» SQUID (только под *nix)

dim0n282 Мужик, будь внимательнее!

Цитата:

acl valid_cliens src 192.168.1.2
# http_access allow valid_clients
# http_access deny valid_clients

Насчет буквы t ничего не хочешь сказать?

Цитата:

Насчет буквы t ничего не хочешь сказать?

Исправил, но сервер все ровно не хочет пускать в инет, если ставлю
http_access allow all
то работает,

а вот по IP доступ открывать не хочет, делаю так:
http_access deny all
acl weekendmechnetwork src 192.168.1.100/255.255.255.255
http_access allow weekendmechnetwork
acl valid_clients src 192.168.1.2
http_access allow valid_clients
http_access deny !valid_clients

Пробовал делать проще, так:
http_access deny all
acl weekendmechnetwork src 192.168.1.100/255.255.255.255
acl weekendmechnetwork src 192.168.1.2/255.255.255.255
http_access allow weekendmechnetwork

Тоже не хочет, работать, а авторизация нужна именно по IP, ну можно еще IP+Mac, а полностью доступ открывать не хочется.

Где то я еще на косячил, ткнити носом?

Накосячил и еще как! Порядок правил важен!
ты поставил первым аксель запрета:
http_access deny all
то есть всем всё запретил, дык чего же ты потом хочешь? Разумеется все идут лесом.

вот правильные правила:

acl weekendmechnetwork src 192.168.1.100 192.168.1.2
http_access allow weekendmechnetwork
http_access deny all

ipmanyak - спасибо друг, теперь все как положено работает!

всем привет!
нет ли у кого наиболее полного (чем на urlblacklist.com) списка российских бесплатных почтовых систем для прикручивания к сквиду?

никак найти не могу
сорри если было уже

Reanimator1973

Цитата:

нет ли у кого наиболее полного (чем на urlblacklist.com) списка российских бесплатных почтовых систем

Да это ИМХО бесполезно... Просто срезай по слову mail и будет блокироваться львиная доля таких сервисов...
Правда надо будет ещё и анонимайзеры закрыть.

Ruza

Цитата:

Да это ИМХО бесполезно... Просто срезай по слову mail и будет блокироваться львиная доля таких сервисов...
Правда надо будет ещё и анонимайзеры закрыть.

дело в том что юзеры мои не слишком продвинутые и мне вполне будет достаточно близкого к полному списку таких сервисов..
так что вопрос остается открытый - может есть у кого наработанный список - поделитесь пожалуйста!

Reanimator1973
Может я что то не так написал... Я сквид использую больше 6 лет и вполне доволен блокированием слова mail в части url + анализ логов. Продвинутость пользователя роли не играет. Просто смысла нет писать многомегабайтные списки когда достаточно одного слова.

Проблема: Никак не могу заставить Squid кэшировать. В access.log всё время TCP_MISS/200. Папки кэша при использовании растут, но очень медленно, на данный момент 85 Кб при общем трафике с начала использования около 200 Мб.

В access.log


Код: 1236627400.993 243 192.168.0.10 TCP_MISS/200 1775 GET http://img.yandex.net/i/logo95x37x8.png - DIRECT/213.180.204.44 image/png

оно не стоит внимания: максимальная выгода обычно составляет около 3-5 процентов. Я всегда отключаю кеширование - нет смысла винт грузить и сервер.

tankistua
Не в моём случае - я знаю куда ходят acl Clients, что там делают, и что ходят они туда один за другим. Да и вообще, уже из принципа хочу разобраться, третий день пытаюсь заставить кальмара кэшировать, ничего не выходит. Уже грешу на баз в тестовом билде 3.1. Надо попробовать 3.0, или вообще 2.7...

Добавлено:
Вопрос снят, решилось установкой версии 3.1.0.6.

ой - ну не пользуйся ты бетами, бета - это не для продакшина. Это для того , чтобы посмотреть новые фичи.

Squid 3.0 Stable2.
В инет ходят нормально. Ограничения работают. Запускаю Winamp-радио - первые пару секунд работает нормально, а потом начинает икать каждые 2 сек.
Если пускать через NAT, то все нормалньо. Следовательно проблема в настройках Сквида.

