» SQUID (только под *nix)

Много наверное, зато почти все

Цитата:

#Method users authentifications
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="AMSGROUP+InetAccess"
auth_param ntlm children 10
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="AMSGROUP+InetAccess"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#ACL allow
acl localhost src 127.0.0.1/255.255.255.255
acl local_networks src 192.168.0.0/16
acl ads_network src 213.242.11.82/32
acl NTLMauth proxy_auth REQUIRED

#ACL deny
acl fex dst 217.106.171.18/32
acl all src 0.0.0.0/0.0.0.0
acl priveledge_users proxy_auth "/opt/squid/etc/priveledge_users.list"
acl sites_disable url_regex "/opt/squid/etc/sites_disable.list"
acl badip_disable dst "/opt/squid/etc/badip_disable.list"
acl ext_disable urlpath_regex -i "/opt/squid/etc/ext_disable.list"

#HTTP_ACCESS
http_access deny fex
http_access allow sites_disable priveledge_users
http_access allow ext_disable priveledge_users
http_access allow badip_disable priveledge_users
http_access deny sites_disable
http_access deny ext_disable
http_access deny badip_disable
http_access allow NTLMauth
http_access allow local_networks
http_access allow ads_network
http_access deny all

askedtemp
Для того чтобы понять причину, нужно включить режим отладки, для этого необходимо в squid.conf прописать следующую запись:
debug_options ALL,1 33,2 28,9

Далее необходимо смотреть журнал cache.log, в котором как раз и будет показана причина по которой происходит блокирование доступа.

askedtemp
Я так подозреваю что ты priveledge_users...
Попробуй такое
http_access allow priveledge_users без доьавки по поводу сайтов.

ginger: прописал дебаг, но за две минуты cache.log вырос до сотни мегабайт, так что разобраться в нем не представляется возможным

Ruza: в принципе тоже думаю попробовать отключить все фильтры.

Вот что еще интересного обнаружилось:

Цитата:

tail -f /opt/squid/var/logs/access.log | grep warwickhotels
1204782754.838 1 192.168.1.103 TCP_DENIED/407 1798 GET http://www.warwickhotels.com/ - NONE/- text/html
1204782754.841 1 192.168.1.103 TCP_DENIED/407 1970 GET http://www.warwickhotels.com/ - NONE/- text/html
1204782757.386 693061 192.168.1.103 TCP_MISS/000 0 GET http://www.warwickhotels.com/ asked DIRECT/64.34.80.131

далее резолвим ип и имя:
Прямая зона

Цитата:

Non-authoritative answer:
Name: warwickhotels.com
Address: 64.34.80.131

Обратная зона

Цитата:

** server can't find 131.80.34.64.in-addr.arpa: NXDOMAIN

У сайта нет обратной зоны, а сквид обращается по ип. Может здесь заковырка?

askedtemp

Цитата:

прописал дебаг, но за две минуты cache.log вырос до сотни мегабайт

Вам необходимо было зайти только на http://www.warwickhotels.com чтобы понять причину по которой нет доступа на этот сайт.

Цитата:

tail -f /opt/squid/var/logs/access.log | grep warwickhotels

А что вам мешало дать эту же команду для журнала cache.log?
Либо
less /opt/squid/var/logs/cache.log
далее
/warwickhotels
и смотреть результат

Цитата:

У сайта нет обратной зоны, а сквид обращается по ип. Может здесь заковырка?

Для доступа к интеренет ресурсам squid не обращается к "обратной зоне".

Подскажите пожалуйста, как на FreeBSD посмотреть, с какими опциями собран Squid ?
И еще такой вопрос - есть необходимость некоторым адресам из моей локалки запретить доступ в интернет. Как это сделать с помощью Squid - я примерно представляю себе это так:
acl no_inet src 192.168.15.1
acl no_inet src 192.168.15.4
acl no_inet src 192.168.15.15
http_access deny no_inet

walerchik

Цитата:

Подскажите пожалуйста, как на FreeBSD посмотреть, с какими опциями собран Squid

Данная команда выводит список доступных команд:
squid -h

для просмотра опций сборки достаточно ввести:
squid -v

можно ли через squid проксить внутрисетевой ftp для доступа снаружи?

klimusu
В смысле через свой прокси к своему же ftp, не уловил идеи если честно

klimusu
Нет.


Хотя если его использовать как reverce вместе с apache то наверное можно... Надо на досуге доку почитать. Но ИМХО оно того нестоит что бы настраивать такое... Во первых ЗАЧЕМ? Во вторых ПОЧЕМУ через squid если можно firewall'ом сделать?

klimusu Не надо и даже вредно! Сам подумай, сквид слушает на порту (обычно 3128), а ftp клиент снаружи будет обращаться на порт 21 и никак не на порт сквида.

