» SQUID (только под *nix)

Я так понимаю авторизация отсутствует? Плохо, батенька. Если есть домен - делай по домену авторизацию, в случае нарушения исключаешь юзера из группы AD, имеющей доступ в инет (типа squid_users)- и до свидания. Если нет домена - то хотя бы по ip. Продли аренду dhcp до бесконечности, как вариант, рано или поздно устаканятся айпишники. Но лучше все-таки домен. Удобнее и проще. Ну и ограничить количество сессий с одного ip тоже можно попробовать, но тут аккуратнее, некоторые сайты заставляют браузер открывать десятки соединений.

Добавлено:
Посмотри в сторону САМС, достаточно проста в настройке, удобна в администрировании.

Цитата:

MadMas
не могу понять почему у тебя не работает отключение кеша.
Ты нашел где у тебя прописан кеш текущий ? надо опцию не добавить, а заменить.

З.Ы. и сквид у тебя древний - не мешало бы обновить.

А кеш отключай - нынче от него совсем никакого толку, только проблемы. Я кеш перестал использовать года 3 тому назад

И думаю так же нелишним было бы убиение конфига и создание онного по-новой - там прописать всего нужно пару строк. А то уже полез настраивать

Так как в конфиге cache_dir вообще не было, не нашел каталога с кэшем, указал его явно в конфиге, перезапустил, потом убрал, параметр cache_dir null /null сработал, сквид не поругался, но строки:

2009/04/14 12:14:50| WARNING! Your cache is running out of filedescriptors
2009/04/14 12:15:06| WARNING! Your cache is running out of filedescriptors
2009/04/14 12:15:22| WARNING! Your cache is running out of filedescriptors

в cache.log продолжают появляться.

Может кто поделится нормальным конфигом, в принципе задача у меня тривиальная:
1 - всю сеть безо всяких разделений на привилегии выпустить в инет
2 - ограничить на каждый IP скачку всяких mp3, avi и иже с ними до 5кб на нос
3 - не давать доступ к запрещенным урлам

Выделенка 1Мбит, в интернет одновременно ломятся до 150 юзверей.

А то начались разговоры "раньше стояла ISA и все работало нормально, а теперь ты поставил какой-то линукс и стало все тормозить и вылетать", обидно.

Добавлено:
BONDBIG

Проблема в том, что сеть хотят перестраивать, закупать новое железо и т.д., а также новую систему контроля доступа и учета трафика, то что сейчас это временное явление, а АД есть, и подружил его со сквидом, но руководство хочет все перевести на линукс. Поэтому сейчас пытаюсь настроить VPN+RADIUS+MySQL+Abills+SQUID+Postfix. Но хотя бы месяц надо продержаться на нынешней конструкции.

Цитата:

Может кто поделится нормальным конфигом

Думаю так будет лучше.

Цитата:

но руководство хочет все перевести на линукс.

Ну ты встрял... Не завидую. Закупайся книжками по линухам, а еще лучше выбивай курсы, раз такое затеяли. Чувствую непросто тебе будет, опыта у тебя нет совсем..

BONDBIG


Цитата:

Чувствую непросто тебе будет, опыта у тебя нет совсем..

эт точно

Добавлено:
Выношу на суд свой конфиг, взял файл конфига по умолчанию удалил все комментарии и добавил только свою сеть с пулом задержки и ограничение по URL, по совету BONDBIG внес cache_dir null /null, очистил кэш, перезапустил сквид с новым конфигом.

visible_hostname -----------
dns_nameservers -----------------
cache_mgr --------------@-------------

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


acl bad_url url_regex -i "/etc/squid/bad_url"
acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.3gp$ \.mp4$ \.swf$ \.SWF$ \.exe$ \.cab$ \.dll$ \.wmv$ \.iso$ \.mkv$ \.jar$ \.zip$ \.bz2$ \.flv$


# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

acl tuit src 172.20.1.1-172.20.20.254/16
http_access allow tuit !bad_url

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

#Allow ICP queries from everyone
icp_access allow all

http_port 8080

access_log /var/log/squid/access.log squid


#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

delay_pools 1

delay_class 1 2

delay_access 1 allow multimedia
delay_access 1 deny all

delay_parameters 1 -1/-1 5000/6000

coredump_dir /var/spool/squid

no_cache deny all
cache_dir null /null

НО, записи 2009/04/14 15:29:25| WARNING! Your cache is running out of filedescriptors продолжают появляться, почему кэш продолжает работать ?

