Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: aChikatillo
Дата сообщения: 06.10.2011 15:06
Есть непонятная проблема:
Squid настроен прозрачным прокси..
Есть клиент в сети у которого стоит Corel Draw - использует макрос plot calc - который лезет в инет по 80у порту(для чего не понятно) , так вот если пускаю этот комп мимо прокси все работает, если через прокси то макрос виснет...В логах вроде по этому поводу не че нет..
Автор: ipmanyak
Дата сообщения: 06.10.2011 16:08
aChikatillo Попробуй выпустить этот хост по методу Connect, примерно так
# этот аксель обычно уже есть по дефолту
acl CONNECT method CONNECT
#
acl user src 192.168.0.5
http_access allow CONNECT user



Автор: Boris_Popov
Дата сообщения: 07.10.2011 15:43
aChikatillo

c ipmanyak,
и еще вариант (с меньшей attack surface изнутри в случае чего)
acl no-cache dstdomain [куда лезет скрипт]
always_direct allow no-cache
Автор: ohlos
Дата сообщения: 15.10.2011 12:17
Установлен сквид из rpm-пакета. Соответственно на диске с дистром (Сюзя) такой же пакет. Как пересобрать Сквида с поддержкой null хранилища?
Автор: vlary
Дата сообщения: 15.10.2011 13:57
ohlos
Цитата:
Как пересобрать Сквида с поддержкой null хранилища?

Скачать исходники, распаковать, зайти в эту папку
./configure (с нужными опциями)
make
make install
Заменить бинарник, поправить конфиг.
В принципе на сайте сквида процедура расписана.

Автор: ohlos
Дата сообщения: 15.10.2011 14:03
vlary
Это понятно, но хотелось узнать, если конечно таковая имеется, возможность именно для варианта из RPM.
Автор: Alukardd
Дата сообщения: 15.10.2011 14:55
ohlos
ну можно после того как сконфигурировали, собрать самому rpm пакет. Готовый уже изменить нельзя.
Автор: Ruza
Дата сообщения: 15.10.2011 15:08
ohlos

Цитата:
Как пересобрать Сквида с поддержкой null хранилища?

wget squid-version-XXX.src.rpm
rpm -i ./squid-version-XXX.src.rpm
mcedit /usr/src/redhat/SPECS/squid.spec (вносишь изменения касающиеся null после ./configure --prefix=/usr...)
rpmbuild -bb /usr/src/redhat/SPECS/squid.spec
rpm -Uvh --force /usr/src/redhat/RPMS/arch/squid-version-XXX.rpm

Где то так...
Пути и команды от redhat, в suse могут быть другими.
Автор: ohlos
Дата сообщения: 15.10.2011 17:17
Alukardd
vlary
Стоял сквид из пакета rpm. Скачал исходники, распаковал и выполнил ./configure --enable-storeio=ufs,null
Но сквид при загрузке системы ругается, что не может создать в var/cache/squid (откуда он берет этот путь, когда его в конфиге нет?)
В ручную потом запускается без ругательств.

Заремил cache_dir null /tmp и прописал cache_dir со стандартными параметрами, но в другую директорию. Сквид при старте системы все равно ругается, что не может в var/cache/squid создаться. Перенес папки из созданной директории в var/cache/squid и сквид стал запускаться при загрузке системы

В чем дело? Или сквиду все таки нужно изначально создать какой-то кэш, а потом лишь отключать? Но почему не понравился ему кэш в избранном мной месте? Или нужно было деинсталировать рпмовский и ставить вчистую из исходников?
Автор: Boris_Popov
Дата сообщения: 15.10.2011 19:52
ohlos

Цитата:
Или нужно было деинсталировать рпмовский и ставить вчистую из исходников?

Именно. У меня похожие грабли были на RHEL 5. squid.conf — сделать резервную копию, чтобы не потерять ACLы и т.д.

