» SQUID (только под *nix)

Проблема Squid

настроено все по умолчанию
например
10.1.0.1:3128
на етом адресе висит прокся
При настройке
в броузере вручную на етот адрес не открывается почти все сайти за редким исключением
пишет
The requested URL could not be retrieved

While trying to retrieve the URL: http://www.linuxiso.org/

The following error was encountered:

Unable to determine IP address from host name for www.linuxiso.org

The dnsserver returned:

No DNS records

This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

помогите пожалуста начинающему заранне спасибо !!!
P.S.

DNS в squid.conf я прописывал не дает еффекта

Тут, похоже, проблема не со Squid, а с DNS. Если у тебя FreeBSD, смотри в /etc/resolv.conf прописан ли name server. Если другая ось - то в соответствующих файлах.
Еще может быть исходящий порт 53 закрыт.
Что показывает

Код: nslookup www.linuxiso.org

Markes
У сквида есть DelayPools - это по отношению к толщине канала, а по обему можно ограничить тока парся логи и при превышении занося юзверя в acl deny - но тут есть нюанс - сквид записавает в лог после скачки - те если лимит - 50метров а файл 100 то юзверь его все-равно скачает даже если у него 1 метр остался ... и отключится с -99 ... но лучше всеравно не получится со сквидом. Лучше примитивно через IPFW count считать хотябы ,или поставить софтину какую.

EndoR
если ты еще не решил ситуацию с внутренним веб серваком то мне кажется легче не запариваться с редиректами, а корректно настроить бинд, есть такая штука разделение горизонта почитай в гугле потому как оффтопик
суть такая в зависимоти от кого исходит запрос мы отдаем ИП по разному внешним клиентам один внутренним или сквиду другой

возник такой вопрос. Может ли сквид подключать файлы? ну, в смысле, брать конфигу acl ок из какого нить рядом лежащего текстовичка ?
У меня просто два канала, и писать постоянно правила в двух местах - очень утомляет, а писать приходиться, с каждым днем все изощреннее юзера находят порно сайты, игрушки и т.д. Хочется править в одном месте текстовичек и потом просто подключать его в конфиге сквида. Реально ли это?

DNS везде прописаны
по ip заходит нормально а по адресу нет
даже в конфе сквида прописаны ДНС

все равно не пропускает
установлен Linux ASP 10
сквид все равно выдает ошибку ДНС


Добавлено:
команда nslookup работает нормально
по ай пи броузер пропускает а по адресу нет
траблы продолжаються
может еще хто нидуть чего посоветует
ЗАРАННЕ СПАСИБО

Цитата:

возник такой вопрос. Может ли сквид подключать файлы? ну, в смысле, брать конфигу acl ок из какого нить рядом лежащего текстовичка ?
У меня просто два канала, и писать постоянно правила в двух местах - очень утомляет, а писать приходиться, с каждым днем все изощреннее юзера находят порно сайты, игрушки и т.д. Хочется править в одном месте текстовичек и потом просто подключать его в конфиге сквида. Реально ли это?

Извините, сам разобрался.

Удалено - неправильно сформулировал.

Неужели никто не переводил работу Squid на локальное время (топик повыше)?

digital422 ав лог и так пишется локальное время ! имеешь ввиду чтобы внизу на web странице отображалось локальное время а не GMT ? перекомпили сквид предварительно поправив файл error.c
или errorpage.c в каталоге src
изменив строку "Generated %T by %h (%s)\n" на
"Generated %t by %h (%s)\n"

ipmanyak
Вот оказывается, в чем проблема, нужно перекомпилировать исходники. У меня стоит Debian 3.0, он ставит уже готовые пакеты. А логи он будет вести тоже в локальном временном формате ? Спасибо за совет!

digital422 никто тебе не запрещает скачать исходники с сайта сквида и скомпилить !
в лог он всегда пишет правильное время - вернее то как настроено в системе, это в футерах страничек генерится по дефолту в GMT . а вообще-то какая разница в этих мессагах ? главное чтоб в логе все было окей .

Вопрос по аутентификации клиентов.
Имеется сеть: Novell Netware; клиенты - win98,2000,xp; шлюз на FreeBSD 4.9 squid 2.5.9
В данный момент аутентификация идет по IP адресу. Планируем поднять терминальный сервер, в связи с этим вопрос: как аутентифицировать клиентов по логину в Netware?
Прочитал статью по связке Netware+Squid на squid.opennet.ru, но там предполагается, что юзеру нужно будет еще раз вводить логин/пароль при запуске IE.
Нельзя ли сделать так же как и в NTLM авторизации, т.е. пароль броузер подставляет автоматически, не спрашивая пользователя, но чтобы это работало без виндового домена на указанных выше клиентах?

почитай здесь - Авторизация proxy-сервера Squid в Novell NDS
Постоянный адрес статьи: http://www.osp.ru/lan/2003/03/022.htm

ipmanyak
Читал я эту статью. Не устраивает вот это:

Итак, после всех настроек у нас (теоретически) реализована следующая схема.
...
4) Пользователь User вводит свое имя и пароль (те же, что вводились им при входе в сеть Novell).
...

