» SQUID (только под *nix)

karlson86
это не возможно читать)
думайте о форумчанах прежде чем вываливать... почему за вас кто-то должен это делать? выложите пожалуйста конфиг после обработки его - хотя бы так - cat /etc/squid3/squid.conf | grep -v ^# - путь поменяйте на свой...

Alukardd

Цитата:

всё под контролем
я писал выше, что это не оч в тему, но раз уж настройки iptables коснулись squid'a, то решили не уходить из топика...

Ты имеющиеся правила всё же узрел? Я так до сих пор не вижу...

karlson86
Отключи кеш, хотя бы временно:
cache_dir ufs /var/spool/squid3 60000 16 256
maximum_object_size 16384 KB
->
cache_dir null /tmp
#maximum_object_size 16384 KB

Ruza отключение кеша не помогло....((((

karlson86
в общем еще вариант попробовать убрать строчки с refresh_pettern - хотя врядли они чем-то мешают там всё-таки 0 стоит - значит динамика будет жить норм...
и еще кое-что - правда следующее моё замечание на кнопки не влияет - но у вас на мой взгляд disabled_ip не будет ни кого disabled
правила deny ставятся всегда до правил allow - исключением являются 2 правила deny all - идёт последним и allow manager localhost идёт где-то в начале... так же нарушают правила ваши нужды - например у меня группа admins идёт практически до всего - сделано для не фильтрованного сёрфинга инета. запомните что squid как и iptables и вообще много чего остального читает список только до ПЕРВОГО совпадения что там ниже deny ни deny ему уже побоку если он наткнулся на легидный allow ( обратное утверждение тоже верно - deny <--> allow ).

acl _sams_disabled_ip src "/etc/squid3/disabled_ip.sams"
http_access deny _sams_disabled_ip -создал сам sams и прописал...не думаю, что стоит переписывать эти строки..
у меня созданы группы только для TOS а потом в таблице mangle я те пакеты маркирую и в htb обрезаю upload....вариант конечно костыльный..но другого не нашел, как обрезать аплоад...

разобрался с " http://chatroulette.com/ "
но в контакте по прежнему не отображаеться кнопка "сохранить", от программы VKSaver (((

Облазил все настройи sams, но не нашел инфу о том, какие страницы открыты у пользователя(((
Не подскажите как можно получить требуюмую информацию?

Добрый день.
хочу в squid 3 запретить писать в лог строчки вида
10.0.0.1 TCP_DENIED/407 346 http://adnxs.com/

10.0.3.34 TCP_DENIED/407 359 http://cr-tools.clients.google.com/service/check2?

10.0.0.1 TCP_DENIED/407 346 http://afy11.net/

10.0.1.210 TCP_DENIED/407 3969 desktop2.google.com:443

какой acl придумать чтобы потом запретить его???

acl TCPDENIED <что сюда писать я не пойму пока>
log_access deny TCPDENIED


а то лог очень большой из за этого




Добавлено:
как думаете меня спасет вот такая конструкция?

acl TCPDENIED proxy_auth REQUIRED
log_access allow TCPDENIED

c0pycat22 Имхо это невозможно, будет писать в лог. Ну разве что ты возьмешь напильник и подрихтуешь исходники. Чтобы не видеть это в отчетах, например от SARG, то в SARG-е эти коды можно игнорировать.
Цитата:

а то лог очень большой из за этого

Это сколько большой в твоем понимании? Если лог большой, то ротируй чаще, например ежедневно.

большой это значит гиг в день растет

Приветствую.

На работе у меня стоит squid, через который народ ходит в интернет.
Народ наглеет и начинает ставить себе прокси.
Можно ли как-нить запретить хождение всех прокси через мой squid?

SAV83
А теперь ещё раз и внятно.

BONDBIG
Определенным людям в локальной сети, через squid, выдается интернет.
Народ ставит у себя свои прокси и раздает инет своим коллегам.
Вопрос:
Можно ли настроить в squid бан дочерних proxy-серверов?

