Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID (только под *nix)

Автор: vworld
Дата сообщения: 15.06.2007 07:19
вот попалась на глаза инфа о 3 релизе сквида, что скажете уважаемые хорошего? стоит переходить или как?
Автор: ipmanyak
Дата сообщения: 15.06.2007 08:22
vworld Насколько я знаю версия 3.0 уже давно разрабатывается и всё еше находится в стадии develop, релиз в планах указан на осень 2007.

Cyclonius
1 - Путь и права к файлу верные ? Как написаны имена юзеров в файле ? По одному в строке?
2 - возможно с proxy_auth нельзя указывать имена юзеров в файле , но точно сказать не могу.
3 - программа аутентификации указана ?

Автор: Cyclonius
Дата сообщения: 15.06.2007 08:31
2 ipmanyak:
1. путь и права верные, в файле каждый на отдельной строчке
2. такой вариант отсеивания юзеров был прочитан вот в этой статье
http://www.linuxcenter.ru/lib/articles/networking/squid_sarg_traf.phtml
3. конечно
Автор: ipmanyak
Дата сообщения: 15.06.2007 11:28
Cyclonius А сквид ставил из сырцов или bin ? Сквид собран с поддержкой аутентификации --enable-auth="list of auth scheme modules" ?


Добавлено:
И покажи все аксели сквида по порядку! Возможно ошибка синтаксиса выше, а тут уже как следствие.
Автор: Cyclonius
Дата сообщения: 15.06.2007 11:37
сквид ставил не я, мне он достался по наследству
'--enable-auth=basic ntlm digest'

configure options: --bindir=/usr/local/sbin --sysconfdir=/usr/local/etc/squid --datadir=/usr/local/etc/squid --libexecdir=/usr/local/libexec/squid --localstatedir=/usr/local/squid '--enable-removal-policies=lru heap' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=NCSA PAM YP MSNT SMB winbind' --enable-digest-auth-helpers=password '--enable-external-acl-helpers=ip_user unix_group wbinfo_group winbind_group' '--enable-ntlm-auth-helpers=SMB winbind' '--enable-storeio=ufs diskd null' --enable-delay-pools --disable-wccp --enable-underscores '--enable-err-languages=Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish' --enable-default-err-language=English --prefix=/usr/local i386-portbld-freebsd4.10

[----------------------------------------]
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 6667 6669
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais

acl Safe_ports port 1000

acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl SAfe_ports port 6667 6669 #irc
acl CONNECT method CONNECT

acl users proxy_auth REQUIRED

acl banusers proxy_auth "/usr/local/etc/squid/user-deny"
http_access deny banusers
http_access allow users
http_access deny all
[----------------------------------------]
Автор: rain87
Дата сообщения: 22.06.2007 12:42
ситуация такая - есть родительский прокси, надо чтоб сквид ходил _только_ через него. никаких соединений мимо прокси

в конфиге
cache_peer 10.1.1.1 parent 3128 0 proxy-only no-query no-digest default

в логе
1182440212.205 19149 10.1.2.1 TCP_MISS/200 6482 POST http://viaccessfree.biz/forum/newreply.php? - DIRECT/217.112.42.86 text/xml

вопрос: почему сквид ПОСТы пускает мимо верхнего прокси? равно как и хттпс трафик
и какое решение?

Добавлено:
строк
Код: acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
Автор: rain87
Дата сообщения: 22.06.2007 15:35
нашёл решение
never_direct allow all
Автор: vworld
Дата сообщения: 09.07.2007 10:55
как подчистить из лога например по IP определенный сайт, например - руборд?
Автор: fly_house
Дата сообщения: 13.07.2007 01:38
Господа, подскажете элегантное и простое решение для связки squid и clamav? хотел сначала через i-cap, но надо модифицированный сквид ставить - неохота, HAVP не захотел компилится, очевидно не понимает clamav 0.91, всякого рода редиректоры, вроде тормозят работу сильно. Кто-нибудь знает что-то о http://www.safesquid.com/ ?
Автор: ohlos
Дата сообщения: 22.07.2007 23:50
Ситуация: админ в зоне недосягаемости и там пробудет недели 3 еще, а шеф требует выпустить пару новых сотрудников в инет. Знаний по Линуху ниже плинтуса.
Кто может, пособите пошаговой инструкцией, плиззз.
Имеется: линухи Красная шапочка и Сюзя (админ так любовно их называл) , пароль root-а.
Умеется: telnet-ом зайти на сервак, набрать su и mc

