The format is:
# access_log <filepath> [<logformat name> [acl acl ...]]
# access_log none [acl acl ...]]
......
# And priority could be any of:
# err, warning, notice, info, debug.
access_log /var/logs/access.log squid

Всем доброго времени суток.
Нужно дать двум машинам право ходить в инет мимо сквида. Сквид 2.5 стоит на freesco.
Админ этой конторы уволился и связь с ним потеряна.
Что и где прописать в конфиге сквида?

ну и причем тут сквид, если нужно мимо него запустить ?

разве в конфиге сквида нельзя прописать права на IP этих машин?

Reactor77
Цитата:

Нужно дать двум машинам право ходить в инет мимо сквида.

МИМО сквида! Чего тогда морочишь нам голову конфигом сквида? Сквид тут не причем! Выпускай правилами фаервола freesco, включив NAT для этих IP.

ipmanyak, будь добр, подскажи где что подправить. я с линуксом практически не знаком. почитал немного про фриску, но в этом вопросе пока не разобрался

Reactor77Я не знаю freesco. Если у него есть WEb админка, пошарься в ней. Ищи доки в инете или на официальном сайте freesco.

Всем здрасте!
Не подскажете как корректно описать в настройках сквида свою сеть, диапазон у меня 172.20.0.0/16 в сквиде пишу:

acl tuit src 172.20.4.1-172.20.20.254/255.255.0.0

после запуска сквида выдается сообщение:
2009/04/11 15:31:53| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '172.20.4.1-172.20.20.254/255.255.0.0'

но все работает, сквиду не нравится маска, но какую ему надо я не пойму.

... и еще один очень наболевший вопрос, очень часто Мозилла не открывает страницы и выдает ошибку:
(104) Connection reset by peer

заметил что зависит от количества активных соединений к сквиду, начиная с 200. В чем может быть проблема?

Система Fedora 8, squid-2.6.STABLE22-1.fc8, выделенка 1Мбит, юзверей больше 500. Это может быть связано с нехваткой ресурсов, сервер временный - DualCore 2.0, DDR 1Gb, MB G31 (новый находится в стадии покупки) .

Код: acl tuit src 172.20.0.0/255.255.0.0

tankistua
top показывает следующее:

top - 15:31:55 up 10 days, 22 min, 2 users, load average: 0.08, 0.07, 0.01
Tasks: 115 total, 1 running, 114 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.8%us, 0.7%sy, 0.0%ni, 97.5%id, 0.3%wa, 0.2%hi, 0.5%si, 0.0%st
Mem: 1025356k total, 1010192k used, 15164k free, 270516k buffers
Swap: 2031608k total, 32k used, 2031576k free, 513056k cached


Цитата:

Однозначно надо добавить память и подозреваю поставить нормальные сетевухи.

память попробую еще, пока под руками нет, чтобы добавить, а сетевушки 50/50 одна снята с сервака гигабитная, другая левая (гигабитная смотрит в инет, левая в локаль)

попробовал добавить

Цитата:

Код:
cache_dir null /tmp

не помогло

MadMas
Cashe.log посмотри, сквид не рестартуется? Может редиректоров не хватает или аутентификаторов.

ОХО !!!
Что то я никогда не заглядывал в cache.log, там куча записей:

2009/04/13 15:48:27| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:48:43| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:48:59| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:49:04| ftpReadControlReply: read error: (104) Connection reset by peer
2009/04/13 15:49:04| ftpReadControlReply: read error: (104) Connection reset by peer
2009/04/13 15:49:15| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:49:22| ftpReadControlReply: read error: (104) Connection reset by peer
2009/04/13 15:49:22| ftpReadControlReply: read error: (104) Connection reset by peer
2009/04/13 15:49:22| ftpReadControlReply: read error: (104) Connection reset by peer
2009/04/13 15:49:29| ipcacheParse: No Address records in response to 'my.radar.imgsmail.ru'
2009/04/13 15:49:31| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:50:40| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:51:07| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:51:29| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:51:47| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:52:03| WARNING! Your cache is running out of filedescriptors
2009/04/13 15:53:30| WARNING! Your cache is running out of filedescriptors

видно что он меня постоянно о чем-то предупреждает, но о чем ?

Так английским по белому написано - не хватает файловых дескрипторов!!! Отключай кэш!

Добавлено:

Код:

maximum_object_size 0 KB
minimum_object_size 0 KB

acl all src 0.0.0.0/0.0.0.0
no_cache deny all

cache_dir null /null

Цитата:

Так английским по белому написано - не хватает файловых дескрипторов!!! Отключай кэш!

