» SQUID (только под *nix)

у меня такая фича случается...
сделал несколько таких строчек в конфиге сквида
cache_peer ПРОКСЯ parent ПОРТ 0 no-query round-robin
на всяких сайтах показывает апи той прокси что в списке, а когда я отправлю какую-нибуть инфу на сайт, скажем проголосую.... то там уже моя прокся... как сделать чтобы не светились мои апи? а инфа отправлялась с тех что указаны в списке сквида...

в конфиг добавлено

Код:
forwarded_for off
header_access From deny all
header_access Referer deny all
header_access Server deny all
header_access WWW-Authenticate deny all
header_access Link deny all
header_access Host deny all
header_access Proxy-Connection deny all
header_access Via deny all
header_access User-Agent deny all
header_access X-Forwarded-For deny all
header_access X-Cache deny all
header_access X-Cache-Lookup deny all
header_replace User-Agent *not_your_business*
header_replace Via *not_your_business*

Чё за бред, не пойму?
Mar 22 01:03:45 gateway (squid): Cannot open '/var/log/squid/access.log' for writing. The parent directory must be writeable by the user 'squid', which is the cache_effective_user set in squid.conf.
Mar 22 01:03:45 gateway kernel: pid 609 (squid), uid 1004: exited on signal 6
Mar 22 01:03:45 gateway squid[533]: Squid Parent: child process 609 exited due to signal 6
Mar 22 01:03:45 gateway squid[533]: Exiting due to repeated, frequent failures
Suspended
# ls -al /var/log/squid/
total 10
drwxr-xr-x 2 squid squid 512 Mar 22 00:21 .
drwxrwx--- 3 root wheel 1536 Mar 22 01:00 ..
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 access.log
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 cache.log
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 store.log
#

L_S_V
chmod /var/log/squid 0777 потому что

Цитата:

The parent directory must be

А собственно какая разница?
# chmod -R 0777 /var/log/squid
# ls -al /var/log/squid
total 10
drwxrwxrwx 2 squid squid 512 Mar 22 00:21 .
drwxrwx--- 3 root wheel 1536 Mar 22 13:37 ..
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 access.log
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 cache.log
-rwxrwxrwx 1 squid squid 2 Mar 22 00:21 store.log
#

L_S_V
drwxrwx--- 3 root wheel 1536 Mar 22 13:37 ..
^^ - not writeable for squid group

Teo
хех.. нет не то на самом деле - две точки это ещё выше папка...
действительно бред
L_S_V
у тебя fedora?

Имею Linux Mandrake 10.2. Как в Squide запретить аську. Пока использую простой метод запрета:

acl ICQ_DOMAIN dstdomain *.aol.com *.icq.com
acl ICQ_ADDR dst 205.188.0.0/16 64.12.0.0-64.12.255.255
acl icq_users 172.21.1.1 172.21.1.10

http_access deny ICQ_ADDR !icq_users
http_access deny ICQ_DOMAIN !icq_users

Метод проверенный и надежный, но слабоватый, поскольку есть прмежеточные сервера и др. способы обойти этот запрет.

Использовал указанное на многих сайтах правило:
acl aim_http rep_mime_type -i ^aim/http$
http_reply_access deny aim_http

НИКАКОГО ЭФЕКТА - вообще не срабатывает.

Что посоветуйте, чтобы наглухо закрыть ICQ для определенных пользователей?

закрыть порт 443, 5190
acl Safe_ports ports 443 - убрать строчку и squid -k reconfigure

Farch
да вроде не бред
сделай, например, так:

Код:
cd
mkdir test
ls -la test
cd test
sudo chown root: ..
ls -la
cd ..
ls -la test

Народ, стоит squid 2.5 STABLE 10, узверей пускаю через ацлки (по статическим IP), но в последние 3 дня заметил что левые юзвери начали пробиваться ( достаточно знать адрес проксика и порт), причем по логам сарга вижу что не только из моей подсети начали пробиваться леваки, а из внешнеи тоже. Посоветуйте что может быть?

vicarios
на каких интерфейсах слушает сквид?
перебери ацл и правила заново
сделай, например так:
задай все ацл на подсети и хосты
выставь им разрешения
последним правилом запрети всем всё

vicarios скажи сквиду слушать только на локальном ip , а то что другие из локалки ломятся означает, что правила кривые или порядок их не тот .

как сделать, чтоб squid выдавал во внешних запросах свой внешний ip адрес.
сейчас он вставляет адрес клиента (может сумбурно объясняю, но хотел зарегистрироваться на форуме, а там отказано, т.к. адрес = 192.168.100.1)

mishak попробуй указать - forwarded_for off

пытаюсь настроить простую авторизацию в последнем сквиде,

надо проверить, как работает ncsa_auth, говорим следующее:

/usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd

логин и пароль заведомо известны и очень просты, я так понимаю, аутентификатор должен сказать в консоли OK, но

никакие попытки ввести пару логин:пароль - логин в обычном виде - пароль в plane, пароль в том виде, который дан текстом в /usr/local/etc/squid/passwd не приводят к ответу OK в консоли

права на /usr/local/etc/squid/passwd рпробовались и root:weel и squid:squid...

я в трауре - авторизация нужна, нельзя же проксю делать полностью открытой...

