» SQUID (только под *nix)

ANTRAMABANAKAN
Цитата:

как надо пересобрать squid?

1. Скачать с офсайта сырцы.
2. Следуя инструкции Compiling Squid скомпилировать бинарник.
3. Остановить сквид
4. Заменить имеющийся бинарник (обычно это /usr/local/squid/sbin/squid ) свеже скомпиленным.
5. Запустить сквид

проблема в том что у меня squid стоит в /etc/squid а когда я компилирую оно ставится в /usr/local/squid....
можно ли заменить /etc/squid/sbin/squid на /usr/local/squid/sbin/squid

ANTRAMABANAKAN
Цитата:

можно ли заменить /etc/squid/sbin/squid на  /usr/local/squid/sbin/squid  

Можно. При конфигурации можно указать
./configure --prefix=/etc/squid
и тогда все поставится в /etc/squid

Всем добрый вечер, прошу проконсультировать по вопросу настройки сквида. Установил себе Freebsd, поднял на ней шлюз и все что нужно для работы с инетом. Но вот возник сразу косяк, очень долго инет идет через шлюз, у меня два канала , один просто стоит роутер, а второй как раз шлюзак и вот инет через шлюз ну прямо сильно заметно что тупит, а когда на него сажаю юзеров 5-7 то он просто отказывается работать, хотя проц он не грузит, настройки все по умолчанию стоят. Мне по сути от сквида нужно что бы он фиксировал кто куда ходит и что бы я мог заблочить определенные сайты определенным ip т.е. минималистические задачи. Конфиг squid прилагаю чуть ниже
[more]
http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icp_access allow localnet
icp_access deny all
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
cache_dir ufs /var/squid/cache 1024 16 256
access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
logfile_rotate 30
pid_filename /var/squid/logs/squid.pid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
acl manager-ban src 192.168.20.243
acl ban-site url_regex vkontakte.ru odnoklasniki.ru facebook.com anonimvk.ru music.yandex.ru
acl VIP src 192.168.20.243
http_access allow VIP
http_access deny ban-site
http_access allow manager-ban
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
broken_vary_encoding allow apache
ignore_expect_100 on
coredump_dir /var/squid/cache
[/more]
За ранее спасибо!!!!!!!!

nibbl На предыдущей странице темы посмотри совет ipmanyak по поводу отключения кэша, там же ссылка на анализ быстродействия сквида.

vlary
что то по той ссылки ни чего не нашел ((((((

nibbl сборка и настройка с отключением дискового кэша зависит от версии сквида , дока здесь
Can I make Squid proxy only, without caching anything?
Добавил в шапку, с появлением безлимитных тарифов вопрос стал актуальным.

ipmanyak
моя версия Squid 2.7
т.е. как я понимаю надо вписать в конфиг
cache deny all
cache_dir null /tmp



Добавлено:
кстати решил вставить данные строки в конфиг и получил это
2011/05/04 18:13:30| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 22: cache deny all
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.

nibbl
Цитата:

ACL name 'all' not defined!

Видимо, где-то у тебя в конфиге пропала строчка
acl all src all
Либо если вдруг новый сквид перестал понимать all,
замени на acl all src 0.0.0.0/0.0.0.0

не она чисто ругается на cache deny all , потому как я изменил acl all src 0.0.0.0/0.0.0.0 и переконфигурировал squid он все равно выдает такую же ошибку.

Кстати как парадокс у меня очень страннная вещь, может она что то прояснит, я замеряю скорость через яндекс интернет и вот такие цифры 10695/288 кб.сек т.е. исходящий с десятки раз быстрее входящего хотя канал у меня 10 мб сек туда-сюда (что может так резать скорость ?)

nibbl
странно, если по прежнему ругается на all. Удалите эту строчку и заново вручную её пропишите, НЕ КОПИРОВАТЬ!
(я надеюсь вы acl объявляли до строки запрета?)

По поводу трафика - ну наверное всё-таки входящий быстрее исходящего в десятки раз, а не наоборот... Ну так у многих гавнопровайдеров так - вы платите за входящую скорость - исходящая вам в принципе "не требуется". По крайней мере им выгодно так считать и ваш с ними договор это учитывает...

nibbl
cache deny all у вас стоит выше чем объявлен acl all src 0.0.0.0/0.0.0.0
переместите acl all src 0.0.0.0/0.0.0.0 выше чем cache deny all или наоборот

подскажите что поставить на линуксе или как настроить SQUID, что бы сниффить логины/пароли?

q111111
Вы явно ошиблись темой... Вам в андеграунд и там узнавать про Ettercap, и прочие...

Alukardd

Цитата:

Вы явно ошиблись темой... Вам в андеграунд и там узнавать про Ettercap, и прочие...