Попробуй опцию в конфиге

Код: max_filedesc 8192

Цитата:

НО, записи 2009/04/14 15:29:25| WARNING! Your cache is running out of filedescriptors продолжают появляться, почему кэш продолжает работать ?

Покажи cache.log момент запуска squid
также ulimit -a

Цитата:

Попробуй опцию в конфиге

Код:
max_filedesc 8192

ну и еще в консоли набери

Код:
echo "65535" > /proc/sys/fs/file-max

после чего

Код:
squid -k reconfigure

сделал


Цитата:

Покажи cache.log момент запуска squid

2009/04/14 16:06:53| Reconfiguring Squid Cache (version 2.6.STABLE22)...
2009/04/14 16:06:53| FD 11 Closing HTTP connection
2009/04/14 16:06:53| FD 13 Closing ICP connection
2009/04/14 16:06:53| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '172.20.1.1-172.20.20.254/16'
2009/04/14 16:06:53| Initialising SSL.
2009/04/14 16:06:53| User-Agent logging is disabled.
2009/04/14 16:06:53| Referer logging is disabled.
2009/04/14 16:06:53| DNS Socket created at 0.0.0.0, port 51081, FD 10
2009/04/14 16:06:53| Adding nameserver --.--.---.- from squid.conf
2009/04/14 16:06:53| Adding nameserver --.--.---.- from squid.conf
2009/04/14 16:06:53| Accepting proxy HTTP connections at 0.0.0.0, port 8080, FD 11.
2009/04/14 16:06:53| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2009/04/14 16:06:53| WCCP Disabled.
2009/04/14 16:06:53| Loaded Icons.
2009/04/14 16:06:53| Ready to serve requests.
2009/04/14 16:06:57| httpReadReply: Excess data from "GET http://count.statun.com/?none.gif&r=http%3A//www.warezebra.com/funny/85828-seks-v-centre-goroda-7-fo
to.html&p=http%3A//www.warezebra.com/18plus/&i=0.8030876561287805&s=102769&g=0&w=1280&h=1024&d=32&c=Y&e=Y"
2009/04/14 16:07:34| WARNING! Your cache is running out of filedescriptors

сразу же после внесения изменений


Цитата:

также ulimit -a

[root@proxy squid]# ulimit -a
core file size (blocks, -c) 0
data seg size (kbytes, -d) unlimited
scheduling priority (-e) 0
file size (blocks, -f) unlimited
pending signals (-i) 16233
max locked memory (kbytes, -l) 32
max memory size (kbytes, -m) unlimited
open files (-n) 1024
pipe size (512 bytes, -p) 8
POSIX message queues (bytes, -q) 819200
real-time priority (-r) 0
stack size (kbytes, -s) 10240
cpu time (seconds, -t) unlimited
max user processes (-u) 16233
virtual memory (kbytes, -v) unlimited
file locks (-x) unlimited

Заодно косяк:

Цитата:

acl tuit src 172.20.1.1-172.20.20.254/16

Сделай либо
172.20.1.1-172.20.20.254
либо уже
172.20.1.0/16

По теме:
в файле
/etc/security/limits.conf
добавь строку:

Код: * - nofile 8192

BONDBIG

Цитата:

max_filedesc 8192

Откуда опция?

Цитата:

[root@gw squid]# squid -k parse
2009/04/14 14:20:30| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2009/04/14 14:20:30| cache_cf.cc(358) parseOneConfigFile: squid.conf:248 unrecognized: 'max_filedesc'

Разве что отсюда ./configure --enable-max_filedesc=4096

есть походу
max_open_fds но она по умолчанию 0

Цитата:

Option Name:    max_open_disk_fds
Replaces:    
Requires:    
Default Value:    max_open_disk_fds 0
Suggested Config:     

    To avoid having disk as the I/O bottleneck Squid can optionally
    bypass the on-disk cache if more than this amount of disk file
    descriptors are open.

    A value of 0 indicates no limit.

Цитата:

Откуда опция?

да, действительно, это опция при сборке сквида, я ступил.

MadMas

Цитата:

По теме:
в файле
/etc/security/limits.conf
добавь строку:

Код:
* - nofile 8192

А вот это попробуйте...


