Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: Ruza
Дата сообщения: 18.05.2010 19:04
Arkey

Цитата:
Сквид валится при > 240 подключений с одного ip

Конфиг и cache.log (на момент падения) покажи...


Цитата:
Кстати такая проблема появилась у меня при использовании uTorrent версии 2 и выше. 1.8.5. работал отменно.

А в чём проблема использования utorrent через squid? iptables|pf вроде ещё не отменили...
Автор: Arkey
Дата сообщения: 19.05.2010 02:06

Цитата:
А в чём проблема использования utorrent через squid? iptables|pf вроде ещё не отменили...


Проблема в топологии моей сети. комп раздающий интернет находится вообще в другой подсети. Как гейт он служить не может.


Цитата:
Конфиг и cache.log (на момент падения) покажи...


Кстати. проблема решилась отключением кеширования трафика с моего хоста на котором торренты стоят. просто прописал:

acl host src IP_HOST
cache deny host

и все. Загрузка теперь 0.1-8% от процессора.

Потом, как топологию изменим то все сделаю через iptables, естевственно
Автор: vlary
Дата сообщения: 19.05.2010 10:27
Arkey Кеширования трафика для торрентов лишено смысла. Ведь задача кеширования в первую очередь выдать из кеша другим пользователям то, что уже было загружено ранее. В случае торрентов это нонсенс.
Автор: emfs
Дата сообщения: 19.05.2010 13:03
Arkey

Кеширование настрой на определённые типы файлов, а не на всё.
Автор: Arkey
Дата сообщения: 20.05.2010 00:49
vlary, согласен. просто я сначало не думал об этом. Это действительно безсмысленно.


Цитата:
Кеширование настрой на определённые типы файлов, а не на всё.


На какие например?

Автор: Ruza
Дата сообщения: 20.05.2010 06:45
Arkey
Если не секрет укажи количество squid-клиентов и ширину внешнего канала...
Может тебе кеширование вообще не надо.
Автор: Arkey
Дата сообщения: 20.05.2010 06:50

Цитата:
Если не секрет укажи количество squid-клиентов и ширину внешнего канала...

Не секрет. около 130 человек (активных меньше гораздо) на 1 мегабит канала
Автор: tankistua
Дата сообщения: 20.05.2010 08:55
ды выключи кеширование - я выключил на всех серверах еще лет пять тому назад - с такими нынешними скоростями заниматься кешированием бессмысленно.

вы сейчас боретесь за 3-5 процентов трафика, и то в лучше случае.

Что касается того, что валится сквид - подобный баг был где-то год назад на 2-ой версии сквида. В текущих версиях все починено. Я лечил установкой 3-ей версии.
Автор: emfs
Дата сообщения: 20.05.2010 13:32
Arkey

Цитата:
На какие например?


на те, что меняются достаточно редко, на средний период, в течение которого они не меняются
Автор: Alukardd
Дата сообщения: 27.05.2010 13:19
Народ я щас расскажу что есть и что я хотел получить...

хочу в squid проверку принадлежности пользователя группе реализовать... кароче ldap пашет basic auth работает.

соответсвенно вот строка которая должна проверять попадание пользователя в группу
Код: external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "ou=users,ou=school,dc=school,dc=ru" -f "(&(cn=%v)(memberOf=cn=%a,ou=groups,ou=school,dc=school,dc=ru))" -D squidreader@school.ru -W /etc/squid3/adpw.txt 192.168.0.1
Автор: sashac
Дата сообщения: 27.05.2010 14:05
Добрый день. Подскажите, пожалуйста, человеку в SQUID не шарящему, как разрешить клиенту внутренней сети подключится к расположенному в инете узлу по протоколу RDP - порт 3389.
Автор: Alukardd
Дата сообщения: 27.05.2010 14:16
sashac
оО ну а вы как собрались выпускать RDP через прокси? он сам так ходить не умеет!!!
а на прокси всё понятно - разрешить method CONNECT для 3389 порта...
Автор: sashac
Дата сообщения: 27.05.2010 14:21
Если можно, поподробнее, пожалуйста... типа для тех, кто в танке...
1. собрались выпускать RDP через прокси? он сам так ходить не умеет!!! - что Вы имеете ввиду?
2. разрешить method CONNECT для 3389 порта... - можно подробнее... что конкретно нужно прописать в squid.conf?
Автор: Alukardd
Дата сообщения: 27.05.2010 14:29
sashac
поподробнее для тех кто в танке:
Цитата:
1. собрались выпускать RDP через прокси? он сам так ходить не умеет!!! - что Вы имеете ввиду?
я имею в виду то, что утилита mstsc ( она же RemoteDesktop )не имеет настройки подключения через прокси-сервер - ей NAT подавай... но есть такие утилиты типо ProxyCap ( где-то на форуме обсуждался достаточно большой перечень таких программ ), которые позволяют выпустить через проксик почти всё, что угодно душе! Так вот если с mstsc поладит, то ...
Цитата:
2. разрешить method CONNECT для 3389 порта... - можно подробнее... что конкретно нужно прописать в squid.conf?