т.е. в самом сквиде не возможно получить пароли из проходящего через него траффика?

q111111
squid - это прокси-сервер, а не сниффер!!!
Нет, ну я могу предположить такую возможность 2 путями: 1 - модификация исходников кальмара. 2 - использование редиректора.

Цитата:

т.е. в самом сквиде не возможно получить пароли из проходящего через него траффика?

Можно. Если пароли передаются в GET-параметрах в открытом виде. На сегодняшний день это фантастика, такого не бывает. Но многие сайты в GET-параметре передают сессионный ключ без привязки к айпишнику пользователя, так, что скопировав ссылку, можно попасть в профиль пользователя. Этим раньше страдали одноклассники, хабрахабр и некоторые другие ресурсы, такое еще можно встретить в логах сквида.

А вам, молодой человек, неплохо бы подучить русский, а также научиться корректно и внятно задавать вопросы.

Всем привет! Тема такая:
SQUID стоит как нижестоящий в цепочке прокси. Настроен на родительский с помощью параметра
cache_peer <IP_parent_proxy> parent 3128 3130 login=user:password
Но настройки DNS нигде не прописаны, ни в squid.conf ни в resolv.conf. И в браузере на клиенте инета нет. Жалуется что не может разрешить доменное имя:

ERROR
The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: http://nix.ru/

Unable to determine IP address from host name "nix.ru"

The DNS server returned:

Timeout

This means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.

Your cache administrator is webmaster.

Generated Sat, 14 May 2011 11:16:44 GMT by data (squid/2.7.STABLE7)

До этого на Виндовой машине стояла программа Proxy+, которая также была направлена на тот же родительский прокси. Через нее инет работал, хотя явно указанного DNS нигде нет.
Вот главный вопрос: может ли SQUID делать днс-запросы через вышестоящий прокси?

IlyaSwan
Цитата:

Но настройки DNS нигде не прописаны, ни в squid.conf ни в resolv.conf.

В squid.conf этого и быть не должно. А вот что мешает прописать DNS сервера в resolv.conf? Религия?
На клиентах DNS сервера тоже должны быть прописаны, если их автоматически не выдает DHCP сервер.

vlary
Я же не случайно задал такой вопрос.
Видимо вы невнимательно squid.conf изучали:
http://break-people.ru/cmsmade/index.php?page=translate_squid_conf_file_section_dns
Я бы прописал в resolv.conf, да вот админа найти не могу, чтобы спросить, а трубку он не берет.
Также под виндой Proxy+ работает как нижестоящий без всяких днс. А на клиентах ДНС прописывать необязательно (на них только адрес и маска сети по DHCP раздаются если уж на то пошло), поскольку браузер через прокси работает, SQUID сам способен кешировать днс-запросы.

IlyaSwan
Цитата:

Видимо вы невнимательно squid.conf изучали

Да нет, это вы его невнимательно изучали.
Цитата:

Примечание: Этот тэг доступен только, если Squid скомпилирован с опцией --disable-internal-dns option

По умолчанию SQUID использует системный ДНС.
Цитата:

А на клиентах ДНС прописывать необязательно (на них только адрес и маска сети по DHCP раздаются если уж на то пошло)

Необязательно, если они его по DHCP получают, иначе нужно руками прописывать. Кроме броузера, ДНС еще и другие программы используют.

Да мне НЕ НАДО, чтобы другие программы использовали ДНС. Нужно, чтобы ТОЛЬКО в браузере на клиенте страницы открывались (вот главная задача). А они без ДНС открываются, если в браузере прописать прокси (вы читаете что ли невнимательно, уже второй раз пишу об этом).
Что же тогда получается, что какая-то Proxy+ (http://www.proxyplus.cz/) "делает" SQUID по функционалу? Или же все-таки я неправильно SQUID "натравил" на родительский прокси?
Вот, кстати нашел ссылку час назад, ситуация очень на мою похожа:
http://www.opennet.ru/openforum/vsluhforumID12/4308.html
Только мне прозрачный прокси не требуется. Вобщем реализовать такую схему: клиенты-браузеры (моя локалка) - SQUID1 (мой) - SQUID2 (с авторизацией, общий для предприятия) - дальше по цепи возможно еще что-то, я не знаю (админа поймать никак не могу).
Еще раз подчеркну, что ДНС-серверы не указаны ни на одном клиенте, ни на самой машине, где стоит Proxy+, но при этом инет работает в браузерах.
Я просто хочу шлюзовать сетку через Линукс-сервер - Ubuntu 10.04.2, в настоящий момент прокси стоит на виндовой машине, которая рабочая и на которой и так куча всего делается и хранятся документы. Если через нее все в инет будут ходить, то она вообще захлебнется. Кроме того, этот Proxy+ мне не понравился. Его админ поставил, он в Линуксе ни бум-бум, однако ему дали тоже сервак со Сквидом, показали там пару телодвижений в нем, но в общем и целом он не представляет как чего работает. Только ставит в подразделения этот Proxy+ и настраивает его на родительский, на котором Сквид стоит..