Кеш опции менял. Собственно привожу, что стоит и что стояло:
*стояло по-умолчанию*
#Memory Cache Options
cache_mem 8 MB

#Disk Cache Options
cache_dir ufs /var/spool/squid 100 16 256

*поменял в свое время на следующее*
#Memory Cache Options
cache_mem 16 MB

#Disk Cache Options
cache_dir ufs /var/spool/squid 2000 16 256

Думал aufs или diskd поставить, да только толку 0 будет.

Кстати, на другой машине стоит Squid 2 (для плавного переноса на тройку брались настройки отсюда) - проблем с иканием не было (да и кеш по-умолчанию был).

Как настраивается в squid виртуальные порты для почты?

Например в Win, в SmallProxy настраивал так:
Порт сервера 110, удаленный хост pop.yandex.ru, удаленный порт 110, IP сетевого интерфейса 192.168.1.1

dim0n282
Это не к Squid

dim0n282 Читаем что такое Squid - HTTP прокси! И более ничего! Про почту через сквид забудь.

Цитата:

Про почту через сквид забудь.

Хорошо забыл, тогда как настроить почту в *nix?

dim0n282 Включи NAT правилами фаервола по 25 порту на выход и 110 порту на вход.

Loafer
ipmanyak
Вот регулярно слышу про почту через squid. Ажно самому интересно стало... Ведь в теории можно, даже несколько страниц назад кто то писал что у него было настроено, жаль без примеров
Может кто то встретит реально рабочую конфу... Скиньте сюда пожалуйста...

dim0n282

Цитата:

Хорошо забыл, тогда как настроить почту в *nix?

А это в другую ветку.

Ruza Почту по SSL грят еще можно прокинуть через сквид, и это понятно раз 443 порт, но по pop3 и stmp нет! Ruza ты сам гуру в Сквид, не мне же тебе говорить что такое HTTP прокси? Даже метод Connect не поможет для почты! Даже в факе сквида об этом четко и ясно написано, почта - облом.

ipmanyak

Цитата:

не мне же тебе говорить что такое HTTP прокси?

Не говорить не надо, FAQ читаю регулярно...
Но всё ж где то подлая мыслишка проскакивает И РОР3 не интересует, а вот 25 порт SMTP интересно... Просто часто встречаю утверждения что проходит smtp, а вот пример конфига не могу найти, прям паранойя

вот тут:
http://forum.ru-board.com/topic.cgi?forum=8&topic=0372&start=980#9
Уже было об этом... И человек написал что помогло...

Цитата:

в том случае что ты написал у меня рубануло на IP адресе усе проги типа The Bat. Thanderbird.......но и твой метод помог.....как настраивали сквид раньше я сам не понял...

http://forum.ru-board.com/topic.cgi?forum=8&topic=0372&start=980#18

Цитата:

Уже было об этом... И человек написал что помогло...

учитывая человека, не удивлюсь наличию правила в фаерволе пропускающего почту наружу.

З.Ы. ну никак - ну представь себе каким образом сквид может общаться с почтовиком ? :)


Цитата:

Но всё ж где то подлая мыслишка проскакивает И РОР3 не интересует, а вот 25 порт SMTP интересно... Просто часто встречаю утверждения что проходит smtp, а вот пример конфига не могу найти, прям паранойя

думаю сквиду глубоко наплевать рор это или смтп, можно и имап - он все равно этого не умеет ?:)

tankistua

Цитата:

ну представь себе каким образом сквид может общаться с почтовиком

В том то и дело что не представляю... (Есть многое на свете, друг Гораций, что и не снилось нашим мудрецам!)
Но вот блин гугль покоя не даёт...
Цитата:

Результаты 1 - 10 из примерно 11 200 для squid acl port 25

И особенно:
acl SMTP port 25 #Для защиты от спама Оказывается SQUID может делать relay

не верю - какой-то бред. Ну и что , что кто-то что-то написал
Для меня это филькина грамота пока не я не прочитаю это на официальном источнике.

где в почтовике настраивается прокси ? а если указать в качестве смпт сквид, то сквид должен висеть и отдаваться как смпт-сервер.


Вобщем надо больше информации. По этому солюшину сквид попробую настроить - потом отпишусь, думаю завтра уже проверю.

Добавлено:
обалдеть - надо проверить

http://wiki.squid-cache.org/SquidFaq/SecurityPitfalls

Код: Mail relaying

SMTP and HTTP are rather similar in design. This, unfortunately, may allow someone to relay an email message through your HTTP proxy. To prevent this, you must make sure that your proxy denies HTTP requests to port 25, the SMTP port.

