Цитата:
А что значит это множественное refresh_pattern ? hierarchy_stoplist cgi-bin ?
В конфиге сквида есть подробное описание.
» SQUID (только под *nix)
Цитата:
В конфиге сквида есть подробное описание.
Ломаю голову не первый день над конфигом, но никак не могу решить след. проблему:
Есть конфиг1. Подсовываю сквиду. Итог - в access.log есть пользователи:
1195798464.661 343 192.168.1.103 TCP_MISS/200 3130 GET http://www.google.ru/ asked DIRECT/64.233.183.147 text/html
Есть конфиг2 (переработанный конфиг1): Подсовываю сквиду. Итог - в access.log нет пользователей:
1195798339.916 293 192.168.1.103 TCP_MISS/200 3129 GET http://www.google.ru/ - DIRECT/64.233.183.99 text/html
Сквид с авторизацией с АД через samba.
Может сможете подсказать какие директивы отвечают за отображение в access.log имен пльзователей? Может при втором конфиге не идет авторизация?
Добавлено:
Цитата:
refresh_pattern - используется для определения "старости" объекта в кэше.
hierarchy_stoplist список - список слов, при появлении которых в URL, запрос не будет попадать и извлекаться из кэша, а пойдет напрямую. Обычно динамические страницы.
Есть конфиг1. Подсовываю сквиду. Итог - в access.log есть пользователи:
1195798464.661 343 192.168.1.103 TCP_MISS/200 3130 GET http://www.google.ru/ asked DIRECT/64.233.183.147 text/html
Есть конфиг2 (переработанный конфиг1): Подсовываю сквиду. Итог - в access.log нет пользователей:
1195798339.916 293 192.168.1.103 TCP_MISS/200 3129 GET http://www.google.ru/ - DIRECT/64.233.183.99 text/html
Сквид с авторизацией с АД через samba.
Может сможете подсказать какие директивы отвечают за отображение в access.log имен пльзователей? Может при втором конфиге не идет авторизация?
Добавлено:
Цитата:
А что значит это множественное refresh_pattern ? hierarchy_stoplist cgi-bin ?
refresh_pattern - используется для определения "старости" объекта в кэше.
hierarchy_stoplist список - список слов, при появлении которых в URL, запрос не будет попадать и извлекаться из кэша, а пойдет напрямую. Обычно динамические страницы.
Есть вопрос.
Кто нибудь пытался настроить фильтрацию адресов не по спискам запрещенных типов файлов, а по спискам разрешенных?
Т.е. создать список с расширениями которые мона грузить:
.htm$
.html$
.php$
и т.д.
сделал так у себя на squid'e, терь половина динамических сайтов не работает...
Проблемы в основном в след:
В табличке с разрешенными файлами, допустим есть :
.cgi$
тогда ссылка http://forum.ru-board.com/post.cgi?action=reply&forum=8&topic=0372
не открывается
В табличке с разрешенными файлами, меняем на:
.cgi
тогда ссылка http://forum.ru-board.com/post.cgi?action=reply&forum=8&topic=0372
открывается
Может уже кто нибудь думал в эту сторону и выработал такой список?
как я думаю надо сильно заморочится с регулярными выражениями...
Кто нибудь пытался настроить фильтрацию адресов не по спискам запрещенных типов файлов, а по спискам разрешенных?
Т.е. создать список с расширениями которые мона грузить:
.htm$
.html$
.php$
и т.д.
сделал так у себя на squid'e, терь половина динамических сайтов не работает...
Проблемы в основном в след:
В табличке с разрешенными файлами, допустим есть :
.cgi$
тогда ссылка http://forum.ru-board.com/post.cgi?action=reply&forum=8&topic=0372
не открывается
В табличке с разрешенными файлами, меняем на:
.cgi
тогда ссылка http://forum.ru-board.com/post.cgi?action=reply&forum=8&topic=0372
открывается
Может уже кто нибудь думал в эту сторону и выработал такой список?
как я думаю надо сильно заморочится с регулярными выражениями...
