» SQUID (только под *nix)

Не могу найти, где можно(и можно-ли) настроить в squid.conf:

1. Запись в access.log ТОЛЬКО удачных запросов (не DENIED)
2. Формат имени access.log -> accessYmd.log (например access20091019.log
3. Отключить создание store.log и cache.log


Добавлено:
4. Можно-ли отключить добавление запись типа
Generated Mon, 19 Oct 2009 16:53:52 GMT by proxy (squid/2.5.STABLE14-NT)
при блокировке страницы?
Для предотвращения возмущения пользователей, чтобы не было видно что это прокси заблокировал...

mihmig

Цитата:

Не могу найти, где можно

Цитата:

3. Отключить создание store.log и cache.log

cache_log none
cache_store_log none
httpd_suppress_version_string on

помогите с выбором программы-фильтра-редиректа для squid
сообственно , что нунжно
1. есть две группы "DEV" и "SUPPORT" в AD(т.е. пользователи должны тянуться из АД W2008)
2 есть два временных интервала 10-14 и 16-18, в эти промежутки для каждой из групп должны действовать соответствующие ограничения(отключить мессенждеры, забанить некторые сайты т .п. ). Причем для каждой группы свои ограничения. В остальнок время можно делать почти все, ну или почти все

Вот мучаюсь сомнениями, что мне поможет это сделать. SAMS ? squidGuard ? или может еще что. Программ много, а выбор сделать нужно правильно, чтоб не потерять время зря

vovanj7
С вашей задачей прекрасно справится голый сквид, безо всяких надстроек.
А по теме - SAMS неплох, настраивал его пару раз, очень прост в настройке.

Цитата:

С вашей задачей прекрасно справится голый сквид, безо всяких надстроек.

я вот полез на opennet, нашел там статейук, судя по всему она мне подходит http://www.opennet.ru/tips/info/1378.shtml

Цитата:

А по теме - SAMS неплох, настраивал его пару раз, очень прост в настройке

тока он во-первых не обкатан на 7,1(а у меня именно эта система), во-вторых требует sql, а хотелось бы штатными ср-вами(там сервачек не Бог весть какой Cel700, 80 HDD, 512 RAM). Хотя вариант с sql пока тоже рассматривается

Тут вот, что еще всплыло. Прокси-то нужен прозрачный

vovanj7

Цитата:

Тут вот, что еще всплыло. Прокси-то нужен прозрачный

Прозрачный прокси и авторизация в AD - вещи не совместимые, увы.

Цитата:

Прозрачный прокси и авторизация в AD - вещи не совместимые, увы.

Хм.... хреново Видимо прийдется как-то присваивать параметры прокси через групповые политики AD, но они тока для IE нормально работают

Цитата:

Видимо прийдется как-то присваивать параметры прокси через групповые политики AD, но они тока для IE нормально работают

Во-первых- нет ничего плохого в настройках GPO.
Во-вторых - откройте для себя WPAD, удивитесь.

Цитата:

Во-первых- нет ничего плохого в настройках GPO

плохого-то нет. Вот только у меня нормально настройки подхватывались только ИЕ, а остальные браузеры - трабла . Но скорее всего, это у меня чет не так было

Цитата:

Во-вторых - откройте для себя WPAD, удивитесь.

погуглю

Люди добрые, подскажите куда смотреть. Может быть уже здесь мелдькало, так не судите строго...
Есть freebsd+squid. Есть домен Windows AD 2003. В домене есть группа "Группа Прокси", которой дается доступ в интерент.
Появилась задача: сделать ещё 3 группы. Группа 1, Группа 2, Группа 3. И настроить:
Группа: скорость лимит трафика
Группа 1 64 50мб
Группа 2 256 200мб
Группа 3 1024 500мб
цифры приведены условно. сейчас квот по трафику нет.
Подскажите куда копать.
P.S. - количество пользователей в домене которые ходят в инет порядка 2000. Поэтому актуальны именно доменные группы

vovanj7

Цитата:

а остальные браузеры - трабла . Но скорее всего...

Это нормально... Опера через GPO вообще не рулится, мозилла вроде как обещали... Хром хз он из эксплорера всё берёт.


Цитата:

погуглю

http://www.oszone.net/6822/WPAD Но не факт что не будет так же как и с GPO...

VovaMozg

Цитата:

подскажите куда смотреть.

