» SQUID (только под *nix)

Поставил прозрачный прокси на базе SQUID.
Конфиг настроен (работает на другой системе), в логах пишет

TCP_MISS
TCP_NEGATIVE_HIT
TCP_SWAPFAIL_MISS
TCP_IMS_HIT
===
TCP_HIT вообще нету =(

Transparent proxy + реальные IP юзеров

поднял Transparent proxy squid... но юзеры когда по сайтам лазиют, у них определяется IP как у сервера... возможно ли сделать чтобы определялись ихние собственные IP ?
В конфиг добавлял только это:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Правило такое:
ipfw add 5 fwd local_ip,3128 tcp from subnet/27 to any dst-port 80,8080
Заранее благодарен!

Ejik88

Цитата:

возможно ли сделать чтобы определялись ихние собственные IP

нет

squid 2.5.STABLE5
Вставляет посторонние, каждый раз разные по виду, но одинаковые по количеству символы! Как избавится?
Вот скрин: http://ejik.rbcmail.ru/ya.gif
И так у всех юзеров кто юзает мой squid
Заранее спасибо!
PS: никаких forvarder'ов не использую
PSS: использую cache_peer через другой прокси, там стоит UserGate

по теме - уже год как пользуюсь режиком (стоит на 6 роутерах) http://www.rejik.ru/
все красиво работает, нежелательное фильтруется, кому надо пускается и т.п. Банеры заменяются на прозрачный gif.

Ejik88
Такие глюки только на Эксплорере? как ведет себя мозила/етц ?

если не использовать cache_peer - получается избавится от глюков?

Добавлено
PS: если нажать reload, символы исчезают или нет?

Цитата:

PSS: использую cache_peer через другой прокси, там стоит UserGate

Это косяк UserGate!, не squid. У меня пока UserGate стоял, похожая фигня сыпалась, причём иногда даже затерались HTTP заголовки.

как сделать так, чтобы сквид на определенные сайты ходил через другой прокси?

Добавлено
Ejik88

Цитата:

возможно ли сделать чтобы определялись ихние собственные IP ?

forwarded_for on

Infection

Цитата:

forwarded_for on

можно ли подробнее об этом инструменте - а то пока я пользовался в таких случаях скриптами автоконфгурации для IE на машинах клиентах, правда сам скрипт на серваке под NT

Цитата:

можно ли подробнее об этом инструменте

куда подробнее? в конфиг сквида лезешь и выключаешь этот параметр.

Loafer
не мог бы подробнее проконсультировать по поводу интерфейса к cachemgr? в правилах всё есть, а подключиться по-прежнему не могу.
или я просто пропустил, что это надо было включать при компиляции?

freebsd 5.2.1. squid 2.5.5.
Отвалилась аутентификация ncsa_auth. Пароли генерил с помощью htpasswd. Из-за чего могло отвалиться?

Всем здравствуйте
подскажите возможно ?
интернет берется у провайдера через VPN, есть тестовое имя на котором вроде бы как работает токо http, но я сам пользовался этим именем и работал по фтп, плюс аська
работает токо в настройках везде нужно ставить HTTPS прокси_правайдера:3128

freebsd-5.0 squid-2.5
но squid отказывается работать под ним, грузит первую страничку, а дальше "No route host", в access.log - TIMEOUT_FIRST_UP_PARENT, если cache_peer прокси_правайдера parent 3128 3128 или TIMEOUT_NONE, если cache_peer прокси_правайдера sibling 3128 3128
я думаю если первая работает так может возможно и дальше ?
под обычным именем все нормально работает

Цитата:

не мог бы подробнее проконсультировать по поводу интерфейса к cachemgr? в правилах всё есть, а подключиться по-прежнему не могу.
или я просто пропустил, что это надо было включать при компиляции?