Мне не нужно, чтобы пользователь вводил еще раз свой логин и пароль. Мне нужно, чтобы они подставлялись автоматически - как NTLM авторизация, только не в домен винды а в дерево NDS.

У меня сервер со squid-ом имеет 2 канали в инет,
вожможно ли раздилить самим squid-ом куда (по какому каналу)
пойдут клиенты (одна часть должна идти чурез 1-й канал, а другая через 2-й).
Я слишал что в новом squid-е есть acl-ки каторые делают ето,
ПРАВДА ли ето ?????

lodya
Возможно, для этого есть директива tcp_outgoing_address

A если мне также нужен контроль по ip, mac, auth.
то будет ли так:
eth0195.5.5.5, eth1 196.6.6.6 - карти в инет
eth2 192.168.0.1, eth3 10.0.0.1 - карти в локалку
192.168.0.1, 10.0.0.1 - клиенты, должни идти по разним каналам.

acl client1 src 192.168.0.1
acl client2 src 10.0.0.1

acl C1 arp 01:02:03:04:05:06
acl C2 arp 11:12:13:14:15:16

authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd
acl auth_cl proxy_auth cl1 cl2

http_access client1 cl1 C1
http_access client2 cl2 C2

tcp_outgoing_address 195.5.5.5 client1
tcp_outgoing_address 196.6.6.6 client2

верно ли ето ?????

lodya
Вроде все верно. А что - не работает?

Добавлено:
lodya
Единственно, src судя по докам с масками должен быть:

Цитата:

acl client1 src 192.168.0.1/24
acl client2 src 10.0.0.1/8

Может ли squid авторизоваться на isa server'е (что бы был каскад из прокси-серверов) используя логин и пароль доменного пользователя? Ссылки принимаются с благодарностью.

Есть родительский прокси сервер SQUID (ХХХХХ.ХХХ.ХХХ.ru), понадобилось через локальную машину, имеющую доступ к этому прокси серверу, дать доступ в интернет ещё 5 пользователям.
В результате чего был установлен ещё один прокси сервер SQUID с разрешёнными настройками:

Код: http_port 8080
icp_port 3130
htcp_port 4827
cache_peer ХХХХХ.ХХХ.ХХХ.ru parent 3128 3130 login=имя пользователя:пароль proxy-only no-query default
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 100 MB
cache_dir ufs c:/squid/var/cache 100 16 256
cache_access_log c:/squid/var/logs/access.log
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
mime_table c:/squid/etc/mime.conf
pid_filename c:/squid/var/logs/squid.pid
client_netmask 255.255.255.0
diskd_program c:/squid/libexec/diskd.exe
unlinkd_program c:/squid/libexec/unlinkd.exe
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 192.168.0.0/255.255.0.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access deny all
miss_access allow all
ident_lookup_access deny all
visible_hostname 192.168.0.0
acl aclname proto HTTP FTP
icon_directory c:/squid/share/icons
error_directory c:/squid/share/errors/English

Помогите !!!!
естm два squid-а (192.168.0.2, 192.168.0.1)
cache_peer 192.168.0.1 sibling 3128 3130 (на 192.168.0.2)
cache_peer 192.168.0.2 sibling 3128 3130 (на 192.168.0.1)

на 192.168.0.1
cache.log
Configuring Sibling 192.168.0.2/3128/3130
.............................................................
TCP connection to 192.168.15.112/3128 failed
access.log куча таких заросов
.................. 0 192.168.15.112 UDP_MISS/000 76 ICP_QUERY http://...............................


на 192.168.0.2 в логах
cache.log :
Configuring Sibling 192.168.0.1/3128/3130
........................................................................
temporary disabling (Forbidden) digest from 192.168.0.1

а так понимаю что 192.168.0.2 использует кеш 192.168.0.1-ого,
а 192.168.0.1-ий не использует своего соседа,
в чем может бить причина

2. что может значить, такаю запись в cache.log
temporary disabling (Not Found) digest from <ip>

Как сделать, чтобы в access.log squid писал и MAC адреса. Сами понимаете, сетка сидит на DHCP, адреса динамические, контроль доступа основан на MAC. В результате, качественно статистику по юзерам провести невозможно. Может быть патч какой есть, или может другой какой выход? Подскажите пожалуйста!!!

Как "подружить" Squid 2.5 (NTLM авторизация) и Internet Explorer 6.0 SP1 ? На предыдущих версиях IE все работает, а вот после установки SP1 на шестую версию пишет "Невозможно отобразить странцу". Squid FAQ читал, но там написано, что авторизация все-таки запрашивается и после F5 страница все же отображается. У меня же никаких запросов не появляется, сразу ошибка.
На всякий случай попробовал все данные там рекомендации - не помогает. Даже basic-авторизация не запрашивается.
На клиентах Windows 2000 SP4.

Solaris
лечится рефрешем страницы (после неудачного отображения) - вобщем-то жить не мешает или установкой SP2

Ape почему бы не включить аутентификацию и делать статистику по именам юзеров ? Это и нагляднее и более правильно, на одном мак-адресе могут ходить несколько юзеров,. не так ли ? мак адреса сквид не пишет в лог и патчей таких не видел.