Код: acl RDP_port port 3389
acl Safe_ports 3389
acl CONNECT method CONNECT
...
http_access deny !Safe_ports
http_access deny CONNECT !RDP_port
...
Автор: sashac
Дата сообщения: 27.05.2010 14:32
Спасибо большое, буду пробовать.
Автор: Alukardd
Дата сообщения: 27.05.2010 14:36
sashac
ах да если у вас squid уже норм настроен и там есть строчки типо acl SSL_ports 443 и так далее, то лучше просто вписать туда порт RDP и не заводить отдельный acl и не писать к нему правило для CONNECT... да и строчка acl CONNECT method CONNECT у вас скорее всего присутствует...
В общем вам стоит разобраться в структуре написания файла squid.conf без этого тяжеловато что либо осмыслять...
Автор: Alukardd
Дата сообщения: 28.05.2010 11:21
Эм... у мну опять затыка...
сайт youtube.com добавлен в blacklist, но есть сайт который добавлен в whitelist, так вот на этом сайте видеоматериалы подгружаются именно с youtube.com!!! Соответственно в правилах сначала идёт allow whitelis, а потом deny blacklist. Но по скольку ссылки на видео попадают под blacklist, то юзера не могут их просмотреть, что очень плохо! Итого надо как-то объяснить squid'у что на сайтах из whitelist дальше проверять ни чего не надо!!!

Я так понимаю что надо как-то правило распространить на страницу, а не на каждый объект как это делает squid. Только вот не знаю как это сделать...
Автор: vlary
Дата сообщения: 28.05.2010 11:34
Alukardd ИМХО, без вариантов. Либо разрешить полностью youtube.com, либо смириться с ситуацией.
Автор: Alukardd
Дата сообщения: 28.05.2010 11:38
vlary
нет, зачем вы со мной так( они же с youtube не вылезут демоны((( а на сайт организации умудрились видео добавлять через youtube(
неужто нельзя прописать allow по http_header а не адресу каждого элемента?
Автор: vlary
Дата сообщения: 28.05.2010 12:07
Alukardd Значит, придется в белый список или через url_regex ввести все эти ссылки полностью.
Тогда сквид те ролики, ссылка на которые разрешена, пропустит, остальные заблокирует.
Автор: Alukardd
Дата сообщения: 28.05.2010 13:28
vlary
в принципе вариант почти прекрасный...
жаль только что придётся следить за добавлением новых видео(((
Автор: vlary
Дата сообщения: 28.05.2010 13:58

Цитата:
жаль только что придётся следить за добавлением новых видео(((
А кому сейчас легко? Кризис!
Автор: Refugee
Дата сообщения: 28.05.2010 15:08
Alukardd
можно для этого сайта сделать acl referer_regex
Автор: vlary
Дата сообщения: 28.05.2010 15:57

Цитата:
можно для этого сайта сделать acl referer_regex
Не всегда эта штука работает как надо. Но попытаться можно, а вдруг?
Автор: Alukardd
Дата сообщения: 28.05.2010 15:58
Refugee
не понял я что-то как пользоваться referer_regex - можно примерчег скромненький?

и еще мне не понятно почему squid в строчке разные типы разбирает, а одинаковые что ли не может?
я думал что он вообще съест - http_access deny blocksites !ByPass , а он каках не хочет(((
при том, что строчки типа - http_access allow authorized workingTime ,он прекрасно съедает...

Добавлено:
вы предлогаете сделать acl allow_ref referer_regex "/etc/squid3/etc/allow_ref.acl"
с содержанием типо .mysite.ru
и потом-то что?
http_access deny blocksites !allow_ref
или повыше просто написать
http_access allow allow_ref и тогда этот запрос на этом удовлетворится?