Группы создать не проблема и настроить DELAY_POOLS тоже а вот то что squid не умеет считать трафик - это уже надо смотреть в сторону редиректоров или других надстроек.
sams squidguard lightsquid sacc

Цитата:

http://www.oszone.net/6822/WPAD Но не факт что не будет так же как и с GPO...

спс, я там уже был.
Но автоматическое присвоение настроек - это дело другое, с этим можно пока и повременить.
Мне сейчас нужен совет совет по самому конфигу. Вот приблиз конфиг. Нужно
1. Developers запретить в рабочее время все, кроме site_allow. В нерабочее время можно все
2. Support запретить deny_site и ICQ_port в рабочее время, во все остальное время можно все

P.S. аутентификация из AD

[more=squid.conf]
спс, я там уже был.
Но автоматическое присвоение настроек - это дело другое, с этим можно пока и повременить.
Мне сейчас нужен совет совет по самому конфигу. Вот приблиз конфиг. Нужно
1. Developers запретить в рабочее время все, кроме site_allow. В нерабочее время можно все
2. Support запретить deny_site и ICQ_port в рабочее время, во все остальное время можно все

P.S. аутентификация из
[more=squid.conf]


http_port 10.65.2.159:3128
visible_hostname squid.mynet.local

mime_table /usr/local/etc/squid/mime.conf

cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log none

cache_effective_user squid

# AD
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#### ACL
#
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl support external nt_group support
acl developers external nt_group developers

acl MYNET proxy_auth REQUIRED
#
acl SSL_ports port 443 563
acl safe_ports port 80        # http
acl safe_ports port 20        # ftp
acl safe_ports port 21        # ftp
acl safe_ports port 443        # ssl
acl ICQ_port port 5190        # ICQ
acl ICQ_port port 1863        # MSN
acl ICQ_port port 5222        # ICQ

acl CONNECT method CONNECT

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255


acl allow_site dstdomain "/usr/local/etc/squid/allow_site.txt"

acl deny_site dstdomain "/usr/local/etc/squid/deny_site.txt"

### Time limit
#
acl work-time time SMTWHFA 10:00-14:00
acl unwork-time time SMTWHFA 14:00-16:00
acl wokr-time time SMTWHFA 16:00-18:00
acl unwork-time time SMTWHFA 18:00-24:00
acl unwork-time time SMTWHFA 00:00-10:00
#

http_access allow developers allow_site work-time
http_access deny developers all work-time
#
http_access allow developers unwork-time
#
http_access deny support deny_site work-time
http_access deny support ICQ_port work-time
http_access allow support work-time
#
http_access allow support unwork-time


http_access deny all


[/more]

Буду благодарен за правку и советы

vovanj7
........
acl unwork-time time SMTWHFA 00:00-10:00

http_access deny developers !allow_site work-time
http_access allow developers !work-time

http_access allow support !deny_site work-time
http_access allow support !ICQ_port work-time
http_access allow support !work-time
http_access deny all
.....

Вроде так будет работать.

Никто не сталкивался с проблемой squid в прозрачном режиме под freebsd?
Периодически возникает сообщение что соединение было сброшено удаленным сервером. И при закачке файлов все вермя обрывы связи причем не по тайм ауту а именно с ошибкой. Если squid не использовать то все ок. Файрволл на squid'е вообще отключал с тем же эффектом. Конфиг дефолтный включены только опции для прозрачного проксирования. Версия squid 3.

Цитата:

acl unwork-time time SMTWHFA 00:00-10:00

не совсем понял, что тут не так ?
Хм. сделал был так

acl work-time time SMTWHFA 10:00-14:00
acl unwork-time time SMTWHFA 14:00-16:00
acl wokr-time time SMTWHFA 16:00-18:00
acl unwork-time time SMTWHFA 18:00-24:00
acl unwork-time time SMTWHFA 00:00-10:00

http_access allow developers allow_site work-time
http_access deny developers work-time

http_access allow developers unwork-time

http_access deny support deny_site work-time
http_access deny support ICQ_port work-time
http_access allow support all work-time

http_access allow support all unwork-time

http_access deny all

все вроде работало, а потом после ребута

Цитата:

w1256570459.702 1706 192.168.2.5 TCP_DENIED/403 1392 GET http://google.com.ua/ user2 NONE/- text/html

USER 2 - это Developers, google у него в списке разрешенных сайтов

vovanj7

Цитата:

acl unwork-time time SMTWHFA 00:00-10:00

Это кусок твоего конфига...
Остался случайно...

tester112

Цитата:

Никто не сталкивался с проблемой squid

Покажи лог сквида для начала, момент обрыва...

gпарни как подять squid y бубунту сервер 9,04 есть инфа??

