» SQUID (только под *nix)

Цитата:

При этом ещё и юзер орёт что у него почта не отправляется...

именно это во всей красе я и изложил выше)))

Есть вопрос по прозрачному проксированию https протокола. Или я что-то пропустил или что-то не понимаю. В общем задача такая, части клиентам настроить прозрачное проксирование (чтобы не настраивать браузер и не использовать аутентификацию)
Решена проблма так:
iptables (1.3.5 CentOS 5.4):
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 10.0.11.0/24 --dport 80, 443 -j REDIRECT --to-port 3280
squid.conf (2.6.STABLE21): (все что существенно)

acl CONNECT method CONNECT
acl methods method GET POST
acl subnet11 src 10.0.11.0.24
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
http_access deny CONNECT !Safe_ports
http_access deny !Safe_ports
http_access allow subnet11
http_port 3280 transparent

В таком конфиге все работает кроме https страничек. При чем если вручную настроить браузер на прокси то все работает без проблем. Как можно заставить работать прозраный прокси с протоколом https? Я понимаю что для порта 443 можно настроить маскарадинг, но правильно ли это, может через squid можно?

Bratella
Цитата:

В таком конфиге все работает кроме https страничек

Уж сколько раз твердили миру...
Не работает прозрачное проксирование https по соображениям безопасности

Цитата:

Не работает прозрачное проксирование https по соображениям безопасности

Я думал может что изменилось за последние годы, может в новой версии Сквида что-то появилось, или я сто-то пропустил?
А в чем проблемма безопасности, неужели безопаснее маскарадить https трафик? И без прозрачности сквид перерабатывает https без проблем.

Bratella
Цитата:

А в чем проблемма безопасности,

Атака типа "man on the middle"

интересно, можно ли запретить игры в одноклассниках, но при этом оставив доступ к остальному функционалу этого ресурса - чаты и всякие фотки, что там еще..

Цитата:

можно ли запретить игры в одноклассниках

Код: acl odnk_games        url_regex    -i /dk?st.cmd=appMain&st.refplace=
http_access    deny    odnk_games

Подскажите нестандартный параметр для request_header_access, чтобы работали js скрипты. На многих сайтах есть анимационная картинка типа загрузки, она крутится, но загрузка дальше не идет.

digital422 js скрипты работают на клиенте, и к сквиду отношения не имеют, если конечно не настроена блокировка файлов .js. Скорее всего проблемы в настройках безопасности браузера.

Проблема в нехватке значения для request_header_access, т.к. когда я их отключаю то загрузка идет.

digital422 Не зря в описании команды написано:

Цитата:

WARNING: Doing this VIOLATES the HTTP standard. Enabling
    this feature could make you liable for problems which it
    causes.

То бишь, это нарушает стандарты HTTP и может принести вам массу проблем.
По сути дела, здесь уже идет метод сапога в нейрохирургии, и дело не в сквиде, а в знании тонкостей HTTP протокола и умении ими манипулировать без ощутимого вреда. Вот тут есть и примеры:
request_header_access

Искал в squid одну функцию, но так и не нашел. Может, я не внимательный, а может такого и нет здесь?

Может ли squid (если да, то как) отслеживать в режиме реального времени изменения в файле разрешенных ip для доступа к прокси, и, соответственно, перезагружать эти разрешения?

Пример:

acl _iplist src "/usr/share/squid/iplist.txt"
http_access allow _iplist

И если содержимое файла iplist.txt постоянно изменяется, то и разрешения динамически тоже меняются.


P.S. При стандартной настройке (как указано выше) такого не происходит, т.е. учитывается только "изначальный" список ip

В том же 3proxy есть директива monitor "_file_", которая реализует данный функционал.
Есть ли в squid аналогичная функция?

L0T
нет, squid кэширует все ACL в память. Одновременно с изменением списка просто выполняйте squid3 -k reconfigure. При этом ни чего не рвется просто правила обновляются.

Еще как вариант, можете использовать внешнею прогу(perl скрипт), который будет этим заниматься. В squid строку redirect_program /etc/squid3/redirect.pl. Думаю (точно не уверен), что perl скрипт может читать данные динамически...