Люди, помогите, не могу заблочить ICQ юзверей.
#ICQ block
acl icq_domain dstdomain login.icq.com
acl icq_ip src 201.27.217.113
acl icq_ip src 200.117.138.206
acl icq_ip src 205.188.1.0/24
acl icq_ip src 205.188.9.0/24
acl icq_ip src 205.188.153.0/24
acl icq_ip src 64.12.31.0/24
acl icq_ip src 64.12.25.0/24
acl icq_ip src 64.12.161.0/24
acl icq_ip src 64.12.162.0/24
acl icq_ip src 64.12.163.0/24
acl icq_port port 443 5109
Собственно сами блоки
http_access deny CONNECT icq_ip block_host
http_access deny icq_port block_host
http_access deny icq_domain block_host
А все block_host и пальцем не ведут - работает, хоть убейся!
Что делаю не так? 443 из Safe_Ports убирал...
Заранее спасибо
#ICQ block
acl icq_domain dstdomain login.icq.com
acl icq_ip src 201.27.217.113
acl icq_ip src 200.117.138.206
acl icq_ip src 205.188.1.0/24
acl icq_ip src 205.188.9.0/24
acl icq_ip src 205.188.153.0/24
acl icq_ip src 64.12.31.0/24
acl icq_ip src 64.12.25.0/24
acl icq_ip src 64.12.161.0/24
acl icq_ip src 64.12.162.0/24
acl icq_ip src 64.12.163.0/24
acl icq_port port 443 5109
Собственно сами блоки
http_access deny CONNECT icq_ip block_host
http_access deny icq_port block_host
http_access deny icq_domain block_host
А все block_host и пальцем не ведут - работает, хоть убейся!
Что делаю не так? 443 из Safe_Ports убирал...
Заранее спасибо
elkeeper В акселях нужно писать на src, а dst !
acl BAD1 dst 64.12.0.0/255.255.0.0
acl BAD2 dst 205.188.0.0/255.255.0.0
acl BAD3 dts 152.163.0.0/255.255.0.0
http_access deny BAD1
http_access deny BAD2
http_access deny BAD3
Причем эти аксели должны стоять выше правил разрешения акселей для юзеров.
acl BAD1 dst 64.12.0.0/255.255.0.0
acl BAD2 dst 205.188.0.0/255.255.0.0
acl BAD3 dts 152.163.0.0/255.255.0.0
http_access deny BAD1
http_access deny BAD2
http_access deny BAD3
Причем эти аксели должны стоять выше правил разрешения акселей для юзеров.
ipmanyak не работает 
Я уже не знаю, что делать-то... 443 вообще закрыл, все аксели для аси запихал почти в начало squid.conf - не работает... А кто-нибудь реально перекрывал асю? Желательно, конечно, по списку хостов, которым надо перекрыть.
Я уже не знаю, что делать-то... 443 вообще закрыл, все аксели для аси запихал почти в начало squid.conf - не работает... А кто-нибудь реально перекрывал асю? Желательно, конечно, по списку хостов, которым надо перекрыть. elkeeper Включай debug в конфиге сквида на уровень 9 и смотри cache.log
Добавлено:
elkeeper А ты уверен, что юзеры у тебя ходят через сквид, а не напрямую через NAT?
Добавлено:
elkeeper А ты уверен, что юзеры у тебя ходят через сквид, а не напрямую через NAT?
elkeeper
Ну асю проще блокировать iptables/pf/etc.
Весь конфиг выложи... Только скрой за /more.
askedtemp
Цитата:
Скорее всего авторизации нет или она не требуется.
Ну асю проще блокировать iptables/pf/etc.
Весь конфиг выложи... Только скрой за /more.
askedtemp
Цитата:
Может при втором конфиге не идет авторизация?
Скорее всего авторизации нет или она не требуется.
Имею два SQUID'а для разделения местного и внешнего трафика, читай бесплатного и платного. Как сделать так чтобы трафик проходя через первый сквид и уходя на второй не фиксировался в первом access.log, а только по втором? В какую сторону копать?
elkeeper
Цитата:
Мною уже давался ответ на ваш вопрос, каким образом можно эффективно резать icq, Mail.ru агента и т.д.