Squid is configured this way by default. The default squid.conf file lists a small number of trusted ports. See the Safe_ports ACL in squid.conf. Your configuration file should always deny unsafe ports early in the http_access lists:
http_access deny !Safe_ports
(additional http_access lines ...)

Do NOT add port 25 to Safe_ports (unless your goal is to end up in the RBL). You may want to make a cron job that regularly verifies that your proxy blocks access to port 25.

tankistua
Вторая линка - это относится к MoinMoin Wiki а не к squid

Добавлено:
Скорее offtopic но вопрос остаётся - как и чем можно релеить почту через squid? (сцуко моя паранойя не излечима?)

Помогите пожалуйста еще раз:

acl weekendmechnetwork src 192.168.1.100
acl weekendmechnetwork src 192.168.1.2
acl weekendmechnetwork src 192.168.1.4
acl weekendmechnetwork src 192.168.1.5
acl weekendmechnetwork src 192.168.1.7
acl weekendmechnetwork src 192.168.1.10

acl block url_regex -i "/etc/squid/block.txt"
http_access deny block
http_access allow weekendmechnetwork
http_access deny all

В файле /etc/squid/block.txt адреса на которые нельзя заходить, список действует на всех пользователей.

Как сделать чтоб блокировались адреса 192.168.1.2, 192.168.1.4 и блокировка на список действовала только с 09:00 до 18:00, а для остальных, чтоб был всегда полный доступ.

dim0n282 Может все-таки прочтешь фак сквида когда-нибудь и где-нибудь? Всё там разжевано. Сам не предпринял никаких усилий и сразу просишь помощь!
http://squid.org.ua/ читаем Меню Squid FAQ - acl.html раздел time - Доступ только к определенным ресурсам в заданное время
или на форуме opennet.ru делаем поиск - Доступ к определенным ресурсам в заданное время
и получаем http://www.opennet.ru/openforum/vsluhforumID12/1205.html

dim0n282

Цитата:

acl work_time time MTWHF 09:00-18:00

acl weekendmechnetwork src 192.168.1.100
acl weekendmechnetwork_bl src 192.168.1.2
acl weekendmechnetwork_bl src 192.168.1.4
acl weekendmechnetwork src 192.168.1.5
acl weekendmechnetwork src 192.168.1.7
acl weekendmechnetwork src 192.168.1.10

acl block url_regex -i "/etc/squid/block.txt"


http_access deny weekendmechnetwork_bl block work_time
http_access allow weekendmechnetwork
http_access deny all

ipmanyak читал, делал примерно тоже самое, что и написал Vby - спасибо тебе за подсказку.

Если рассматривать пример Vby, то у клиентов 192.168.1.2 и 192.168.1.4 доступа нет ни в рабочее, ни в не рабочее время.

А если

Цитата:

http_access deny weekendmechnetwork_bl block work_time

заменить на

Цитата:

http_access allow weekendmechnetwork_bl block work_time

то доступ есть только для ресурсов из файла /etc/squid/block.txt


Цитата:

acl work_time time MTWHF 09:00-18:00

acl weekendmechnetwork src 192.168.1.100
acl weekendmechnetwork_bl src 192.168.1.2
acl weekendmechnetwork_bl src 192.168.1.4
acl weekendmechnetwork src 192.168.1.5
acl weekendmechnetwork src 192.168.1.7
acl weekendmechnetwork src 192.168.1.10

acl block url_regex -i "/etc/squid/block.txt"


http_access deny weekendmechnetwork_bl block work_time
http_access allow weekendmechnetwork
http_access deny all

Что сдесь не так, и как закрывать доступ к ресурсам из /etc/squid/block.txt ?

dim0n282
acl work_time time MTWHF 09:00-18:00

acl weekendmechnetwork src 192.168.1.100
acl weekendmechnetwork src 192.168.1.5
acl weekendmechnetwork src 192.168.1.7
acl weekendmechnetwork src 192.168.1.10

acl weekendmechnetwork_bl src 192.168.1.2
acl weekendmechnetwork_bl src 192.168.1.4

acl block url_regex -i "/etc/squid/block.txt"

# всегда блочим weekendmechnetwork_bl
http_access deny weekendmechnetwork_bl

# блочим weekendmechnetwork на урлы из block.txt в рабочее время

http_access deny weekendmechnetwork block work_time
http_access allow weekendmechnetwork
http_access deny all