Felix:
рефреш не помогает, в том то и дело. Если бы рефреш работал, что наверняка бы правилось способом, описанным в Squid FAQ. А так ...
"или установкой SP2" - будущего SP2 для IE6 ?

Цитата:

"или установкой SP2" - будущего SP2 для IE6 ?

не прочитал какие у тебя клиенты. Эти грабли были на ХР SP1, соответственно со вторым СП всё вылечилось.

После обновления сквида на 2.5-STABLE10 вообще проблемы не стало.

Доброго времени суток!
Возникла ситуация, которую может и не совсем по адресу решил запостить в эту тему
Значит в компании есть лимит на использование интернета, один из сотрудников пожаловался что в нет не лазил, а лимит закончился виноват оказался троян который сканером определялся как анифаервол (в имени)
так вот что интересно сайт с которого типа скачивали блокировался фильтром как порнографический и что-то скачать оттуда нельзя
но в сквиде были строки вида:

Цитата:

1124090464.615 84 192.168.1.14 TCP_MISS/200 1536 GET http://directeenhuis.nl/images/web.php domain\user DIRECT/192.168.0.1 text/html

так вот, слово DIRECT означает что файл был непосредственно скачан с сайта с таким айпишником обычно там чесные айпишники сайтов
а в этой ситуации айпишник прокси!
и загрузка происходила! 60 мег.
На проксе крутится и сайтик

вопросы которые возникли и на которые не знаю как ответить
Принцип работы этого трояна?
Возножна ли ситуация что меня (или сайт) взломали?
как не допустить повторения такой ситуации?
Заранее всем спасибо!

Уважаемые, помогите разобраться вот в каком вопросе. Прошу прощения, что спрашиваю о SquidNT, но тут дело в общем принципе - конфигурирование Squid'a под NIX и WIN не различается почти...

Есть домен, в который входит корпоративная сеть головной конторы.
Есть локальная сеть моего филиала, в которой домена нет.
В домене головной конторы созданы учётные записи для наших пользователей.
Имена:пароли локалки и домена не совпадают.

В корпоративной сети есть:
- HTTP-ресурсы, на которые можно заходить с помощью IE, вводя имя:пароль:домен (т.е. окно авторизации содержит три поля).
- прокси, через который можно ходить в интернет. Авторизация аналогичная.

Есть SquidNT (Compile Options, с Delay Pool), в конце вопроса приведён мой conf-файл.

С такой настройкой можно спокойно выходить на корпоративный родительский прокси и авторизоваться на нём в виде имя:пароль (т.е. окно авторизации содержит два поля).
Только вот на ресурсы домена выйти уже нельзя, родительский прокси не раздаёт ресурсы домена, а через парамерты acl adm/usr я не получаю запроса на авторизацию (Error 401.2 - You are not authorized to view this page).
Спрашивал и на iXBT, может тамошнее обсуждение добавит информации:
http://forum.ixbt.com/topic.cgi?id=7:3280

Можно ли средствами SquidNT организовать выход на ресурсы домена с обязательным запросом авторизации? Другими словами, нужен аналог команды login=PASS. Это возможно или я слишком многого хочу?...

РS: Конфиг рабочий. На редкие доменные ресурсы, не требующие авторизации, и в Инет ходить с ним можно. Авторизация на моей стороне по IP (через Nt_auth.exe тоже делал, но просто не очень нужно - доменная авторизация всё равно обязательна). Про настройки домена не спрашивайте - корпоративные админы ничего не скажут, а личных связей у меня там нет...


Код: visible_hostname my-proxy
cache_mgr postmaster@mymail.ru

cache_log C:/Squid/Var/Logs/Cache.log
cache_store_log none

http_port 8080
http_port 127.0.0.1:8081

icp_port 0
htcp_port 0

half_closed_clients off

cache_peer 1.1.1.1 parent 3128 0 login=PASS default no-query
cache_peer 2.2.2.2 parent 3129 0 login=PASS default no-query
dns_nameservers 10.10.10.10 20.20.20.20 30.30.30.30

acl Safe_ports port 21 80 443

# Админские адреса моей локалки
acl adm src "C:/Squid/Etc/adm_url.txt"
# Пользовательские адреса моей локалки
acl usr src "C:/Squid/Etc/usr_url.txt"
# Адреса ресурсов домена
acl corp_url dst "C:/Squid/Etc/corp_url.txt"
# Адрес корпоративного прокси
acl proxy_url dst "C:/Squid/Etc/proxy_url.txt"
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0

delay_pools 2
delay_class 1 2
delay_parameters 1 64000/64000 16000/64000
delay_access 1 allow adm
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 32000/64000 8000/8000
delay_access 2 allow usr
delay_access 2 deny all

http_access allow adm
http_access allow localhost
http_access deny !Safe_ports
http_access deny !corp_url
http_access deny proxy_url
http_access allow usr
http_access deny all

deny_info 404 corp_url
deny_info ERR_ACCESS_DENIED proxy_url