Цитата:
Цитата:
Люди, помогите, не могу заблочить ICQ юзверей.
Мною уже давался ответ на ваш вопрос, каким образом можно эффективно резать icq, Mail.ru агента и т.д.
Цитата:
Попробуйте сделать следующим образом, в squid.conf добавляем следующие строки:
acl ournetwork src 192.168.0.0/24
acl useragents browser (Firefox)|(MSIE.*[)]$)|(Opera)
http_access allow ournetwork useragents
http_access deny all
Строка acl useragents browser описывает разрешенные браузеры.
hydrachaos
access_log none
access_log none
Ruza
нашёл...немного по другому. директива log_access allow|deny acl...
но суть та же
пасиба
нашёл...немного по другому. директива log_access allow|deny acl...
но суть та же
пасиба
hydrachaos
Суть то таже но в твоём варианте будет проходить постоянная роверка
Цитата:
Суть то таже но в твоём варианте будет проходить постоянная роверка
Цитата:
log_access allow|deny acl...на валидность для записи в лог.
а как сделать чтобы сквид все dns запросы отправлял в прогу ntlmaps, а уже она переправляла isa.просто без dns он не стартует. и как сделать чтоб до нажатия F5 не ломился в сеть, а брал с кеша или давал ошибку ?
tip
Цитата:
# TAG: dns_testnames
# The DNS tests exit as soon as the first site is successfully looked up
#
# This test can be disabled with the -D command line option.
#
#Default:
# dns_testnames netscape.com internic.net nlanr.net microsoft.com
или запускай с опцией -D или поставь тут localhost
Цитата:
Зачем такие сложности ? Не проще сразу указать ip, через который dns будет пахать?
Для этого есть свой тэг:
# TAG: dns_nameservers
# Use this if you want to specify a list of DNS name servers
# (IP addresses) to use instead of those given in your
# /etc/resolv.conf file.
#
# Example: dns_nameservers 10.0.0.1 192.172.0.4
#
#Default:
# none
Цитата:
без dns он не стартует
# TAG: dns_testnames
# The DNS tests exit as soon as the first site is successfully looked up
#
# This test can be disabled with the -D command line option.
#
#Default:
# dns_testnames netscape.com internic.net nlanr.net microsoft.com
или запускай с опцией -D или поставь тут localhost
Цитата:
как сделать чтобы сквид все dns запросы отправлял в прогу ntlmaps, а уже она переправляла isa.
Зачем такие сложности ? Не проще сразу указать ip, через который dns будет пахать?
Для этого есть свой тэг:
# TAG: dns_nameservers
# Use this if you want to specify a list of DNS name servers
# (IP addresses) to use instead of those given in your
# /etc/resolv.conf file.
#
# Example: dns_nameservers 10.0.0.1 192.172.0.4
#
#Default:
# none
Подскажите пжста, какие правила нужно добавить в ipfw для работы с прозрачным прокси?
У меня сначала было так:
fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80
...
divert 8668 ip from any to any in via dc0
...
divert 8668 ip from any to any out via dc0
...
Но фаер рубил пакеты с самого серваке в нэт и пришлось добавить:
allow tcp from me to any 80 out via dc0 - и такой ход событий мне не очень нравится =\
Сейчас при таком раскладе сквид выдает клиенту таймаут, а фаер дивертит и рубит входящие пакеты.
У меня сначала было так:
fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80
...
divert 8668 ip from any to any in via dc0
...
divert 8668 ip from any to any out via dc0
...
Но фаер рубил пакеты с самого серваке в нэт и пришлось добавить:
allow tcp from me to any 80 out via dc0 - и такой ход событий мне не очень нравится =\
Сейчас при таком раскладе сквид выдает клиенту таймаут, а фаер дивертит и рубит входящие пакеты.