Цитата:

Код:
echo "65535" > /proc/sys/fs/file-max

Эх блин не успел предупредить... надо было посмотреть что там в файле...

Цитата:

[root@gw squid]# cat /proc/sys/fs/file-max
102049

ASP-14/FC9

Цитата:

Эх блин не успел предупредить... надо было посмотреть что там в файле...

После перезагрузки все вернется назад как было. Перманентно задается в sysctl.conf параметром

Код: fs.file-max =

Мда, хотите новость, после


Цитата:

Сделай либо
172.20.1.1-172.20.20.254
либо уже
172.20.1.0/16

сделал первое, естесс-но потом реконфигурнул сквид и запись вида
WARNING! Your cache is running out of filedescriptors
в cache.log пропала

я уже было совсем обрадовался, но Мозилла периодически все таки слетает с ошибкой
connection refused

Только мозилла? Что в кешлоге в этот момент?

MadMas

Debug рулит, не?
debug_options ALL,5
tail -f cache.log
и узнаём много нового помимо connection refused

Есть вопрос
как разрешить юзерам скачивать с определенного сайта екзешники, со всех остальных запретить ?



Добавлено:
в настоящее время это сделанно вот так :

acl den_words url_regex -i ftp .exe .mp3 .vqf .tar.gz .gz .rpm .zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov .arj chat wmv
acl porn url_regex "/etc/squid/squidblock/porn.block.txt"
acl porn url_regex "/etc/squid/squidblock/games.block.txt"
acl avi url_regex -i .avi .mp3 .mpeg .wma .wmv .vob .3gp .mp4 .mov .wav .asf .m3u
acl goodsites dstdomain "/etc/squid/squidblock/goodsites.txt"
acl proxylist url_regex "/etc/squid/squidblock/proxy.txt"

http_access deny proxylist
http_access allow den_src goodsites
http_access allow bosses
http_access deny porn !bosses
http_access deny avi !bosses
http_access allow den_src !den_words !porn !avi
http_access allow bosses

две группы, боссы - этим можно всё
ден_срц - этим почти ничего, но хотелось бы чтобьы они могли с определнных сайтов экзешники таки стягивать(типа автоматических обновлений программы)

soulvine
acl good_exe dst "/etc/squid/squidblock/HZ.txt"
.........
http_access deny proxylist
http_access allow den_src goodsites
http_access allow bosses
http_access deny porn !bosses (Лишнее)
http_access deny avi !bosses (Лишнее)
http_access allow den_src good_exe
http_access allow den_src !den_words !porn !avi
http_access allow bosses (Лишнее)
http_access deny all (а вот это !!!Обязательно!!!)

BONDBIGчто в кеш логе в этот момент трудно сказать там записи в основном вида:

2009/04/15 09:25:12| ipcacheParse: No Address records in response to 'mail.google.com'
2009/04/15 09:25:12| ipcacheParse: No Address records in response to 'mail.google.com'
2009/04/15 09:26:35| httpReadReply: Excess data from "GET http://service.brocompany.com/partner/hook/css"
2009/04/15 09:29:26| httpReadReply: Excess data from "GET http://service.brocompany.com/partner/hook/css"
2009/04/15 09:36:40| httpReadReply: Request not yet fully sent "POST http://ts08.eset.com/query/chsquery.php"
2009/04/15 09:41:40| urlParse: Illegal character in hostname 'detsys.r%d0%b3'
2009/04/15 09:41:44| urlParse: Illegal character in hostname 'detsys.r%d0%b3'
2009/04/15 09:41:53| urlParse: Illegal character in hostname 'detsys.r%d0%b3'
2009/04/15 09:45:53| httpReadReply: Excess data from "GET http://service.brocompany.com/partner/hook/js"
2009/04/15 09:55:08| WARNING! Your cache is running out of filedescriptors

и опять появилось предупреждение о дескрипторах
после


Цитата:

Debug рулит, не?
debug_options ALL,5
tail -f cache.log

столько сообщений сыплется (за пару минут лог вырос на ~100Мб):

