» SQUID (только под *nix)

День добрый. следующая проблема. доволно таки частенько начала падать таблица cache базы squidlog.
Надоело ее исправлять. вопрос, у кого была похожее и как обойти??

кеш отключи

у меня возникла проблема с отображенеием некторых лементов на сайтах..
например установил я програму VKSaver для скачивания музыки сайта http://vkontakte.ru/, если трафиик пропускаю через сквид, то не отображаеться кнопка "Сохранить", а если в обход сквида, то кнопка отображаеться...в чем может быть проблема?(редирект отключен)

Подскажите. какие правила IPTABLES нужно прописать для того, чтобы трафик прошол через SQUID

Когда прописываю это:

sudo iptables -A FORWARD -i eth0 -o eth1 -s 10.10.10.0/24 -m state --state NEW -j ACCEPT
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE

- весь трафик проходи мимо.

karlson86
мб у вас сквид фильтрует мультимедиа контент? тогда в общем-то кнопку отображать и не для чего...

vagner82
вы хотите прозрачное проксирование осуществить? тогда вам надо добавить единтсвенную строчку в iptables
iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 --dport 80 -j REDIRECT --to-port 3128

так же не рекомендуется использовать MASQUERADE так как он больше потребляет ресурсы сервера да и вообще - кароче используйте непосредственно SNAT и если требуется то DNAT... по всем вопросам касательно настроек iptables сюда.

Alukardd

спасибо за совет:

Цитата:

iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 --dport 80 -j REDIRECT --to-port 3128

Но сервер почемуто выдает ошибку "неизвесная опция '--dport' , в чем может быть дело?

vagner82
ой извеняюсь забыл -p tcp))

Alukardd

если я правильно понял -t tcp нужно вставить сюда:
iptables -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

но он мне в ответ: iptables: No chain/target/match by that name. пробовал вставлять и в другие мета, а он в ответ либо это, либо предыдущую ошибку. Ти уж извини, что надоедаю с дурацкими вопросами, но мне бы с этим разобраться побыстрее, и буду потихоньку SQUID перебирать.

vagner82
да что такое - ну откройте вы мою ссылку!!!
ну пишу же я не в консоль блин, а в чат форума конечно не проверяя команды) - ну лень мне вбить в терминал было

iptables -t nat -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

надеюсь больше без заминок)

Alukardd
Спасибо, теперь строчк прошла, но не все так гладко как мне казалось.
пинг непроходит даже на шлюз. Вот параметры моей сети

файл "etc/network"

auto lo
iface lo inet loopback
auto eth0
ifase eth0 inet static
address 10.242.6.50
netmask 255.255.255.0
network 10.242.6.0
broadcast 192.168.1.255
gateway 10.242.6.150
up route add -net 10.242.6.0 netmask 255.255.255.0 gw 10.242.6.50
auto eth0
ifase eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

файл "/etc/resolv.conf"

nameserver 10.242.6.150


файл "/etc/sysctl.conf"

net.ipv4.conf.default.forwarding=1
net.ipv4.conf.all.forwarding=1

файл "/proc/sys/net/ipv4/ip_forward"

1

ну и конечно же
iptables -t nat -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

и дажа при полном разрешении в SQUID "http_access allow all" никакого эффекта.
В чем же дело?

vagner82
route -n ?

Цитата:

up route add -net 10.242.6.0 netmask 255.255.255.0 gw 10.242.6.50
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Два шлюза, это зачем?

iptables -vnL ?
iptables -vnL -t nat ?

Только не кидай всё в тему, используй тег more...
Хотя настройки сети и не относятся к squid...

vagner82
помимо вопросов заданнхы Ruza, так же интересует следующее...

Цитата:

и дажа при полном разрешении в SQUID "http_access allow all" никакого эффекта.

что значит нет ни какого эффекта? пользователь без какой-либо предварительной настройки браузера идёт в инет и-и... не происходит REDIRECT и он выходит в инте средствами NAT'a или ему вываливается ответ от squid типо я тебя не знаю???
если ответ от squid то посмотрите строчку http_port она у вас должна выглядеть так - "http_port %ваш ip%:%порт для прослушки% transparent"!!!!
а так же я не понимаю зачем вешать на 1 сетевуху 2 сетки???

Alukardd
Фильтрации нет....сквид настроен по минимуму (прозрачный прокси-сервер,размер кеша) ,а также установлен sams(в котором добавлены пару пользователей для теста и сразу же столкнулся с проблемой не отображения некоторых элементов(((
Не сможете скинуть свой конфиг,в котором отображается все....?

karlson86
1 - не стоит обращаться к кому-то конкретно при задании вопроса - я тут не один и далеко не самый вумный во всех отношениях...
2
Цитата:

Не сможете скинуть свой конфиг,в котором отображается все....?