Добавлено:
такой конструкцией добился того, что плеер появился на странице, но в нем увы не видео а лишь
An error occurrred , please try again later.
- видимо это означает, что referer сработал, а дальше действуют другие законы?..

Добавлено:
вот по всей видимости строчки access.log о моих результатх
Код: 1275052183.331 235 192.168.233.100 TCP_MISS/200 1575 GET http://www.youtube.com/v/3Nav1vjVisI&hl=ru&fs=1&rel=0 alukardd DIRECT/209.85.135.113 application/x-shockwave-flash
1275052184.905 258 192.168.233.100 TCP_MISS/200 4256 GET http://www.youtube.com/get_video_info? alukardd DIRECT/209.85.135.113 application/x-www-form-urlencoded
1275052184.962 0 192.168.233.100 TCP_DENIED/403 1402 GET http://v10.lscache3.c.youtube.com/videoplayback? alukardd NONE/- text/html
1275052185.186 0 192.168.233.100 TCP_DENIED/403 1373 GET http://www.youtube.com/player_204? alukardd NONE/- text/html
Автор: vlary
Дата сообщения: 28.05.2010 17:52

Цитата:
хм 1-я строчка из этих - это само видео
Нет, скорее всего, это не видео, а флэш, который должен уже сам загрузить и показать ролик с youtube.com
Автор: Alukardd
Дата сообщения: 28.05.2010 17:57
vlary

Цитата:
сам загрузить и показать ролик
что значит сам? если мы переходим по этой ссылке то открывается видео... Или вы хотите сказать что для этой ссылки referer является наш сайт, а для самого видео уже эта страничка?
ну и гемор же тут...
Автор: vlary
Дата сообщения: 28.05.2010 18:19
AlukarddЯ не знаю, как там у них на youtube, я в свое время пробовал у сбя сделать кино так.
Сотворил в СвишМакс кастом плеер, который умеет проигрывать flv ролика.
Прописал в нем название этого ролика, и поместил эту флэшку вместе с роликом и страничкой на сайт.
Человек грузит страничку, там ссылка на флэш. Загружается и запускается флэш (как обычный баннер). И после загрузки этот флэш загружает и запускает ролик. В страничке о самом ролике никакого упоминания.
Автор: multrus
Дата сообщения: 31.05.2010 15:32
Просьба помочь с пробросом трафика одного из компьютеров мимо SQUID.
Система Ubuntu 8.04

Конфига следующая
Сеть разбита на 2 подсетки

192.168.0.ххх (внутр, компы и сервер) -> 192.168.0.100 (Прокси Squid) 192.168.1.100 -> 192.168.1.ххх (внешняя подсеть, коммутационное оборудование провайдеров и IP телефония)

Необходимо пробросить шифрованный трафик с одного из компьютеров пользователей наружу в обход сквида (т.к. сквид не пускает, хотя все вроде разрешено).

Рекомендации от IT службы стороннего сайта на который необходимо попасть
Для получения удаленного доступа необходимо выполнить следующие настройки для рабочего места участника торгов на файрволе Вашей организации:
- открыть сетевой порт 7997 на ip-адрес: хх.хх.хх.хх (исходящие пакеты)
- открыть сетевой порт 7443 на ip-адрес: хх.хх.хх.хх (исходящие пакеты)

Грешу на Squid потому как при выносе компа во внешнюю подсеть и прописывании шлюза провайдера комп пускает к удаленному серверу.

Когда он находится во внутренней подсети, ИЕ подвисает минут на 5 и не дождавшись ответа от сервера пишет что связь не установлена.

Думаю как вариант прописать прямой путь в обход squid, но как и где до конца понять не могу. Просьба помогите развернутым советом, что и где копать
Автор: ipmanyak
Дата сообщения: 31.05.2010 16:37
multrus сквид не причем, это тока http трафик, вам же нужен другой! Весь другой трафик пропускай на фаерволе правилами iptables. если есть затрудения в создании правил для айпитаблеса. то в помощь онлайн генераторп правил - http://easyfwgen.morizot.net/gen/
после проставления всех нужных птиц получите готовый тесктовый скрипт. Кторый проанализуреет и подстроите для себя. Особое вгнимание обратить на Allow Inbound Services - ставьте птицу, жмите кнопу Gernerate Faerwalll - откроются доп правила. Когда всё, что нужно будет заполнено, получите готовый скрипт.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.