Dimas007

Код: # man apt-get

)))я имел ввиду мне конфиг нужен)

Dimas007
Каков вопрос - таков и ответ.

вообщем отвечаю сам себе. Набрав конфиг и проверив его несколько раз, понял, что проблема не столько в конфиге. Проверив дальше понял, что freebsd периодически теряет группы из КД Windows. А проблема оказалась банальной на фре, отставали часы(хотя они и синхронизирутся с КД). Погуглив немного сделал след

добавил в /boot/loader.conf строки:
hint.apic.0.disabled=1

в файл /etc/sysctl.conf такую строчку.
kern.timecounter.hardware=i8254

и все вроде стабилизировалось. Сейчас мониторю

стоит авторизация пользователей в SQUID
можно ли как нибудь посмотреть список авторизированых пользователей в данный момент ?

Цитата:

стоит авторизация пользователей в SQUID

авторизация из АД ? тогда можно попробовать wbinfo

vovanj7

Цитата:

вообщем отвечаю сам себе.

круто... все бы так...

sasku

Цитата:

авторизированых пользователей в данный момент ?

Это как? Если текущие подключенные то через cachemgr.cgi

vovanj7

Цитата:

тогда можно попробовать wbinfo

wbinfo отдаст весь список пользователей AD

думал, что поборол, ан нет.
мой конфиг
[more]
####SERVER & IP
#
http_port 192.168.0.2:3128
visible_hostname squid.vqslocal.com
#
####DENY CACHE
#
#no_cache deny PROTO
cache_mem 0 MB
maximum_object_size 0 MB
maximum_object_size_in_memory 0 KB
cache_dir null /tmp
#
mime_table /usr/local/etc/squid/mime.conf
#
####LOGS
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
#cache_store_log /usr/local/squid/var/logs/store.log
#
debug_options ALL,1 33,2
#### SQUID USER
#
cache_effective_user squid
#
#### AUTH Active Directory
#
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
#
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#
#
#### ACL
#
external_acl_type nt_group ttl=0 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl internetsupport external nt_group internetsupport

acl internetdevelopers external nt_group internetdevelopers

acl internetfull external nt_group internetfull

#acl VQSLOCAL proxy_auth REQUIRED
#
acl SSL_ports port 443 563
acl safe_ports port 80        # http
acl safe_ports port 20        # ftp
acl safe_ports port 21        # ftp
acl safe_ports port 443        # ssl
acl safe_ports port 5190    # icq
acl safe_ports port 5222    # qip infium

acl ICQ_port port 443        # ICQ
acl ICQ_port port 5190        # ICQ
acl ICQ_port port 1863        # MSN
acl ICQ_port port 5222        # ICQ

acl CONNECT method CONNECT

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

#cache deny all

#
####ALLOW SITE FOR DEVELOPERS
#
acl allow_site dstdomain "/usr/local/etc/squid/allow_site.txt"
#
#### DENY SITE FOR SUPPORT
#
acl deny_site dstdomain "/usr/local/etc/squid/deny_site.txt"
#
#### ZAPRESCHENNIE v URL VIRAJENIYA
#
acl bad_url url_regex "/usr/local/etc/squid/deny_url.txt"
#
#### DENY DOMAIN NAMES
#
acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains.txt"
#
####DENY IP & NETWORKS
#
acl bad_networks dst "/usr/local/etc/squid/bad_networks.txt"
#
#### LIST NOT AUTORIZED USERS
#
##acl not_autorized src "/usr/local/etc/squid/not_autorized.txt"
#
### Time limit
#
acl work-time time SMTWHFA 10:00-14:00
acl unwork-time time SMTWHFA 14:00-16:00
acl wokr-time time SMTWHFA 16:00-20:00
acl unwork-time time SMTWHFA 20:00-24:00
acl unwork-time time SMTWHFA 00:00-10:00
#
#
####DENY URL
#
http_access deny bad_url
#
####DENY Networks & IP
#
http_access deny bad_networks
#
####Deny domain names
#
http_access deny deny_domains
#
#
#
#### RAZRESHENIYA
#
#
#
http_access allow localhost
#
http_access allow internetfull
#
#
#
http_access allow internetdevelopers allow_site work-time
http_access deny internetdevelopers work-time

http_access allow internetdevelopers unwork-time
#
#
#
http_access deny internetsupport ICQ_port work-time
http_access deny internetsupport deny_site work-time
http_access allow internetsupport work-time

http_access allow internetsupport unwork-time
#
#
#
#
###Deny all NAX...
#
http_access deny all