свой конфиг я конечно выложить могу, только вряд ли он вам сильно поможет... давайте лучше разбираться в чём трабла у вас!
Цитата:

столкнулся с проблемой не отображения некоторых элементов

можно поточнее? у вас не отображаются куски страницы??
Цитата:

сквид настроен по минимуму (прозрачный прокси-сервер,размер кеша)

acl вообще не был использован?

в принципе [more=вот]cache_effective_user proxy
cache_effective_group proxy

# TAG: http_port
http_port 192.168.0.1:3128 transparent

tcp_outgoing_address 10.188.108.37

# TAG: acl
# acl all src 0.0.0.0/0.0.0.0 - squid know its own...
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl homenet src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80            # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563        # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT         #Connect method

# TAG: http_access
http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow homenet

http_access deny all


# TAG: icp_access
icp_access deny all

# TAG: htcp_access
htcp_access deny all


# TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?

# TAG: access_log
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log

log_mime_hdrs off
forwarded_for off

# TAG: refresh_pattern
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern (cgi-bin|\?)    0    0%    0
refresh_pattern .        0    20%    4320

# TAG: icp_port
icp_port 3130


# TAG: coredump_dir
coredump_dir /var/spool/squid3

cache_mem 30 MB

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY


# debug_option ALL,1 28,2

maximum_object_size 4096 KB
minimum_object_size 0 KB

cache_mem 2000 KB
cache_dir aufs /var/spool/squid3 50 16 256

request_body_max_size 0 KB

visible_hostname Home_proxy

error_directory /usr/share/squid3/errors/Russian-1251[/more] - это мой домашний конфиг - ток вчера/сегодня состряпал железку дома просто для статистики... прокси прозрачный и ни чего не фильтрует - просто для логирования. По скольку конфиг стряпался не сильно вдумчиво урезая не нужный функционал с работы поэтому есть лишнее... и вообще при установке например в debian ( т.е. у меня ) squid3 сразу готов к работе - он уже имеет минимальные настройки.

на http://chatroulette.com/ - не отображаются кнопки Next Stop Report...
а также после установки программы VKSaver, не отображается кнопка сохранить...
acl был использован(определены какие айпишники имеют доступ и маркировка TOS)

karlson86
Цитата:

на http://chatroulette.com/ - не отображаются кнопки Next Stop Report...

к сожалению у меня нету web-камеры и проверить я не могу... а без прокси этот сайт открывается и работает корректно? мб у вас просо плагинов не хватает? ни контроль айпишников ни урезание качества канала ламерам через TOS не приведет к исчезновению элементов страницы.

karlson86

Цитата:

не отображаются кнопки Next Stop Report...

Пропиши в браузере прокси и проверь с не прозрачным.

Ruza
Цитата:

Пропиши в браузере прокси и проверь с не прозрачным.

думаете этот сервис попал в число тех редких исключений что не умеет протаскивать свои данные через прозрачный прокси? я думал это касается только некоторых систем авторизаци...

Alukardd
Сдаётся мне что сервис на chatroulette.com не любит проксирования, может ява или ещё что... пытается пройти мимо 80 порта который завёрнут

Ruza
up route add -net 10.242.6.0 netmask 255.255.255.0 gw 10.242.6.50
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
это не шлюз по умолчанию, а толко переадресация для сетевых карт.
А шлюз по умолчанию 192.242.6.150
Такой вариант вычитал а книге по настройке промежуточного сервера.
по реколмендации Alukardd iptables прописал только одну строчку iptables -t nat -A PREROUTING -i eth0 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Я не вешал на одну сетевуху две сетки, 10.242.6.50 - внешняя сеть и выход инет, а 192.168.1.1 - внутренняя в которой и находятся пользователи интернет, скорость которых я хочу ограничивать с помощью Squuid.
Говоря что при приведенной выше конфигурации никакого эффекта, я имел ввиду, что выхода в инет нет, и ответа от Squid тоже никакого.
Может у кого то из Вас есть свой рабочий вариант настройки подобного сервера буду признателен если как то скинете, а я попробую переделать под свои нужды.
Заранее спасибо!!!

Цитата:

А шлюз по умолчанию 192.242.6.150

Надеюсь, это просто опечатка?

Цитата:

выхода в инет нет, и ответа от Squid тоже никакого.

А SQUID у вас точно сконфигурен на порт 3128? А если сетка у вас 192.168.1.0, то причем здесь -s 10.10.10.0/24, когда нужно -s 192.168.1.0/24 ? Или это тоже опечатка? Вы уж приводите реальную конфигурацию, чтобы самим не путаться и других не путать.
Все равно сетки 10. и 192.168. светить можно смело, ибо они локальные.

Цитата:

192.242.6.150

это действительно опечатка, нужно: 10.242.6.150
и -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
извини, впредь буду внимательней.