2009/04/15 09:17:26| file_open: FD 173
2009/04/15 09:17:26| fd_open FD 173 /var/run/squid.pid
2009/04/15 09:17:26| leave_suid: PID 13494 called
2009/04/15 09:17:26| leave_suid: PID 13494 giving up root, becoming 'squid'
2009/04/15 09:17:26| file_close: FD 173, really closing
2009/04/15 09:17:26| fd_close FD 173 /var/run/squid.pid
2009/04/15 09:17:26| Ready to serve requests.
2009/04/15 09:17:26| comm_select: timeout 709
2009/04/15 09:17:26| httpReadReply: FD 128: len 2404.
2009/04/15 09:17:26| storeAppend: appending 2404 bytes for '54A49D1FA5D9E65FC47397900106C35A'
2009/04/15 09:17:26| InvokeHandlers: 54A49D1FA5D9E65FC47397900106C35A
2009/04/15 09:17:26| InvokeHandlers: checking client #0
2009/04/15 09:17:26| cbdataLock: 0x99a08b0
2009/04/15 09:17:26| storeClientCopy2: 54A49D1FA5D9E65FC47397900106C35A
2009/04/15 09:17:26| storeClientCopy3: Copying from memory
2009/04/15 09:17:26| cbdataValid: 0x98df810
2009/04/15 09:17:26| clientSendMoreData: http://eduportal.uz/apache/info_uzb/156/files/shrifti.jpg, 2404 bytes
2009/04/15 09:17:26| clientSendMoreData: FD 418 'http://eduportal.uz/apache/info_uzb/156/files/shrifti.jpg', out.offset=71692
2009/04/15 09:17:26| comm_write: FD 418: sz 2404: hndl 0x80742a0: data 0x98df810.
2009/04/15 09:17:26| cbdataLock: 0x98df810
2009/04/15 09:17:26| commSetSelect: FD 418 type 2
2009/04/15 09:17:26| cbdataUnlock: 0x98df810
2009/04/15 09:17:26| cbdataUnlock: 0x99a08b0
2009/04/15 09:17:26| commSetTimeout: FD 128 timeout 900
2009/04/15 09:17:26| commSetSelect: FD 128 type 1
2009/04/15 09:17:26| httpReadReply: FD 332: len 1069.
2009/04/15 09:17:26| storeAppend: appending 1069 bytes for 'C25A66B10FA318C510F7B7ACD0DE05D9'
2009/04/15 09:17:26| InvokeHandlers: C25A66B10FA318C510F7B7ACD0DE05D9
2009/04/15 09:17:26| InvokeHandlers: checking client #0
2009/04/15 09:17:26| cbdataLock: 0x8f55e48
2009/04/15 09:17:26| storeClientCopy2: C25A66B10FA318C510F7B7ACD0DE05D9
2009/04/15 09:17:26| storeClientCopy3: Copying from memory
2009/04/15 09:17:26| cbdataValid: 0xa0e2378
2009/04/15 09:17:26| clientSendMoreData: http://img.mail.ru/r/jim/js/webagent_amalgam.js?51, 1069 bytes
2009/04/15 09:17:26| clientSendMoreData: FD 297 'http://img.mail.ru/r/jim/js/webagent_amalgam.js?51', out.offset=22410
2009/04/15 09:17:26| comm_write: FD 297: sz 1069: hndl 0x80742a0: data 0xa0e2378.
2009/04/15 09:17:26| cbdataLock: 0xa0e2378
2009/04/15 09:17:26| commSetSelect: FD 297 type 2
2009/04/15 09:17:26| cbdataUnlock: 0xa0e2378
2009/04/15 09:17:26| cbdataUnlock: 0x8f55e48
2009/04/15 09:17:26| commSetTimeout: FD 332 timeout 900
2009/04/15 09:17:26| commSetSelect: FD 332 type 1
2009/04/15 09:17:26| httpReadReply: FD 86: len 274.
2009/04/15 09:17:26| ctx: enter level 0: 'http://www.litres.ru/static/beeline_redir.js'
2009/04/15 09:17:26| httpProcessReplyHeader: key '6ADD1434C5CDD7FEC24F543F4E2F7B78'
2009/04/15 09:17:26| storeAppend: appending 274 bytes for '6ADD1434C5CDD7FEC24F543F4E2F7B78'
2009/04/15 09:17:26| httpProcessReplyHeader: HTTP CODE: 304
2009/04/15 09:17:26| storeExpireNow: '6ADD1434C5CDD7FEC24F543F4E2F7B78'
2009/04/15 09:17:26| www.litres.ru's clock is skewed by 344979 seconds!
2009/04/15 09:17:26| ctx: exit level 0
2009/04/15 09:17:26| InvokeHandlers: 6ADD1434C5CDD7FEC24F543F4E2F7B78
2009/04/15 09:17:26| InvokeHandlers: checking client #0
2009/04/15 09:17:26| cbdataLock: 0x9e75d68
2009/04/15 09:17:26| storeClientCopy2: 6ADD1434C5CDD7FEC24F543F4E2F7B78
2009/04/15 09:17:26| storeClientCopy3: Copying from memory

Цитата:

Excess data from "GET

У тебя чему равен request_body_max_size в конфиге сквида?
Такое ощущение, что маленькое значение, попробуй увеличить.