в связи с этим вопрос:

что нужно в моем случае сделать для того, чтобы ncsa_auth сказал OK в консоль (я так понимаю, тогда авторизация заработает )

ЗЫ: варианты выпить йаду или убить сибя ап стену не предлагать - надо сначала авторизацию все-таки сделать...

ЗЫЫ: очень надеюсь на помощь

AlexFromKiev

Цитата:

никакие попытки ввести пару логин:пароль - логин в обычном виде - пароль в plane, пароль в том виде, который дан текстом в /usr/local/etc/squid/passwd не приводят к ответу OK в консоли

права на /usr/local/etc/squid/passwd рпробовались и root:weel и squid:squid...

я в трауре - авторизация нужна, нельзя же проксю делать полностью открытой...

в связи с этим вопрос:

что нужно в моем случае сделать для того, чтобы ncsa_auth сказал OK в консоль (я так понимаю, тогда авторизация заработает

еще раз.. я тебе уже ответил тут
Авторизация в Squid - сложности с ncsa_auth
будь добр привести вид зашифрованного пароля.

Цитата:

еще раз.. я тебе уже ответил тут

... от первого апача (конкретно - 1.13) htpasswd не помогает

вот зашифрованный пароль:

$apr1$ptW7f/..$urTEWP5Apls3KaTd2F.v00

AlexFromKiev

Цитата:

вот зашифрованный пароль:

потому что и говорю, что бери более раннюю версию.. не тот вид шифрования
воспользуйся этим генератором под винды
http://rapidshare.de/files/9450434/htpasswd.exe.html
вот пример того, как должен выглядеть логин и пароль test
test:XBndCHdCissdQ

Как в кальмаре сделать?
REMOTE_ADDR=HTTP_X_FORWARDED_FOR

У меня работают такие хидеры:
forwarded_for off
header_access Via deny all
header_access User-Agent deny all
header_access X-Forwarded-For deny all
header_access X-Cache deny all
header_access X-Cache-Lookup deny all
header_access X_Forwarded_For deny all
header_replace X_Forward_For 195.170.63.240
header_replace HTTP_X_FORWARDED_FOR 195.170.63.240
header_replace User-Agent
header_replace Via
header_replace User-Agent
header_replace Via
header_replace deny From Referer
header_replace deny User-agent
header_replace Mozilla/4.0 (compatible; MSIE 4.01; Windows NT)

Но всё равно светится внешний IP прокси-сервера. Как сделать чтобы выдавал тот что я задал в конфиге?

Собственно вот с такими хидерами режутся куки...

Код:
header_access Allow allow all
header_access Authorization allow all
header_access WWW-Authenticate allow all
header_access Proxy-Authorization allow all
header_access Proxy-Authenticate allow all
header_access Cache-Control allow all
header_access Content-Encoding allow all
header_access Content-Length allow all
header_access Content-Type allow all
header_access Date allow all
header_access Expires allow all
header_access Host allow all
header_access If-Modified-Since allow all
header_access Last-Modified allow all
header_access Location allow all
header_access Pragma allow all
header_access Accept allow all
header_access Accept-Charset allow all
header_access Accept-Encoding allow all
header_access Accept-Language allow all
header_access Content-Language allow all
header_access Mime-Version allow all
header_access Retry-After allow all
header_access Title allow all
header_access Connection allow all
header_access Proxy-Connection allow all
header_access All deny all

header_access Cookie allow all

не помогло
Добавил после
header_access Allow allow all

Может слегка не в тему, но ПОМОГИТЕЕЕ!!!
Надо разграничить трафик по двум каналам (не ругайтесь очень)

Есть
1 канал - диалап, адрес ИП динамический, адрес у провайдера 193.3.59.109
2 канал - АДСЛ, адрес ИП динамический, подключен через езернет, адрес модема 192.168.0.1
Маршрут по-умолчанию стоит на диалап (могу поменять)

Нада:
одним пользователям ACL-ам ходить через один канал, другим через другой

Делаю:
acl big src 192.168.1.128/23
acl low src 192.168.1.0/23


tcp_outgoing_address 192.168.0.1 big
tcp_outgoing_address 193.3.59.109 low


получаю:
The following error was encountered:

* Socket Failure

The system returned:

(99) Cannot assign requested address

Squid is unable to create a TCP socket, presumably due to excessive load. Please retry your request.

Your cache administrator is root.

Прошу прощения за глупый вопрос, но тем не менее надо
после изменения файла squid.conf как принять эти изменения, в смысле чтобы сам сквид понял что что-то поменялось в правилах? Машину перегрузить или еще что-то?

Sunner

squid -k reconfigure

чтобы сквид пропускал хеадеры с запросом на gzip сжатие, какие сторочки надо прописать в конфиг?
вот этих:

Цитата:

header_access Content-Encoding allow all
header_access Accept-Encoding allow all

достаточно?

SSV_RA
не знаю почему, но только командой дело не обошлось, пришлось перегружать
Но все работает, спасибо

Подскажите пожалуйста как заблокировать 1 комп по внутрреннему IP.

http_access allow 10.0.0.0/24
http_access deny 10.0.0.199
http_access deny all

ведь неправильно?

ypka
сначала
Цитата:

http_access deny 10.0.0.199

патом
Цитата:

http_access allow 10.0.0.0/24

вроде так

ща попробуем =)

Да все работает. Спасибо.