спс за советы..завтра проверю..

vagner82
Цитата:

Я не вешал на одну сетевуху две сетки

Цитата:

auto lo
iface lo inet loopback
auto eth0
ifase eth0 inet static
address 10.242.6.50
netmask 255.255.255.0
network 10.242.6.0
broadcast 192.168.1.255
gateway 10.242.6.150
up route add -net 10.242.6.0 netmask 255.255.255.0 gw 10.242.6.50
auto eth0
ifase eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

я мб сильно не вдупляю что происходит? или у него всё таки обе сетки на eth0 висят??? или вы это тоже специально для нас вручную набрали, а не скопировали файл /etc/network/interfaces???
думаю дело тут не в squid а в ваших настройках iptables - хоть это не совсем в тему - ну давайте уже разберёмся...
в студию пожалуйста содержание файла MyIptablesConfig (получить его можно так - iptables-save>MyIptablesConfig - файл найдёте в домашнем каталоге )!

еще раз все перепроверил, и кажется инет пошол.
Но подскажите как теперь добраться из внутренней сетки до роутера который находиться по адресу 10.242.6.150 за сервером

Добавлено:
извините за еще одну опечатку
auto eth0
ifase eth0 inet static
address 10.242.6.50
netmask 255.255.255.0
network 10.242.6.0
broadcast 192.168.1.255
gateway 10.242.6.150
up route add -net 10.242.6.0 netmask 255.255.255.0 gw 10.242.6.50
auto eth1
ifase eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

vagner82
Цитата:

Но подскажите как теперь добраться из внутренней сетки до роутера который находиться по адресу 10.242.6.150 за сервером

эм.. мы когда с вами до этого обсчались у вас же стоял MASQUERADE... я лишь сказал что там всё не очень написано и что лучше использовать SNAT если у вас статика снаружи ( у вас как я понял именно так ). Если вам что-то не понятно то я вам кидал ссылку
Цитата:

по всем вопросам касательно настроек iptables сюда

там прекрасно написано не просто отдельно взятые настройки а конкретные ситуации типо "Организовать выход наружу локальной сети" так что там полная совокупность команд для всех цепочек для достижения минимального результата - всё сверх думаю додумаете сами исходя из остальных примеров - только не стоит бездумно использовать команду -F - она очищает таблицы!!!
З.Ы. моя запись про ЕДИНСТВЕННУЮ строчку была утрирована, для того что бы другого способа выйти в инет не было и при ваших сомнениях трафик однозначно пытался идти через проксик ибо другого пути всё равно не было бы - а вообще всё в ваших руках...

делал прокси-сервер не прозрачным..не помогло((((

Добавлено:
кнопки на сайте " http://chatroulette.com/ " прогрузились спустя 10 минут.... в чем может быть проблема?

Добавлено:
http://vkontakte.ru появилась кнопка save...самое ужасное , то что я ничего не менял за исключением добавлнем строк
cache_effective_user proxy - эта по умолчанию и так присутствует
cache_effective_group proxy

vagner82

Цитата:

еще раз все перепроверил, и кажется инет пошол.
Но подскажите как теперь добраться из внутренней сетки до роутера который находиться по адресу 10.242.6.150 за сервером

Alukardd

Цитата:

эм.. мы когда с вами до этого обсчались у вас же стоял MASQUERADE... я лишь сказал что там всё не очень написано и что лучше использовать SNAT если у вас статика снаружи ( у вас как я понял именно так ). Если вам что-то не понятно то я вам кидал ссылку

Тут вроде как squid, не? А то разговор слепых с глухим получается...
karlson86
Конфиг давай, а то обсуждать нечего...

Ruza
всё под контролем
я писал выше, что это не оч в тему, но раз уж настройки iptables коснулись squid'a, то решили не уходить из топика...

поправил
[more=конфиг]
acl _sams_4bff5a7d6b32c src "/etc/squid3/4bff5a7d6b32c.sams"
acl _sams_4bff5a7d6b32c_time time MTWHFAS 00:00-23:59
acl _sams_disabled_ip src "/etc/squid3/disabled_ip.sams"
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow _sams_4bff5a7d6b32c _sams_4bff5a7d6b32c_time
http_access deny _sams_disabled_ip
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

icp_access deny all
htcp_access deny all

http_port 192.168.32.230:3128 transparent

    acl admins src "/home/navi/squid/admins"
    tcp_outgoing_tos 0x20 admins
    
    acl users_out src "/home/navi/squid/users"
    tcp_outgoing_tos 0x10 users_out
    
hierarchy_stoplist cgi-bin ?

cache_mem 32 MB

cache_dir ufs /var/spool/squid3 60000 16 256

maximum_object_size 16384 KB

access_log /var/log/squid3/access.log squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern (cgi-bin|\?)    0    0%    0
refresh_pattern .        0    20%    4320

cache_effective_user proxy
cache_effective_group proxy

icp_port 3130

error_directory /usr/share/squid3/errors/ru

coredump_dir /var/spool/squid3


[/more]