EndoR
если речь идет об использовании squid stat - прошу в icq - есть в профиле
никаких дополнительных опций при сборке включать не нужно для корректной работы squid stat - просто внести измеения согласно описанию:

Цитата:

To normal work you must add to squid.conf next lines:
acl manager proto cache_object
acl <Your_name> src <Your_address>/255.255.255.255
http_access allow manager <Your_name>

or this for authorized access:

acl manager proto cache_object
acl <Your_name> src <Your_address>/255.255.255.255
acl passwds proxy_auth <Password file>
http_access allow manager passwords
http_access allow manager <Your_name>

так если у тебя отвалилась авторизация может быть в этом и проблема

Loafer
не. авторизация просто отвалилась. пока говорю НЕ о cachemgr.

ALL

может кто знает как прикрутить icap для 2.5-6
, поделитесь

на проксе стоит запрет на скачивание различного мультимедиа
но вот трансляции интеренет радио проходят - и народ спокойно накручивает трафик
как организуется запрет на прослушивание всякого инет-радио?

У меня есть файличек который подключён через acl, где есть такие строки:

\.avi$
\.mp3$
\.mpeg$
\.asf$
\.asx$
\.wm$
\.wmx$

вроде работает.....
народ жалуется

Strizh
попробуй подсунуть в windows media player этот линк
~http://62.118.252.135/autoradio
или
~http://mayak.tcnet.ru/radiomayak

Цитата:

но вот трансляции интеренет радио проходят - и народ спокойно накручивает трафик
как организуется запрет на прослушивание всякого инет-радио?

IMHO смотреть в сторону ACL reply_mime_type на предмет audio/mpeg

народ , как настоить squid под MSN ???
асю настроил а MSN никак руководствовался документацией squid.opennet.ru
всё зделал как там даже trillian такойже ... а оно коннектится и filed to connect to msn 10056 и всё ...
скиньте плиз если кто имел с этим дело в ПМ инфу , заранее благодарен

Обнаружил интересную вещь - человек прописан в связке IP+Mac (причем из сторонней подсети). Этот человек был отключен (строки закомментированы), потом сквид перезапустили. Когда смотрели месячный трафик, то обнаружили, что он лазил. Причем свободно. На проксю точно никто не влезал (оттуда доступ вообще закрыт). Провел эксперимент на себе - access denied. Как такое может быть? Либо парсер логов глюкает? (использую sarg) Буду рад любым идеям.


Ух.... это я криво посмотрел. ошибся

Помогите новичку. Тренеруюсь на виртуальной машине настраивать Squid. Пытаюсь ево пустить в инет через прокси в реальной локальной сети.
В cache.log вылетает вот это:
2004/09/01 12:36:43| Process ID 9974
2004/09/01 12:36:43| With 1024 file descriptors available
2004/09/01 12:36:43| Performing DNS Tests...
FATAL: ipcache_init: DNS name lookup tests failed.
Squid Cache (Version 2.5.STABLE4): Terminated abnormally.
CPU Usage: 0.080 seconds = 0.000 user + 0.080 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 434

Вопрос: нужно ли для работы Squid поднимать ДНС или тут дело в чем-то другом.

Все решил спасибо.

No1
для работы сквида нужно прописать работающий днс (/etc/resolv.conf).

Что имеем:
freeBSD4.9 и SQUID2.5
lnc0 - смотрит в локалку 192.168.0.0/24
ed0 - смотрит на сервак прова 10.0.0.248/29
Подключение к инету происходи так:
Наш сервер соединяется с интернетом по VPN (через ed0) образуя тем самым tun0 и получая IP смотрящий в инет 212.109.X.X
Клиенты из локалки соединяются с нашим сервером так же по VPN получая случайный IP из диапазона 10.0.0.0/26 образуя tun1,tun2....tunN
используеться ipnat и ipfw требуется все http, ftp запросы клиентов пустить через squid...

Подскажите что именно прописать в ipnat.rules....

Народ, темы по выбору прокси для никсов вроде нет, потому спрошу здесь - имеет ли сквид такую же репутацию, как сендмыл среди почтовиков, есть ли (стоит ли искать) ему реальные альтернативы?