Автор: Ruza
Дата сообщения: 15.10.2011 22:49
ohlos

Цитата:
Скачал исходники, распаковал и выполнил ./configure --enable-storeio=ufs,null

И всё? А другие параметры? И были ли make & make install?
coredump_dir куда показывает?
Автор: ohlos
Дата сообщения: 16.10.2011 10:10
Ruza

Цитата:
И всё? А другие параметры? И были ли make & make install?


Угу (краснея до корней волос). О существовании других параметров я заподозрил лишь когда "вдруг" исчезло прозрачное проксирование.
Не пинай сильно, но "make & make install" тоже не делал - не думал. что понятие "пересобрать" подразумевает и их.
Теперь даже страшно подумать какой мутант сидит на сервере. Наверно проще убить его и накатить из родного диска rpm-ский пакет, а от кэширования избавиться через

Код: acl all src 0.0.0.0/0.0.0.0
cache deny all
Автор: Alukardd
Дата сообщения: 16.10.2011 17:05
ohlos
Цитата:
Теперь даже страшно подумать какой мутант сидит на сервере.
если вы не выполняли make & make install, то ни какого мутанта у вас там нет. Или же вы всё-таки опосля выполнили установку (make install), если да то сидит, если только ./configure и make, то всё в порядке...
Цитата:
А где это?
всё там же - в squid.conf, если нету, то используется значение по умолчанию, если есть то соответственно то, что указано
Цитата:
coredump_dir /var/spool/squid3
cache_dir aufs /var/spool/squid3 500 16 256

Цитата:
Пробовал Кальмару 3.1 скормить конфиг от 2.6, но он упорно ругался acl all src 0.0.0.0/0.0.0.0
В 3.1 этот аксель не нужен - он зашит в код, можете сразу использовать http_access deny all.
Автор: ohlos
Дата сообщения: 16.10.2011 19:27
Alukardd

Цитата:
если вы не выполняли make & make install, то ни какого мутанта у вас там нет. Или же вы всё-таки опосля выполнили установку (make install), если да то сидит, если только ./configure и make, то всё в порядке...


Краткая история:
- вместе с системой установил 3.1, не подружились с ним, снес его и с диска дистрибутива поставил 2.7
- подсунул ему конфиг от своего старого 2.6
- сделал директорию под кэш в /proxy/squid (правда права рута не поменял)
- выполнил squid -z
- стартанул
- установил старт Кальмара на 3 и 5
- на 2-х машинах подкинутых к серваку пошло ПРОЗРАЧНОЕ проксирование
- порылся в инете. позадавал тупые вопросы, скачал исходники 2.7
- распаковал, выполнил ./configure --enable-storeio=ufs,null (И ТОЛЬКО! прежний сквид не деинсталил)
- прозрачное проксирование на компах исчезло, но после явного указания в браузере прокси выпускает
- после перезагрузки системы, при автоматическом старте сквида ругается что не находит кэш в /var/cash/squid (по памяти - может какую-то букву пропустил)
- конфиг, во всяком случае в /etc/squid не изменился и cache_dir по прежнему указывает на /proxy/squid
- в ручную сквид запускается, прозрачность отсутствует
- изменил права на /proxy/squid, но после перезагрузки тот же результат
- перекинул папки из /proxy/squid в /var/cash/squid - автоматическая загрузка пошла
- т.е. даже без make и make install исчезла прозрачность и нарисовалась какая-то левая директория... как сказал бы Зверев "звезда в шоке"


Цитата:
В 3.1 этот аксель не нужен - он зашит в код, можете сразу использовать http_access deny all


Случайно null в код у него не зашит?



Автор: tankistua
Дата сообщения: 16.10.2011 20:13
билять :)

шо вы за этот кеш все целяетесь - вы ж не диалапе сидите. Он в 3.1 отключен нафиг по-умолчанию.