не подскажите как под squid прикрутить 2 антивирусника(для организации антивирусной проверки на шлюзе):kaspersky+clamav
типа 2-й контроль??????
типа 2-й контроль??????
oler2
Имхо избыточно, если есть лицензия на kav его достаточно.
А так, почитай об этих связках и реши нужны ли будут тебе эти "тормоза".
Имхо избыточно, если есть лицензия на kav его достаточно.
А так, почитай об этих связках и реши нужны ли будут тебе эти "тормоза".
ipmanyak
Дело в том что днс есть только в той сети которая доступна через иса напрямую нету. а чего при offline_mode on он совсем не обновляет, даже по ф5 ?
Дело в том что днс есть только в той сети которая доступна через иса
напрямую нету. а чего при offline_mode on он совсем не обновляет, даже по ф5 ?Товарищи, подскажите пожалуйста как можно разделить большой (21 гигабайт) лог файл сквида по дням, т.е. один день - один лог файл?
emercom
настроить logrotate для сквида.
пример тут:
http://www.faqs.org/docs/securing/chap28sec234.html
Вообще, промань логротейт, там очень красиво можно организовать логирование.
настроить logrotate для сквида.
пример тут:
http://www.faqs.org/docs/securing/chap28sec234.html
Вообще, промань логротейт, там очень красиво можно организовать логирование.
Блин. Задолбался уже, сквид отдаёт старые страницы из кэша и не обновляет по Ф5 Как сдеалать чтоб не лез в инет за обновлением до нажатия обновить ?
Как сдеалать чтоб не лез в инет за обновлением до нажатия обновить ?решено.
Цитата:
acl slowsite dstdomain zaycev.net
Писать нужно так:
acl slowsite dstdomain .zaycev.net
в пермишинах акселей чет дофига нагородил, с этим сам потом разберись, если сразу не сможешь включи debug в конфиге сквида на уровень 9 и смотри cache.log
по твоему вопросу:
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow slowuser slowsite
delay_access 1 deny all
delay_access 2 allow our_networks
delay_access 2 deny all
delay_parameters 1 10000/10000 10000/10000
delay_parameters 2 120000/120000 60000/60000
У меня походу сквид вобще ничего не обновляет, я то думал чего новостей нету...Из-за офлайн моде может ?
Вышел Squid 3.0 Stable1
_http://www.squid-cache.org/Versions/v3/3.0/
Кто нибудь знает где можно о нём прочитать желательно на русском...
_http://www.squid-cache.org/Versions/v3/3.0/
Кто нибудь знает где можно о нём прочитать желательно на русском...
Похоже ничего существенного в 3.0 не поменяли, а я ждал нативную поддержку антивируса. Хоть и заявили о поддержке ICAP, надо будет пробовать через него кламав прикручивать...
есть вопрос:
Есть сеть, сквид, авторизация в лдапе. Всё работает. Но хочется "странного", а именно, чтобы не авторизованные пользователи получали доступ к некоторому списку ресурсов. Реализуется элементарно, но сквид постоянно будет справшивать авторизацию при переходе по ресурсам.
Можно ли сделать так, чтобы не авторизованный пользователь после отмены ввода пароля получал доступ к неким ресурсам и его не спрашивали по 100 раз логин и пароль? Другими словами, можно ли уставить TTL неавторизованности?
Есть сеть, сквид, авторизация в лдапе. Всё работает. Но хочется "странного", а именно, чтобы не авторизованные пользователи получали доступ к некоторому списку ресурсов. Реализуется элементарно, но сквид постоянно будет справшивать авторизацию при переходе по ресурсам.
Можно ли сделать так, чтобы не авторизованный пользователь после отмены ввода пароля получал доступ к неким ресурсам и его не спрашивали по 100 раз логин и пароль? Другими словами, можно ли уставить TTL неавторизованности?
Oxpa Поставь правила разрешения к этому ресурсу выше правил требования авторизации.
ipmanyak
спасибо, попробую
спасибо, попробую
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687
Предыдущая тема: Неполадки в работе DHCP сервера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.