Вопрос по ICAP Drweb+Squid 3.0 Stable2 авторизация ntlm+samba/winbind
выдаёт такую ошибку:

Цитата:

essential ICAP service is invalidated by reconfigure: icap://localhost:1344/reqmod [down,gone]
essential ICAP service is invalidated by reconfigure: icap://localhost:1344/respmod [down,gone]

При этом на сайты без авторизации заходит а вот на все остальные сразу выдаёт ошибку авторизации.
Но stable1 собранный с теми же параметрами работает без проблем.

Господа специалисты подскажите новичку. Поставил на "учебной машине" Squid. Инет он раздает. Во всех описаниях есть настройка HTTP, FTP, SSH. Но нигде не попадалась настройка для почты. Как поступить с почтой ? Можно ли на той-же машине ставить postfix и fetchmail ? Есть ли где пример настройки Squid под них ?

SergeyMark

Цитата:

Можно ли на той-же машине ставить postfix и fetchmail ?

Можно!
Squid никак не относится к указанным тобой программам. И я очень сильно сомневаюсь в описании настройки squid по отношению ну к примеру ProFTP/Vsftp... С apache я ещё пойму типа реверсивный прокси и т.п. ну с фтп-прокси более менее понятно, с ssh серверами я вообще в замешательстве.

Цитата:

Есть ли где пример настройки Squid под них ?

Нету.
Это тоже самое что print spooler относится к wireless zero configuration.

Ruza

Цитата:

Squid никак не относится к указанным тобой программам

То есть Squid не закрывает порты для почты ? И вообще не замечает работы почтовых программ ? А другие программы типа троянов он заметит, не пустит в инет, или ему вобще все фиолетово ? А какая тогда программа отвечает за открытие - закрытие портов ? Вот в винде например ISA Server отвечает за все сразу.

SergeyMark
Цитата:

И вообще не замечает работы почтовых программ ? А другие программы типа троянов он заметит, не пустит в инет, или ему вобще все фиолетово ?

Именно так фиолетово! SQUID это чистый HTTP прокси и более ничего! Никаких тебе фаерволов, антивирией почты и так далее! Только WEB навигация.
Антивирь можно прикрутить к нему и на этом пожалуй всё!

Цитата:

за открытие - закрытие портов ?

А ты про юниксы/линуксы то ничего не читал что ли? Там есть свой фаерволл - например ipwf, iptables

ipmanyak

Цитата:

А ты про юниксы/линуксы то ничего не читал что ли? Там есть свой фаерволл - например ipwf, iptables

Читал, но видимо мало. iptables можно настраивать на той-же машине, или лучше на отдельной, перед SQUID и почтовым сервером ?

SergeyMark Без разницы. Твоё дело где размещать прокси и почтарь, хоть в DMZ пихай, хоть в локаль, хоть на той же машине. У меня всё на одной.

Господа профессионалы, подскажите пожалуйста! Столкнулся с такой проблемой... Есть сеть в которой порядка 100 активных юзеров, снаружи закрыта циской.. есть роут на АСП Линух 10 на котором поднята сквида и с помощью iptables веб-траффик редиретится на сквиду.. Так вот проблема.. по началу сквида работает на ура, но по прошествии некоторого времени, порядка 4-6 дней, сквида начинает лагать - половина всех юзеров вообще в нет не ходит, а некоторые "счастливчики" попадают в него с дикими тормозами.. не помогает ни рестарт сквиды, ни полное удаление и пересоздание кэша.. хотя, если всех от нее отрубить, через некоторое время она может работать, но с очень малым количеством пользователей. Пробовал сквиду и роут размещать на одной и двух машинах - результат одинаков. Вот конф сквиды:

http_port 192.168.100.244:3128

cache_mem 128 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
cache_dir ufs /var/spool/squid 5120 16 256
cache_dir ufs /var/spool/squid1 5120 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

#3avorot squid
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

acl LocalNet src 192.168.100.50-192.168.100.200
acl Admin src 192.168.100.30


# SQUID BLOCKS
# http://www.hklc.com/squidblock/
#
acl squid_block_mp3 url_regex -i "/etc/squid/squidblock/mp3.block.txt"
#acl squid_unblock_pirate url_regex -i "/etc/squid/squidblock/pirate.unblock.txt"
acl squid_block_porn url_regex -i "/etc/squid/squidblock/porn.block.txt pron.block.txt"
acl squid_unblock_porn url_regex -i "/etc/squid/squidblock/porn.unblock.txt"
#acl squid_www url_regex -i "/etc/squid/squidblock/www.txt"

# DENY
http_access deny squid_block_mp3
# Pornographic -
http_access deny squid_block_porn !squid_unblock_porn
http_access allow manager localhost
http_access deny manager

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow LocalNet
http_access allow Admin
http_access deny all


#delay_pools 1

#delay_class 1
#delay_parameters 1 512000/512000
#delay_access 1 allow Admin
#delay_access 1 deny all

#delay_class 1 2
#delay_parameters 1 1024000/1024000 16000/56000
#delay_access 1 allow LocalNet
#delay_access 1 deny all


Что это, и как с этим бороться?