З.Ы. с дефолтным конфигом от 3.1 ничего особо делать не надо - для прозрачного проксирования достаточно http_port 8080 transparent
Автор: Alukardd
Дата сообщения: 16.10.2011 20:43
tankistua
Цитата:
шо вы за этот кеш все целяетесь - вы ж не диалапе сидите. Он в 3.1 отключен нафиг по-умолчанию.
пурум) 56Кбит/с forever!!! Кстати не знал, что отключен по умолчанию, хотя в Debian сборке мб что угодно...

ohlos
операция ./configure ни черта в системе не делает, она лишь производит некоторые действия в папке с исходниками, впрочем как и make. Так что все ваши старания остались внутри папки с исходниками и не более того

Цитата:
Случайно null в код у него не зашит?
всё возможно, за вас уже разработчик rpm пакета, сконфигурял его, так что...
Если хотите посмотреть с какими опциями сконфигурирован ваш установленный rpm пакет, то просто выполните squid3 -v (если у вас 3-ий конечно стоит, по крайней мере в Debian это так).
Автор: ohlos
Дата сообщения: 18.10.2011 15:54
tankistua

Цитата:
шо вы за этот кеш все целяетесь - вы ж не диалапе сидите. Он в 3.1 отключен нафиг по-умолчанию.


а вот хрен там. При загрузке сервера ругается "failed while creating cache_dir". Хотя в дефолтном конфиге его и нет, но по умолчанию cache_dir=var/cache/squid. Ручками потом запускается без ругательств. Пришлось удовлетворить его и таки пожертвовать ему мегов на кэш.


Цитата:
с дефолтным конфигом от 3.1 ничего особо делать не надо - для прозрачного проксирования достаточно http_port 8080 transparent


Увы, как показывает практика для 3.1 не достаточно.
Автор: ohlos
Дата сообщения: 19.10.2011 16:54
tankistua

Цитата:
с дефолтным конфигом от 3.1 ничего особо делать не надо - для прозрачного проксирования достаточно http_port 8080 transparent


Кстати, в release notes вычитал "transparent option replaced by intercept". После замены прозрачность появилась
Автор: Alukardd
Дата сообщения: 26.10.2011 20:40
Здравствуйте, что не могу решить задачку одну.

Щас переводим squid с черных списков на белые, в связи с этим youtube оказался под запретом (разрешать низя и я согласен), но на корпоративном сайте некоторые ролики берутся с youtube, так вот нужно разрешить именно на корсайте смотреть эти ролики, ну или перейдя с него.
Перечислять их все глухо, нужно нормальное решение.
Пробовал следующее:
squid.conf
acl video url_regex http://s.ytimg.com/yt/swfbin/cps-vflp68RLR.swf
acl allow_ref referer_regex -i "/etc/squid3/etc/whitelists/whitelist_referer.acl"

whitelist_referer.acl
corsite.com
http://s.ytimg.com/yt/swfbin/cps-vflp68RLR.swf

Логика проста - пытался разрешить грузится роликам с нашего сайта.

Результаты - сайт появляется, плеер подгружается, содержимого нема.

p.s. http://s.ytimg.com/yt/swfbin/cps-vflp68RLR.swf - это как я понял сам плеер.
Автор: Alukardd
Дата сообщения: 31.10.2011 17:17
Во первых, поможите пожалуйста с предыдущим вопросом...

Во вторых есть еще непоняток:
ОС: Debian Squeeze
Squid: 3.1.6
до этого работал с basic авторизацией, решил наладить ntlm - прописал над basic 2 строки:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
После этого ntlm-авторизация заработала и браузер больше не имеет пользователям мозг с запросом логина и пароля, НО если кто-то не в домене, то ппц, запрос до basic авторизации не доходит и пароль спрашивает ntlm_auth!!! Причем не один раз, а по несколько - в зависимости от различных элементов на странице - если я для них пароль ввёл, то еще раз он не спросит.
В логах куча строк: AuthNTLMUserRequest::authenticate: need to ask helper.
Когда работала basic то один раз ввёл при открытии браузера и гуляй где хочешь...

