» SQUID (только под *nix)

vlary

Цитата:

генератор случайных чисел даст 100 очков вперед

ну, я бы не стал так драматизировать, лет 5 назад использовал wrspy для отчетов, он это поле считает и вставляет в отчет что-то вроде как "время проведенное в интернет", сногсшибательных цифирь там не было

Ну, коррееляция между тем, сколько времени человек тратит на интернет, и сколько времени тратит сквид на его запросы, весьма условная, и я лично не стал бы на это полагаться. Но если товарисч знает толк в извращениях, то флаг ему в руки.

Я сообразил, где надо учитывать время потраченное на выполнение запроса - типа как раньше инет был по карточкам с почасовой оплатой... Только там считалось все время конекта...

p.s. пздц, с телефона запарно текст строчить, но комп уже лень включать...

Олл, а поделитесь, у кого какие значения minimum_object_size и maximum_object_size в сабже установлены? А то что-то с современным зло@бучим говнобаннерным флэшом и аяксом интерактивным контентом на страницах хитрейт никакой, и сквид стал бутылочным горлышком - без него страницы открываются значительно быстрее. Или лучше совсем отключить кэширование и оставить только acl? Жду рекомендаций лучших кальмароводов

Boris_Popov
В топку кэш!!!

Достаточно конкретная проблема:
1. Java Update
2. FreeBSD 7.2
3. Squid 2.6
4. На squid'e настроена LDAP-авторизация.

При попытке java обновиться - отлуп. Причём на стадии скачки дистрибутива-обновления.
Сначала вылезает что не может чего-то сделать с каким-то файликом xml на url java, потом - что не может закачать msi.

Никто не сталкивался?

И как вариант решения: есть возможность, не поднимая NAT на FreeBSD, пропустить запрос к определенному url мимо squid, и, соответственно, минуя авторизацию? Проблема осложнена тем, что после машины со squid стоит маршрутизатор Cisco, который принимает запросы только от машины со squid'ом.ё

достаточно стандартный метод подхода к решению проблем:
смотрим в журнал(ы)

gloomymen
А в журналах всё как надо - как будто ничего и не происходит необычного... ну, прошёл запрос... отдалась страница... а ошибку-то выдаёт уже установщик java-update...

значит поднимайте nat, получайте ту же самую ошибку, и делайте выводы)

C NAT этой проблемы попросту нет... а в силу неважночего постоянно поднятый NAT мне держать заказано. Потому и спрашиваю - есть ли возможность обхода squid и его авторизации средствами самого squid?

slegach
Цитата:

а ошибку-то выдаёт уже установщик java-update...

Установщик java-update берет настройки прокси из настроек java в Панели управления. Там все настроено как надо?

Цитата:

есть ли возможность обхода squid и его авторизации средствами самого squid?

все возможности в squid.conf

vlary
Естественно... он и авторизацию вроде как на проксе проходит... и даже закачивать начинает чего-то там себе (пред-установщик, похоже)... докачивает, запускает этот предустановщик, который, в свою очередь, должен обратиться к какому-то xml-файлу, а потом закачать msi и запустить его... вот тут-то грабли и вылазят. Доступ через squid к этому xml почему-то не пролазит - и всё тут. Хоть убейся. Ну и, соответственно, msi не закачивается и не запускается... : /

Цитата:

А в журналах всё как надо - как будто ничего и не происходит необычного... ну, прошёл запрос... отдалась страница.

Цитата:

Доступ через squid к этому xml почему-то не пролазит - и всё тут

так где же правда?

gloomymen
Так в том-то и странность - в журналах - на вот тебе, дорогой апдайтер, твой xml...
А апдайтер в ответ - а не могу я его закачать... причём, как уже говорю, зачада только через squid...

Добавлено:
"Нарыл" в нете, в чём проблема... поправил опции логов squid - понял, что частично "сам дурак", мог бы раньше увидеть...
При первом обращении к загрузке предзагрузчика авторизация на проксе проходит... а при последующих запросах - нет... т.е., при закачке уже самого пакета обновления - java-update даже не пытается авторизоваться на squid (почему - непонятно... похоже, "недодумка" апдайтера). Решение - обход squid и его авторизации для определенного url.
Повторюсь, может - кто-то может подсказать, в сторону чего копать в squid.conf, с целью обойтись без NAT?

Даже, думается, не java-update, а предзагрузчик, который пытается закачать сам пакет обновления, вроде как и не знает ничего ни про какую проксю... соответственно, не авторизуется на ней, и получает отлуп...