Выручайте
Автор: rain87
Дата сообщения: 23.07.2007 11:29
ohlos
как юзеры выпускаются в инет? прописывают логин, пароль, прокси в браузере? логин, пароль в ВПН соединении? ваш вариант?
Автор: ohlos
Дата сообщения: 24.07.2007 01:01
rain87
Только прокси прописываем.
На сколько разобрался нужно в squid.conf прописать ip напрямую или в любом файле групп из прописанных там же.
Потом посмотреть в named.conf где находятся файлы зон и прописать в них прямую и обратную адресацию на новые ip.
А что дальше делать? Перегружать сервак или можно обойтись мене радикальными способами?
Автор: rain87
Дата сообщения: 24.07.2007 07:38
ohlos
ну по идее перезапуска сквида и named хватит с головой
Автор: ohlos
Дата сообщения: 24.07.2007 22:22
rain87
Млин, да объясняю же что чайник! Попрописывал все, а перезапустить не знаю как. пришлось сервак перегружать.
А как нужно перегружать сквид и нэмид? Их останавливать нужно предварительно или просто рестарт давать? И в какой очередности? Ну просвети чайника!
Автор: rain87
Дата сообщения: 25.07.2007 00:49
ohlos
да я сам далеко не линуксоид просто смотрю, тихо тут, решил откликнуться
обычно для всех сервисов помещаются скрипты запуска/останова в /etc/init.d
для сквида и намеда, соответственно squid и named

чтобы рестартовать сервис, надо /etc/init.d/squid restart
чтобы просто перегрузить конфигурацию (по идее в твоём случае было достаточно) вместо restart пиши reload
а вообще, как правило, при запуске скрипта без параметра он выдаст все допустимые параметры
Автор: zenia
Дата сообщения: 25.07.2007 08:08

Цитата:
Млин, да объясняю же что чайник! Попрописывал все, а перезапустить не знаю как. пришлось сервак перегружать.


Так если сервак ты перегрузил, то и squid перегрузился.

А так заставить squid перечитать свои конфиги (перегрузить)
команда
squid -k reconfigure

squid по умолчание лежит в папке /usr/local/sbin

namedb перегрузить (перечитать зоны)
rndc reload
Автор: Shmakov
Дата сообщения: 07.08.2007 19:15
Тема большая очень, вопрос мой полюбому обсуждался, но я не нашел.
Есть установленный squid, работает нормально, уже давно.
Появилась необходимость поставить ещё одну копию сквида.

Поставил совершенно в другую директорию, настроил(в том числе указав другой порт). Но при запуске ничего не происходит. Т.е. вообще ничего (
В логах тоже ничего не прописывается. Судя по sockstat и top сквид не поднимается, в чем может быть проблема?

FreeBSD 6.0, Squid 2.6
Автор: rain87
Дата сообщения: 07.08.2007 19:29
Shmakov
а конфиг ему явно указываешь? он то наверное по стд пути ищет
Автор: Shmakov
Дата сообщения: 08.08.2007 06:16
rain87, да явно указываю на нужный конфиг при запуске.
Автор: ipmanyak
Дата сообщения: 08.08.2007 11:16
Shmakov Что в логе messages системы пишется ? Пути ко всем файлам в конфиге другие ? Некоторые пути в конфиге ставятся по дефолту !!! Их нужно все руками исправить указав явный путь ! Например оченно важный файл:
# TAG: pid_filename
# A filename to write the process-id to. To disable, enter "none".
#
#Default:
# pid_filename /usr/local/squid/logs/squid.pid
Автор: Loafer
Дата сообщения: 08.08.2007 20:02

Цитата:
да явно указываю на нужный конфиг при запуске.

Shmakov
+ порт новый конечно слушает?
Автор: Shmakov
Дата сообщения: 09.08.2007 11:45

Цитата:
Пути ко всем файлам в конфиге другие ?

Да, другие, это первое что я проверил.
Мне тоже про squid.pid говорили, но путь до него стоит правильный.


Цитата:
+ порт новый конечно слушает?

Да, порт другой.
Автор: RamCram
Дата сообщения: 30.08.2007 17:39
Есть вопрос. Нам сказали опеделённой группе лиц ограничить доступ к web сайтам (за исключением определённого списка разрешённых) и аське в определённое время, с 10.00:13.00 и с 14.00:19.00. Я создал правило, всё пашет. Но правило для аськи пашет только в том случае, если юзер пытается залогиниться на icq.com в запрещённое время. Если соединение с icq уже установлено, то правило для него почему-то не работает. То есть соеднинение не обрывается. Если аську отключить и попытаться подключить, сквид к серверу icq не пускает. Мне нужно, чтобы в заданное время соедниение обрывалось.