В общем вопрос прост, как заставить его переходить к basic авторизации, если ntlm не прошла автоматом? Пытался сократить число запросов - так вот: AuthNTLMConfig::parse: unrecognised ntlm auth scheme parameter 'max_challenge_reuses'.
Автор: resetsa
Дата сообщения: 03.11.2011 20:45
Добрый день!
а не кто не подскажет, где можно найти videocache?понимаю, хорошо бы это в варез, но все таки.
желательно больше 1.9.3
Автор: ohlos
Дата сообщения: 05.11.2011 22:44
Alukardd
http://web.archiveorange.com/archive/v/ZvpyeycxfPiPYqGYzGNy
Автор: Alukardd
Дата сообщения: 06.11.2011 11:34
ohlos
Типа с NTLM это косяк в кальмаре и вы мне предлагаете его пропатчить? Не лучшая идея, предпочитаю ставить пакеты только из репов, за исключением без исходных случаев.
Попробую поставить 3.1.15 из testing branch.
Автор: ohlos
Дата сообщения: 06.11.2011 14:40
Alukardd
Этот баг свойственен всей 3-ке. Попробуй пообщаться напрямую http://www.squid-cache.org/Support/mailing-lists.html
Автор: Alukardd
Дата сообщения: 10.11.2011 10:59
Народ, что-то я в ступоре - Нужно запретить один док на docs.google.com.
Написал acl black_list url_regex -i "/etc/squid3/etc/whitelists/whitelist_exclude.acl"
Внёс в него полный url с адресной строки. Результата ни какого...
Вроде как запрет на весь домен docs.google.com работает, хотя и странно - пользователю показывается не страница ERR_ACCESS_DENIED, а браузер пишет, что невозможно установить соединение.
А конкретную ссылку на конкретный док хз как заблочить, там id документа в GET запросе идёт...
Автор: digital422
Дата сообщения: 10.11.2011 11:51
/etc/squid3/etc/whitelists/whitelist_exclude.acl начинается так:
^http://docs.google.com/* ?
Автор: Alukardd
Дата сообщения: 10.11.2011 13:04
digital422
Вообще-то мне не важен циркумфлекс и звездочка...
Нет, начинается не так, хотя и так пробовал. Достаточно прописать просто docs.google.com. В конце концов это regex...
Повторюсь, у меня есть подозрение что GET запрос не доходит до обработчика acl.
Автор: MadMas
Дата сообщения: 15.11.2011 08:26
Всем привет.
Есть такая проблема. Сервак Fedora 13+SQUID 3.1.10 авторизация по ip. Все вроде работает, в логах ничего подозрительного (по крайней мере для меня), но ночью примерно в час-два squid останавливается.
По команде: service squid status
выдает squid dead but pid file exists

После перезапуска службы безо всяких ругательств и проблем запускается и работает как ни в чем не бывало. В логах опять таки ничего нет, только информация о том что он поднялся.
Конфиг сквида:

visible_hostname myproxy

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl pavel src 172.16.203.24/32
acl dima src 172.16.203.88/32
acl managers src 172.16.204.0/24
acl madmas src "/etc/squid/madmas"

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow pavel
http_access allow madmas
http_access allow dima
http_access allow managers
http_access allow localhost
http_access deny all

http_port 2100

hierarchy_stoplist cgi-bin ?
cache_mem 8 MB
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


Собс-но что делать?
Автор: tankistua
Дата сообщения: 15.11.2011 08:48
скорее всего это он выпадает после logwatch-а - сомневаюсь что тебе сервак поломали, чтобы сквид останавливать :)
Автор: MadMas
Дата сообщения: 16.11.2011 07:10

Цитата:
скорее всего это он выпадает после logwatch-а - сомневаюсь что тебе сервак поломали, чтобы сквид останавливать


На счет взлома я тоже весьма сомневаюсь, а logwatch у меня вообще нет. Что еще может быть?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.