Цитата:

понял, что частично "сам дурак"

отож) обычное дело
вам vlary написал где копать, удачи

Всем привет. Люди в чем может быть проблема? тестирую скорость через шлюз (freebsd 7.4 + squid 2.7) и скорость 13 на 3 мб, а если на прямую то скорость 14 на 10, почему так скорость режется на участке передачи?
Настройки сквида прилагаю чуть ниже.

[more]# WELCOME TO SQUID 2
# ------------------

# NETWORK OPTIONS
http_port 127.0.0.1:3128 transparent
http_port 192.168.1.254:3128
http_port 3128

coredump_dir /var/squid/cache
pid_filename /var/squid/logs/squid.pid
ignore_expect_100 on

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/squid/cache 2048 16 256
cache_access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
#cache_store_log /var/squid/logs/store.log

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#Suggested default:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

visible_hostname mail.riga.ru

logfile_rotate 30

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http



# access
http_reply_access allow all
icp_access allow all
[/more]

petyp
Это весь конфиг??? оО
И кстати почему и фря и кальмар старых версий??? Кальмар так особенно состарился...

ну т.к. до этого имел дело с фрюхой и кальмаром старой версии, то и поставил их.
А это какое то имеет значение в моем случае???

Ну конфиг так сказать минимальной конфигурации. Мне по сути важно что бы фиксировались все входы пользователей на сайты и что бы можно было их блочить (ну это на первых парах)

Так что посоветуйте на данный момент???

petyp
Зачем описано куча acl и к ним ни единого http_access я вообще не думал что он так запустится...
Squid 2 и 3 вроде оба развиваются параллельно.
Вообще я не вижу причин для падения скорости на upload... Вы чем замеряли? Download практически не изменилась...

замеряю speedtest.net

да acl там много , но я просто вязл рабочий конфиг с другой фрюхе и повырезал от туда лишние. Так какое заключение по поводу upload. ????

petyp
Цитата:

какое заключение

гуглить вы не умеете - вот оно заключение!!! Ссылка
Вот прямая ссылка на пост с ответом.

Boris_Popov
Смена squid с версии 2.7 на 3.1 дает очень большой выигрыш по кэшированию
с 12-17% процентов за неделю в 2.7
до 35-40% процентов за неделю в 3.1
только надо внимательно работать с обцией refresh_pattern и занести туда самые популярный сайты
ради статистики www.yandex.ru у меня задень скачивают до 60-70 мегобайт (у многих стоит как стартовая страница)
так вот www.yandex.ru у меня по кэшу 96-97% (тоесть почти стопроценто скачивается из кэша)

про те обции сто ты спрашивал

minimum_object_size 512 bytes # не кэшируем файлы меньше 512 байт
maximum_object_size 70 MB # не кэшируем файлы больше 70 мегобайт

Люди столкнулся с такой непонятной проблемой, захожу в sarg и там в отчетах почему то, вместе с моими внутренними ip стоят и еще какие то внешний ip. Что это значит????

petyp

Цитата:

Люди столкнулся с такой непонятной проблемой, захожу в sarg и там в отчетах почему то, вместе с моими внутренними ip стоят и еще какие то внешний ip. Что это значит????

Скорее всего порт прокси доступен снаружи и кто-то его использует

petyp Сделай grep акцесс-лога по значению этого айпи, и посмотри конкретно, что он пытался скачать и какой ответ получил. Если его бортануло, то нормальный случай, ребята ищут открытые прокси. А если сквид запрос удовлетворил, тогда смотри, где в акцесс-листах дырка.

действительно squid был дырявый.... сделал в ipfw блокировку порта 3128 и все ок.

созрела пара вопросов по sqid - можно ли сделать лист (в txt формате) с сайтами, чтоб ручками не прописывать, что в такое то время дать досутп к одноклассникам, вконтакте, моему миру и прочей лабуде (а то тормозить будет???)?

и ещё один вопрос: надо отрубить инет на ночь (18:10-23:59 ; 00:00-7:50)
если я время прописал под именами off1 и off2 можно не указывать подсети (типа office и administration) а просто тупо написать
http_access deny all off1
http_access deny all off2 ???


PS сильно ногами не бейте и не указывайте на поиск

DeniSenKo1994
Цитата:

можно ли сделать лист (в txt формате) с сайтами, чтоб ручками не прописывать

Можно.

Цитата:

PS сильно ногами не бейте и не указывайте на поиск

Без всякого поиска. Изучай файл squid.conf, там в комментариях все написано в виде примеров. Занятие, конечно, малоприятное, но полезное, ибо разобраться в конфигурации Сквида надо, никто ее тебе вместо тебя писать не будет.

Спасибо, да пока не ставил - дома нахожусь, а потом стяну файлик - почитаю