вот, теперь понятно. AFAIK, такое запретить не получится, с точки зрения сквида - это обычный клиент. Решается организационными методами: лимит (месячный/суточный) по трафику, лимит по коннекциям, ручное выявление добродетелей и последующая публичная порка.

BONDBIG

Цитата:

такое запретить не получится, с точки зрения сквида - это обычный клиент.

Ну почему нет... Если очень хочется то можно позаморачиваться
Есть такие понятия как headers и user agent... По ним я думаю если присмотреться можно много чего найти
Одно VIA чего стоит, не?
HTTP requires the use of Via

SAV83
Но и это отбрасывать не стоит:

Цитата:

лимит (месячный/суточный) по трафику, лимит по коннекциям, ручное выявление добродетелей и последующая публичная порка.

Ruza
всё это элементарно отключается (via) и меняется (useragent). Но можно позаморачиваться, если нечем заняться. Но по мне так проще по рукам надавать публично, очень эффективно.

SAV83

Цитата:

На работе у меня стоит squid, через который народ ходит в интернет.
Народ наглеет и начинает ставить себе прокси.
Можно ли как-нить запретить хождение всех прокси через мой squid?

а что значит "наглеет"? там кто админ, ты или они?

BONDBIG

Цитата:

Но по мне так проще по рукам надавать публично, очень эффективно.

Я сам так делаю Устал бороться со анонимайзерами...

BONDBIG

Цитата:

всё это элементарно отключается (via) и меняется (useragent).

Ну я понимаю что отключается, но что бы отключить надо знать что и как...

Цитата:

но что бы отключить надо знать что и как...

если сдюжили, как поднять проксик, сдюжат и пару опций в конфиге. Не следует давать юзерам повод развиваться в данном направлении ) Иначе придется внедрять белые списки в итоге, когда они дойдут до httptunnel и openvpn на 443 порт

BONDBIG

Цитата:

если сдюжили, как поднять проксик,

Ну виндовый проксик поднять и мой ребёнок может Там настроек то - галочки поставить...
А вот что то более продвинутое - то там только административные методы. Я вот себя ставлю на место юзера... Пипец наверное уволили бы на вторую неделю

emfs
Это вообще длинная история.
Вкратце. Все что касается сетей делаю я, а "админы" которые должны делать, тока ПО занимаются.

народ ставит прокси на винду, и я сомневаюсь что они будут squid на винде настраивать либо еще что-то продвинутое.

BONDBIG

Цитата:

всё это элементарно отключается (via) и меняется (useragent)

можно подробнее...

Цитата:

можно подробнее...

А что подробнее?
У того же сквида есть опции вида:
Код: anonymize_headers deny X-Forwarded-For Via

Спасибо!

SAV83
Вот ещё наводка одна - как вычислить проксик....
http://freeproxy.ru/ru/free_proxy/faq/classical_proxy_chaining.htm

Я извиняюсь что не по теме, не хочется новую тему создавать.

а есть какие-нить скрипты для сканирования локальной сетки на наличие прокси-серверов?

SAV83

Код: nmap -v -p3128,8080 192.168.0.0/16

BONDBIG
Спасибо!!!

Остапа - понесло... Deleted

Цитата:

Просто закрой запросы в uri которых есть ^http://

Просто посмотрите свой лог:

Код: 2010/07/15 10:28:33 - 172.25.***.*** TCP_MISS/200 531 5090 GET http://www.com/ DIRECT/174.142.8.58 text/html
2010/07/15 10:28:33 - 172.25.***.*** TCP_MISS/304 361 253 GET http://www.com/shared/style/core.css DIRECT/174.142.8.58 -
2010/07/15 10:28:33 - 172.25.***.*** TCP_MISS/304 328 253 GET http://www.com/shared/style/default.css DIRECT/174.142.8.58 -

BONDBIG
Ты прав... Что то перегрелся я наверное ...

Посмотрел, но не увидел решения такой проблемы. Невозможно через Сквид отправить письмо с аттачментом на Gmail, Yandex и еще ряд почтовых серверов. Кто сталкивался с таким явлением и как его борол?