Rad_Eugen cache_mem 128 MB многовато, хотя если ОЗУ на тачке много. можно и оставить. Cколько ОЗУ кстати?
В момент тормозов сколько ОЗУ занимает сквид в памяти ? Есть подозрение, что он жрет больше, чем ты ему дал и потому ось занимается свопингом ?

cache_dir ufs /var/spool/squid 5120 16 256
cache_dir ufs /var/spool/squid1 5120 16 256
1 - во-первых зачем две строки? Уверен, что обе подхватятся/ Я думаю. что только вторая!
2 - кэш в 5 гиг,лично мое мнение, многовато, куча объектов и куча индексов, и все их сквид будет лопатить! Я бы сделал 1 гиг кэша на винте.
3 - включи параметр memory_pools on
# TAG: memory_pools on|off
не будет превышения cache_mem

Спасибо за советы.. попробую
Кста, памяти на тачке 512..

Проблемка осталась... Сквида ложит канал на раз-два. Если все ходят напрямую, то пинги в мир идут по 90-200 мс, с включеной скидой 900-1200мс.. В чем проблема?
Доп. инфо:
Роут со сквидой у меня в локалке и имеет один интерфейс вида 192.168.1.244 Снаружи сеть закрыта циской и НАТ на ней же.

Rad_Eugen
Цитата:

Если все ходят напрямую, то пинги в мир идут по 90-200 мс, с включеной скидой 900-1200мс

Не верю. Скорее всего когда ты делал пинг, нагрузки на канал не было.

ipmanyak
Хотите верьте, хотите нет, но так и есть.. При выключеной сквиде пиковые значения задержек доходят до 600-700мс, но средние, при загруженном канале 200-300.. При включенной сквиде средние показатели задержек на уровне 800-900мс. Проверялось тысячу раз в разное время рабочего дня.. Может это связано с ДНС и надо в конфиге явно указывать ДНС прова? Сквид версии 2.5 STABLE11

Rad_Eugen DNS не причем.

Debian + SQUID авторизация по ntlm. Все работает норм, но после перезагрузки слетают права на winbindd_privileged, по дефолту стоит группа winbindd_priv, меня на proxy - все ОК, стоит только перезагрузится опять та же группа. Пробовал юзера proxy добавить в группу winbindd_priv, не помогло

Всем. Здравствуйте!
Помогите, пожалуйста!
Виндовая машина ходит в инет через прокси-сервер (RedH7).
На виндовой машине через Total Commander пытаюсь залить файл на ftp-сервер размером от 50Мб до 100Мб и получаю вот такой вот ответ от Total Commander:

HTTP/1.0 413 Request Entity Too Large

и ещё одна проблема я не могу удалить уже ранние залитые туда файлы, выскакивает ошибка:

HTTP/1.0 501 Not Implemented

Но!!!
Если подключиться к ftp-серверы с самой прокси, всё прекрасно работает!!! и удаляет и записывает!!!
Подскажите, пожалуйста, в чём может быть проблема???
Если можно поподробней.

Цитата:

HTTP/1.0 413 Request Entity Too Large

В проксе нет ограничений на максимальный размер файлов ?

Цитата:

HTTP/1.0 501 Not Implemented

Означает сервер не поддерживает твои запросы. Я не знаю как работает Total Commander с ftp, если как чистый ftp клиент, то SQUID не поддерживает такую работу. Пробуй браузером, если через браузер нормально работает, значит оно так и есть.
Цитата:

Если подключиться к ftp-серверы с самой прокси, всё прекрасно работает!!!

Вероятно прокси squid тут уже не используется.

А что значит чистый ftp?

Цитата:

если как чистый ftp клиент, то SQUID не поддерживает такую работу.

и где можно посмотреть ограничений на максимальный размер файлов?
если это строка maximum_object_size, то там я пробовал изменять значение на:

я поменял на:
maximum_object_size 100.000000B

изначально было такое значение:
maximum_object_size 1024KB

Если не работали Total Commander, может подскажите какой FTP-клиент сможет работать в такой ситуации?

reply_body_max_size