Цитата:

No Address records in response

А это похоже что у тебя днс сервер не успевает отвечать сквиду.

Цитата:

У тебя чему равен request_body_max_size в конфиге сквида?

такого параметра вообще нет, какое значение установить ?


Цитата:

А это похоже что у тебя днс сервер не успевает отвечать сквиду.

Вот на счет этого я тоже хотел спросить, в /var/log/messages на эту тему есть много сообщений и от DHCP тоже:

Apr 15 12:44:13 proxy dhcpd: DHCPINFORM from 172.20.5.151 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:13 proxy dhcpd: DHCPINFORM from 172.20.5.156 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:14 proxy dhcpd: DHCPINFORM from 172.20.5.153 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:15 proxy dhcpd: DHCPINFORM from 172.20.19.244 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:16 proxy dhcpd: DHCPINFORM from 172.20.4.111 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:18 proxy dhcpd: DHCPINFORM from 172.20.5.153 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:19 proxy dhcpd: DHCPINFORM from 172.20.4.111 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:20 proxy dhcpd: DHCPINFORM from 172.20.19.241 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:22 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.249#53
Apr 15 12:44:24 proxy dhcpd: DHCPINFORM from 172.20.9.246 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:24 proxy dhcpd: DHCPINFORM from 172.20.19.241 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:24 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.248#53
Apr 15 12:44:33 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.249#53
Apr 15 12:44:33 proxy dhcpd: DHCPINFORM from 172.20.5.12 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:35 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.248#53
Apr 15 12:44:36 proxy dhcpd: DHCPINFORM from 172.20.5.12 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:47 proxy dhcpd: DHCPINFORM from 172.20.18.223 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:48 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.248#53
Apr 15 12:44:50 proxy named[21308]: unexpected RCODE (SERVFAIL) resolving 'kat15.com/A/IN': 66.40.14.249#53
Apr 15 12:44:50 proxy dhcpd: DHCPINFORM from 172.20.18.223 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:44:55 proxy dhcpd: DHCPINFORM from 172.20.11.243 via eth0: not authoritative for subnet 172.20.0.0
Apr 15 12:51:58 proxy dhcpd: Unable to add forward map from flash09.tuit.org to 172.20.14.241: timed out

и особенно мне не нравится последняя строчка в логе

Цитата:

такого параметра вообще нет, какое значение установить ?

У меня
request_body_max_size 5 MB

Цитата:

not authoritative for subnet 172.20.0.0

Ну тут как раз все понятно - дхцп не авторизован для этой подсети.

Добавлено:

Цитата:

Unable to add forward map from flash09.tuit.org to 172.20.14.241: timed out

Не может дхцп зарегистрировать запись в днс.

Цитата:

request_body_max_size 5 MB

...прописал,


Цитата:

Цитата:
not authoritative for subnet 172.20.0.0

Ну тут как раз все понятно - дхцп не авторизован для этой подсети.

...авторизовал


Цитата:

Цитата:
Unable to add forward map from flash09.tuit.org to 172.20.14.241: timed out

Не может дхцп зарегистрировать запись в днс.

...отключил регистрацию в днс. Посмотрим что изменится.

Добавлено:
Мозила стала слетать реже, но все таки слетает все с той же ошибкой:
Connection terminated by peer

в cache.log в этот момент появляется запись:
2009/04/15 15:29:08| CACHEMGR: <unknown>@127.0.0.1 requesting 'active_requests'

MadMas

Цитата:

в cache.log в этот момент появляется запись:
2009/04/15 15:29:08| CACHEMGR: <unknown>@127.0.0.1 requesting 'active_requests'

А ты какой адрес посмотреть пытаешься?