Добавлено:

Код:


maximum_object_size 0 KB
minimum_object_size 0 KB

acl all src 0.0.0.0/0.0.0.0
no_cache deny all

cache_dir null /null


Потом почисти папку с кешем. Для верности рестартани сквида.

когда пробую отключить кэш
Цитата:

cache_dir null /tmp

сквид вообще не запускается, а часто его перезапускать не могу, у всех в институте перестает работать инет, это сразу порождает кучу звонков в мой адрес и выяснение обстоятельств возмущенным голосом , достали уже.
Про нехватку дескрипторов вычитал, что это может быть связано с вирусами на клиентских компах, которые порождают много сессий в сквиде, пробовал добавить
правило на максимальное кол-во соединений от каждого хоста - acl max_connect maxconn 15, что то не срабатывает (наверное руки все таки кривые )

Я же тебе написал все необходимые опции в конфиге. Примени их. Рестартани сквида (squid -k reconfigure). Вычисти папку с кешем.
Ну, понятное дело, нельзя трогать боевые сервера в рабочие часы. Так и до увольнения можно "дотрогаться".

Добавлено:
Кстати, попробуй выяснить, кто там у тебя такой активный, вполне может быть вирусняк.
Вот пример кода, выявляет топ-флудеров:

Код: #!/bin/bash
mkdir /tmp/flood
cat /squid/logs/access.log | awk '{print "login: "$3" " "ip: " $4}' > /tmp/flood/flooders.tmp
cat /tmp/flood/flooders.tmp | sort -n -r| uniq -c |sort -n -r >/tmp/flood/floodersSorted.txt
rm -f /tmp/flood/flooders.tmp

Цитата:

Код:
#!/bin/bash
mkdir /tmp/flood
cat /squid/logs/access.log | awk '{print "login: "$3" " "ip: " $4}' > /tmp/flood/flooders.tmp
cat /tmp/flood/flooders.tmp | sort -n -r| uniq -c |sort -n -r >/tmp/flood/floodersSorted.txt
rm -f /tmp/flood/flooders.tmp

А как применять этот скрипт?

Цитата:

А как применять этот скрипт?

Цитата:

#!/bin/bash
mkdir /tmp/flood
cat /путь/к/твоему/access.log | awk '{print "login: "$3" " "ip: " $4}' > /tmp/flood/flooders.tmp
cat /tmp/flood/flooders.tmp | sort -n -r| uniq -c |sort -n -r >/tmp/flood/floodersSorted.txt
rm -f /tmp/flood/flooders.tmp
Сохраняешь скрипт, даешь права на исполнение:
chmod +x файлскрипта
запускаешь:
./файлскрипта
Идёшь в папку /tmp/flood/
И смотришь список
По желанию меняешь также awk '{print "login: "$3" " "ip: " $4}', цифры - это номера столбцов в логе сквида, у меня это логин (3) и ip (4)

А вообще азы работы с системой самостоятельно необходимо изучать.


Добавлено:
Можно вообще все одной строкой:
cat /путь/к/твоему/access.log | awk '{print "login: "$3" " "ip: " $4}' | sort -n -r| uniq -c |sort -n -r >/tmp/floodersSorted.txt
Затем идешь в /tmp и смотришь файлик.
Просто у меня акцесс.лог каждый день почти 4 гига набегает, потому я и разделил конвейер, иначе оперативки не хватает.

MadMas
не могу понять почему у тебя не работает отключение кеша.
Ты нашел где у тебя прописан кеш текущий ? надо опцию не добавить, а заменить.

З.Ы. и сквид у тебя древний - не мешало бы обновить.

А кеш отключай - нынче от него совсем никакого толку, только проблемы. Я кеш перестал использовать года 3 тому назад

И думаю так же нелишним было бы убиение конфига и создание онного по-новой - там прописать всего нужно пару строк. А то уже полез настраивать :)

Цитата:

надо опцию не добавить, а заменить.

Да, тоже самое касается и моих рекомендация по опциям, да и вообще любых подобных рекомендаций - если опция есть - ее нужно менять, а не добавлять новую. Добавлять только есть такой опции в конфиге не задано.

BONDBIG

Внес изменения, скрепя сердце перезапустил сквиду, наблюдаю...
Кстати прикольный скрипт, правда пока в сети бардак, айпишники раздаются автоматом без привязки к машине, так что дать по шапке не получится, а можно ли как-то не останавливая сквиду (ну максимум squid -k reconfigure), запрещать доступ в инет, скажем на 10 мин, определенному IP ? (например в Wingate, Usergate'е в реалтайме отрубаешь наглеца).