сорри, если не туда

xy


Цитата:

Народ, темы по выбору прокси для никсов вроде нет, потому спрошу здесь - имеет ли сквид такую же репутацию, как сендмыл среди почтовиков, есть ли (стоит ли искать) ему реальные альтернативы?

Репутация у него конечно есть но например я его нехотел бы сравнивать с сендмылом - глючарой. Потому что пользую Qmail&Postfix.

А альтернатив полно например Oops! один из самых примечательных на мой взгляд. И насколько я знаю вроде бы разработчики наши соотечественники.

Вот что пишут о нем
Oops! - это прокси-сервер, основными целями разработки которого являются: устойчивость работы, скорость обслуживания, поддержка основных протоколов сети, модульность, удобство использования.

Зачем был нужен еще один такой сервер если уже есть Squid? Лично меня Squid не устраивал по нескольким параметрам, поэтому захотелось от него избавиться. Что и было сделано.

Основные отличия от Squid:
Каждый запрос обслуживается отдельным тридом (thread), что позволяет на многопроцессорной машине использовать все доступные процессоры.
Кэшированные документы хранятся в одном или нескольких больших файлах. Это позволяет снять с операционной системы нагрузку по работе с директориями и ускорить доступ к документам, а также использовать raw-devices в качестве места хранения кэшированных объектов.
Модульная структура программы позволяет расширять ее функции без изменения кода ядра.
Особое внимание уделено обеспечению надежной, длительной, бесперебойной работы, удобству и простоте конфигурации/реконфигурации. Так, например, реконфигурация на ходу не приводит к обрыву уже установленных соединений.

Ну а если нет такой темы по поводу альтернативщины, так не долго и создать ее - если есть желание - необязательно зацикливаться на одном.

Доброго времени суток!
Появился такой вопрос
стоит сквид настроена авторизация через winbind
потребовалось использовать делай пулс с распределением по пользователям а не по подсетям используем те же листы доступа что и обычно
но ВСЕ пользователи тянут с одинаковой скоростью, а именно со скоростью с которой должны тянуть myusers, привелигированные пользователи быстрее не тянут может делай пулс не работает с авторизацией, а только по айпи? есть варианты?


Цитата:

acl myusers proxy_auth REQUIRED
acl goodboys proxy_auth domain\vasya domain\petya
acl badboys proxy_auth domain\byaka
acl allowed proxy_auth domain\kostya

#
#

delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2


delay_access 3 allow goodboys
delay_access 3 deny all

delay_access 2 allow allowed
delay_access 2 deny all

delay_access 1 allow myusers
delay_access 1 deny all


delay_parameters 3 -1/-1 -1/-1
delay_parameters 2 -1/-1 -1/-1
delay_parameters 1 -1/-1 3000/3000

Вот мой рабочий конфиг
acl myfriends proxy_auth mydomain\someuser someuser
acl users proxy_auth REQUIRED


http_access allow myfriends
http_access allow users
http_access deny all

delay_pools 2
delay_class 1 3
delay_class 2 3
delay_parameters 1 10000/10000 -1/-1 10000/10000
delay_parameters 2 4000/4000 -1/-1 4000/4000

delay_access 1 allow myfriends
delay_access 1 deny all
delay_access 2 allow all

А ошибок нет что в логах.

Есть следующая система:
freebsd 5.2.1, squid-2.4.5. Есть сейчас аутентификация по паролю - ncsa_auth.
Есть два вопроса:
1. почему-то во фре перестала работать аутентификация (в линухе все было ок). даже в консоли ncsa_auth выдает ERR при правильном логине и пароле. когда собирал, вроде проблем никаких не было. пересобрал отдельно ncsa_auth - то же самое.
2. какие еще методы аутентификации и чем хороши? digest еще не до конца работает, с PAM тоже вопросы, домена NT в сети нету (всякие winbind и ntlm отпадают).
3. желателен метод с шифрованием (или хотя бы хешированием) паролей, а то по сети голые пароли бегают - раздражает.
4. есть ли нормальное описание настройки PAM под фрю?

заранее благодарен за любые советы.