[/more]

при этом internetfull ходят нормально, а вот internetsupport и internetdevelopers не пускает
в логе след

Цитата:

2009/10/30 18:18:26, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(739)
Got user=[itestsupport] domain=[vqslocal] workstation=[KOMP] len1=24 len2=24
[2009/10/30 18:18:26, 10] libsmb/ntlmssp.c:ntlmssp_server_auth(805)
ntlmssp_server_auth: Created NTLM2 session key.
[2009/10/30 18:18:26, 3] libsmb/ntlmssp_sign.c:ntlmssp_sign_init(338)
NTLMSSP Sign/Seal - Initialising with flags:
[2009/10/30 18:18:26, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
Got NTLMSSP neg_flags=0xa2088205
NTLMSSP_NEGOTIATE_UNICODE
NTLMSSP_REQUEST_TARGET
NTLMSSP_NEGOTIATE_NTLM
NTLMSSP_NEGOTIATE_ALWAYS_SIGN
NTLMSSP_NEGOTIATE_NTLM2
NTLMSSP_NEGOTIATE_128
NTLMSSP_NEGOTIATE_56
[2009/10/30 18:18:26, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(796)
NTLMSSP OK!
2009/10/30 18:18:27| The request GET http://www.google.com.ua/ is DENIED, because it matched 'all'
2009/10/30 18:18:27| The reply for GET http://www.google.com.ua/ is ALLOWED, because it matched 'all'

т.е. пользователь аутентифицируется, а его не пускает. Правила, для их групп просто игнорируются прокси.
Ruza
пробовал вариант предложений тобой выше - резкльтата 0

p.s. все тесты проходят на ура, пробовал выводить и вводить в ДНС, чистить кеш и т.п


Добавлено:
поменял в конфиге порядок следования acl на
http_access allow allow_site internetdevelopers
вместо
http_access allow internetdevelopers allow_site work-time
и он чатично заработал, но привязку по времени по прежнему игнорирует

Пользователю ограничена скорость скачивания до 64 Кб. Если он пытается скачать архив размером 100 Мб, будет ли файл помещен в кэш, даже если пользователь прервал закачку (надоело ждать)? Как этого не допустить?

И второй вопрос. Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

Цитата:

Пользователю ограничена скорость скачивания до 64 Кб.

ограничена чем ?


Цитата:

Если он пытается скачать архив размером 100 Мб, будет ли файл помещен в кэш, даже если пользователь прервал закачку (надоело ждать)? Как этого не допустить?

нет, по-умолчанию докачивается только после того, как файл скачан на 90% (кажись)


Цитата:

И второй вопрос. Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

при нынешних скоростях это не имеет никакого смысла. сильно хорошо - это 5 процентов экономии, стоит ли это затрат по железу решать вам, но я для себя решил аднный вопрос уже 3 года тому назад и отключил на всех серверах дисковый кеш.

Цитата:

отключил на всех серверах дисковый кеш.

я тоже отключил кеш, т.к. у меня есть веб-мастеры, которым нужно смотреть, как изметится страница, при внесении опред. измен. А иногда бывало, что страница вытягивалась из кеша без изменений

Цитата:

Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

Тут дело не в ширине канала, а в том, что характер веба поменялся. Во времена рождения сквида интернет был практически статичен, сайты представляли из себя набор html-страниц, которые менялись достаточно редко, чтобы их можно было успешно кешировать. Сегодня веб слишком динамичен и разнообразен, чтобы что-то успешно кешировать. Все что можно и так кеширует браузер пользователя, веб-сервера, а "общий кеш на шлюзе" понятие устаревшее на мой взгляд и применяется все реже, где специфика посещаемых пользователями ресурсов позволяет безболезненно использовать кеш.

tankistua

Цитата:

ограничена чем ?

пулом

Цитата:

же 3 года тому назад и отключил на всех серверах дисковый кеш.

Как это сделать в squid.conf?

Добавлено:
Еще вопрос.
Сделал прозрачный прокси-сервер
а) добавив в squid.conf
http_port 3128 transparent
б) и выполнив
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.100:3128

Мне надо иметь статические ip-адреса пользователей (рабочие станции с Windows). Я вынужден указывать в сетевых подключениях клиентов также ip-адрес linux-сервера в строках "шлюз" и "dns-сервер". Можно ли как-нибудь без этого?