Цитата:

Цитата:
в cache.log в этот момент появляется запись:
2009/04/15 15:29:08| CACHEMGR: <unknown>@127.0.0.1 requesting 'active_requests'

А ты какой адрес посмотреть пытаешься?

Здесь нет закономерности, адрес может быть любым, но чаще всего это происходит когда открыл страницу, например вот эту с форумом, почитал, мин через 5 пишешь сообщение и нажимаешь ответить и вот тут то сразу и появляется эта фигня, но тоже не всегда. Или допустим в гугле нугуглил чего нибудь, открываешь найденные ссылки, просматриваешь их, а потом в гугле нажимаешь следующую страницу и опять процентов в 70 случаев появляется ошибка. Такое ощущение, что сессия устарела и потом ее надо создавать заново.

MadMas

Цитата:

CACHEMGR: <unknown>@127.0.0.1 requesting 'active_requests'

Это сообщение появляется при доступе к cachemgr.cgi.


Цитата:

Такое ощущение, что сессия устарела и потом ее надо создавать заново.

А вот это верное предположение...
Показывай последний конфиг и напиши немного как сеть организована. У знакомого была такая же проблема пока модем не сменили...

Конфиг сквида:

visible_hostname proxy.tuit.org
dns_nameservers --.--.--.4 --.--.--.6
cache_mgr tuitdomainadmin@tuit.org
max_filedesc 8192
request_body_max_size 5 MB

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl bad_url url_regex -i "/etc/squid/bad_url"
acl multimedia urlpath_regex -i \.3gp$ \.swf$ \.SWF$ \.exe$ \.cab$ \.dll$ \.wmv$ \.iso$ \.mkv$ \.jar$ \.zip$ \.bz2$ \.flv$

acl multimdeny urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.mp4$
http_access deny multimdeny

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

acl bad src 172.20.11.254
http_access deny bad

acl tuit src 172.20.1.1-172.20.20.254
http_access allow tuit !bad_url

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

#Allow ICP queries from everyone
icp_access allow all

http_port 8080

access_log /var/log/squid/access.log squid

#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# Apache mod_gzip and mod_deflate known to be broken so don't trust
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

delay_pools 1

delay_class 1 2

delay_access 1 allow multimedia
delay_access 1 deny all

delay_parameters 1 -1/-1 3000/4000

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

maximum_object_size 0 KB
minimum_object_size 0 KB

no_cache deny all
cache_dir null /null
#debug_options ALL,5

Интернет от провайдера приходит через оптику в АТС (стоит гигабитный конвертер), от АТС до серверной идет кабель UTP 100 Мбит, заводится в сетевую карту Broadcom Corporation NetXtreme BCM5703 Gigabit Ethernet. Далее раздается клиентам через сетевую Accton Technology Corporation SMC2-1211TX (100 Мбит). На первой сетевой карте внешний белый айпишник, с зафиксированным у провайдера МАС адресом. Самое интересное, до этого все работало, но на ISA сервере и таких проблем не было. Баг где-то в настройках сервака.

Цитата:

visible_hostname proxy.tuit.org
dns_nameservers --.--.--.4 --.--.--.6
cache_mgr tuitdomainadmin@tuit.org

acl all src 0.0.0.0/0.0.0.0
acl tuit src 172.20.1.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl bad_url url_regex -i "/etc/squid/bad_url"
acl multimedia urlpath_regex -i \.3gp$ \.swf$ \.SWF$ \.exe$ \.cab$ \.dll$ \.wmv$ \.iso$ \.mkv$ \.jar$ \.zip$ \.bz2$ \.flv$
acl multimdeny urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.mp4$
http_access deny multimdeny
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl bad src 172.20.11.254
http_access deny bad
http_access allow tuit !bad_url
http_access allow localhost
http_access deny all

miss_access allow all
http_port 8080
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
request_body_max_size 5 MB

delay_pools 1
delay_class 1 2
delay_access 1 allow multimedia
delay_access 1 deny all
delay_parameters 1 -1/-1 3000/4000

coredump_dir /var/spool/squid
cache deny all
cache_dir null /tmp
#debug_options ALL,5

Попробуй так...

Цитата:

Попробуй так...

Так он вообще не пускает ни кого польний ACCESS DENIED !

Ну еще бы. Ведь надо вот так:

Код: no_cache    deny    all

MadMas извини BONDBIG прав
я скопипастил не правильно