Цитата:

acl webdeny.list scr "/usr/squid/webdeny.list" # Список юзверей
acl weballow.addr dstdomain "/usr/squid/weballow.addr" # Список разрешённых сайтов

acl befor_dinner time MTWHF 10:00-13:00
acl after_dinner time MTWHF 14:00-19:00

http_access deny !weballow.addr webdeny.list befor_dinner
http_access deny !weballow.addr webdeny.list after_dinner
http_access deny icq.addr webdeny.list befor_dinner
http_access deny icq.addr webdeny.list after_dinner
Автор: fly_house
Дата сообщения: 31.08.2007 12:19
RamCram
может в кроне рестартовать сквид?


Подскажите пожалуйста как сквиду сказать что конкретный сайт domain.com находится внутри сети по адресу 192.168.0.9, а не пытался ломится в инет, чтоб резолвить этот адрес? пробовал прописать адрес в /etc/hosts, бесполезно. FreeBSD 6.2.
Автор: zenia
Дата сообщения: 31.08.2007 12:33
fly_house


Цитата:
Подскажите пожалуйста как сквиду сказать что конкретный сайт domain.com находится внутри сети по адресу 192.168.0.9, а не пытался ломится в инет, чтоб резолвить этот адрес? пробовал прописать адрес в /etc/hosts, бесполезно. FreeBSD 6.2.



А если в браузере прописать не использовать прокси для локальных адресов?

Естественно в локальной сети в днс нужно прописать этот сайт.
Автор: fly_house
Дата сообщения: 31.08.2007 13:23

Цитата:
А если в браузере прописать не использовать прокси для локальных адресов?

на 50-ти машинах не попрописываешь, задолбаюсь бегать на каждую....

кажется решилось вот так:

acl intranet dstdomain sharepoint.bdo-balance.dp.ua
always_direct allow intranet


Автор: megase
Дата сообщения: 31.08.2007 14:43
пытаюсь послущать радио с audio.rambler.ru/radio.html через squid

access.log:
"NONE error:unsupported-request-method HTTP/0.0" 400 1625 TCP_DENIED:NONE/- "-" "-"

"GET http://stream03.rambler.ru/radio7?WMContentBitrate=30000 HTTP/1.1" 502 1361 TCP_MISS:DIRECT/81.19.80.164 "-" "NSPlayer/10.0.0.3646"

нашел рекомендации, опция
extension_methods
(Squid only knows about standardized HTTP request methods.
You can add up to 20 additional "extension" methods here.)

только вот название (описание) самих методов не могу найти
и как определить какой именно http method ?

через havp rambler радио работает.

Автор: tolyn77
Дата сообщения: 03.09.2007 07:35
подскажите как можно из кеша извлечь объект или удалить???
заранее благодарен
Автор: RamCram
Дата сообщения: 12.09.2007 14:22

Цитата:
может в кроне рестартовать сквид?

так и делаем сейчас..
Автор: aezhov
Дата сообщения: 13.09.2007 14:54
Всем Привет!!!....есть проблемка, не могу запретить юзверям слушать Интернет-радио,....знаю тема на форуме битая, но всеже делал так:

acl audio rep_mime_type -i ^audio/
http_access deny audio

и так

acl x-type req_mime_type -i ^application/x-mplayer2$
acl x-type req_mime_type -i application/x-mplayer2
acl x-type req_mime_type -i application/x-oleobject
acl x-type req_mime_type -i application/x-pncmd
acl x-type req_mime_type -i ^video/x-ms-asf$
acl x-type2 rep_mime_type -i ^application/x-mplayer2$
acl x-type2 rep_mime_type -i application/x-mplayer2
acl x-type2 rep_mime_type -i application/x-pncmd
acl x-type2 rep_mime_type -i ^video/x-ms-asf$
acl webRadioReq1 req_mime_type -i ^video/x-ms-asf$
acl webRadioReq2 req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl webRadioReq3 req_mime_type -i ^application/x-mms-framed$
acl webRadioRep1 rep_mime_type -i ^video/x-ms-asf$
acl webRadioRep2 rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl webRadioRep3 rep_mime_type -i ^application/x-mms-framed$
acl WMP browser Windows-Media-Player/*
http_access deny x-type x-type2 webRadioReq1 webRadioReq2 webRadioReq3 webRadioRep1 webRadioRep2 webRadioRep3 WMP

и еще пытался закрыть порт основной утечки трафа

iptables -I INPUT -p tcp -s 0/0 -d 0/0 --dport 1755 -j DROP
iptables -I INPUT -p udp -s 0/0 -d 0/0 --dport 1755 -j DROP
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 --dport 1755 -j REJECT
iptables -A FORWARD -p udp -s 0/0 -d 0/0 --dport 1755 -j REJECT

не чего не помогло((((((((((

ПРОШУ ПОМОЩИ ЗАЛА!!!

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Неполадки в работе DHCP сервера


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.