Alukardd
Спасибо большое)
Думаю, вариант с squid3 -k reconfigure как раз подойдет, т.к. сравнением и обновением списка у меня занимается мелкий sh-скриптик, вот туда и можно запихнуть еще одну команду

а кто пробовал закрыть всякого рода внешние web MailServer-а...(mail.ru. yandex,yahoo,gmail,.......................)
есть ли способ, или надо списки составлять .

ANTRAMABANAKAN
а вы хотите закрыть сайт по каком-то таинственному признаку кроме ip, url? В чем проблема описать ACL?

ANTRAMABANAKAN
Цитата:

есть ли способ, или надо списки составлять .

Есть способ. Надо списки составлять.

какраz проблема в том что бы найти оссобенности mail серверов (конечно не ip аддресс или имя саита) ,что бы однозначно или хотябы на 80 процентов филтрироват адреса mail серверов..

Народ а squid поддерживает многоядерность? Я имею ввиду основной процесс, а не детей для авторизации и редиректоров. Этими отдельными процессами займется как я понимаю ядро системы, куда определит там жить и будут, а вот будет ли squid раскидывать свои вычисления ACL по разным ядрам?
И вообще имеет ли моя паранойя здесь место, когда у меня число одновременных активных клиентов вряд ли превышает 100.

Alukardd

Разработчики молчат) Вопрос все более актуальный. 4-8 ядер уже не новость для сервера.

Ядро у нынешних версий squid - single. Эффект будет только от использования бОльшего объёма оперативной памяти, оптимизации работы с жёстким диском и запуска нескольких процессов squid для выполнения разных целей (один для кэша, другой для балансинга и проч.). Тогда ядро ОС само разложит их по ядрам процессора.

Обсуждение - http://www.squid-cache.org/mail-archive/squid-users/200809/0004.html или http://www.mail-archive.com/squid-users@squid-cache.org/msg58354.html

Над чем сейчас работают - http://devel.squid-cache.org/

DemonWather
Спсибо... Печальненько...
А что по опыту скажите про
Цитата:

И вообще имеет ли моя паранойя здесь место, когда у меня число одновременных активных клиентов вряд ли превышает 100.

Цитата:

Эффект будет только от использования бОльшего объёма оперативной памяти

Это я уже давно вкурил, когда загрузил ему 3 ACL по пол лимона строк в каждом, ему даже 4Гб свопа не хватило, пздц...

Как можно заблокировать такую вещь?

Цитата:

1348782 POST http://www.notamusic.net/download.php ..... application/mp3

В конфиге прописано:

Цитата:

acl mimeblock rep_mime_type -i ^application/mp3$
http_reply_access deny mimeblock

но не срабатывает. Вероятно из-за метода POST.

PhoenixUA
А почему http_reply_access?
HTTP POST же по идее идет от клиента?

POST идет от клиента, но файл идет к клиенту.
Вот такая хитрож... закачка.

PhoenixUA

Цитата:

Вот такая хитрож... закачка.

Угу...

Цитата:

1348782 POST httр://www.notamusic.net/download.php ..... application/mp3

Я угадаю мелодию с одной ноты, не?

PhoenixUA

Код: acl requestmimeblock req_mime_type -i ^application/mp3$
http_access deny requestmimeblock

вышла новая книга
Squid Proxy Server 3.1: Beginner's Guide
https://www.packtpub.com/squid-proxy-server-31-beginners-guide/book

bugmenot121
Сильно...

Цитата:

€35.69 save 43%

bugmenot121
омг... особенно с названием
Цитата:

Beginner's Guide

. . .
Для начала достаточно тонн HOWTO в инете + всевозможные FAQ. А дальше уже накопленные знания и курение документации, она на squid-cache.org весьма не плохая.
ИМХО, имело бы ценность состряпать практический справочник с разбором сложных и не стандартных примеров.

p.s. и картинку надо было более кальмарную ставить на обложку)))

Народ! Вопрос на засыпку. Есть ли способ на Squid'e каким-либо способом запретить возможность передачи файлов через ICQ-клиенты?