IlyaSwan
Покажи ipconfig /all с машины с Proxy+ а то что то гложут сомнения.

IlyaSwan

Цитата:

Да мне НЕ НАДО, чтобы другие программы использовали ДНС. Нужно, чтобы ТОЛЬКО в браузере на клиенте страницы открывались (вот главная задача). А они без ДНС открываются, если в браузере прописать прокси

В случае, если, вы не можете изменить resolv.conf, то как вы правильно заметили, возможно прописать адреса сервера имен в squid.conf, например:
dns_nameservers 8.8.8.8 8.8.4.4

ginger
Я могу изменить resolv.conf, дело в том что я не знаю адрес DNS-сервера, но и без него работает, только через Proxy+, что под виндой
Ruza
ipconfig /all выложу завтра

IlyaSwan
Вам мало OpenDNS, GoogleDNS и других открытых DNS серверов? ginger в примере указала именно гуглосервера, так что её строчка полностью рабочая...

Alukardd
ginger
Я согласен, что строчка рабочая, но лишь там она рабочая, где днс-запросы шлюзуются в инет. Блин, ну вот вы никак не поймете, что выход в инет осуществляется через общекорпоративный прокси, все что я о нем знаю - так это то, что он под линуксом со squid'ом, и напрямую форвардом днс-запросы похоже не проходят, уже и порты сканил и телнетил разные известные мне днс-серверы, безуспешно. Ладно, сегодня доберусь до машины, где стоит Proxy+ и гляну там ipconfig /all, а также настройки самой Proxy+.
В возможностях SQUID заявлено, что он способен кешировать днс-запросы, т.е. по идее он сам должен перенаправлять эти запросы к вышестоящему прокси или же получать их от днс-сервера? Вот вопрос. Кто знает?

Добавлено:
У меня вот одна мысль тут появилась. Ведь у меня СКВИД из убунтовсих репов стандартный без dnsserver (это говорят фишка последних версий СКВИДА - собирать без встроенного ДНС сервера). Так он наверно из-за этого запросы у вышестоящего не кеширует и не пересылает, этим должен встроенный dnsserver заниматься, если нет системного, или в resolv.conf пусто.

В общем встретился сегодня с админом. Мы с ним все сделали. ДНС действительно в сетке не было. Вернее конечный роутер, который в инет смотрит и был ДНС-сервером. Главный прокси стоит на серваке (Ubuntu 9.10) с тремя интерфейсами, один из которых смотрит в роутер (интернет), два другие в подсети. Мы установили на него dnsmasq, причем даже не настраивали, он по-умолчанию сразу начинает работать как кеширующий днс-сервер, запросы перенаправляет на сервер, указанный в resolv.conf, который мы заполнили.
А то, что прокси+ обрабатывал днс-запросы а сквид нет, объясняется моей вышеозвученной мыслью, то есть что в СКВИДЕ нет в сборке по умолчанию встроенного кеширующего ДНС сервера. Себе на сервак также установил dnsmasq, чтобы он кешировал заросы от моей локалки.
Альтернативой было удалить сквид и скомпилировать с поддежкой интернал ДНС, но у меня и так дел хватает, да и админ был не против, чтобы у него был также ДНС-сервер в сети.

IlyaSwan
Цитата:

В общем встретился сегодня с админом. Мы с ним все сделали.

Это я, как правило, обычно в таких случаях и советую. Если админ адекватный, помогает 100%.

День добрый, возникла проблема с сквидом на некоторых сайтах. Конкретно не работают yaplakal.com, rutracker.org, login.rutracker.org, другие не замечал. При попытке зайти на эти сайты, сквид долго-долго тупит - 1-2 минуты, и потом вываливает сообщение сабжа.

Система: KVM, в виртуалке Ubuntu 10.04, ядро 2.6.32-25-server. Squid самособранный 3.1.9, из опций только --enable-linux-netfilter Клиенты сквида сидят через Tproxy. Дело в том, что все работало замечательно, пока не сделал apt-get upgrade. По крайней мере - самое явное, что я делал на машине. Копая дальше в суть проблемы, на сервере запускаю консольный браузер links login.rutracker.org - ошибка "Error reading from socket". rutracker.org - появляется только надпись "BitTorrent treker RuTracker.org" и больше ничегоне происходит.

Другие сайты вроде нормально открываются и на сервере, и на клиенте. Также, при указании вручную прокси сервера в браузере - тоже, все работает на ура. (очень странно)

Подскажите, в какую сторону смотреть