Ничего не понял, там ни слова про прокси, и selinux итд у меня выключены.
» SQUID (только под *nix)
usertum
Вот и я не пойму каким боком squid к файловым дескрипторам?
Цитата:
Цитата:
Вот и я не пойму каким боком squid к файловым дескрипторам?
Цитата:
там ни слова про прокси
Цитата:
Squid increase the maximum file descriptors
First, update /etc/security/limits.conf file:
# vi /etc/security/limits.conf
Append following line to increase current limit from 1024 to 4096:
* - nofile 4096
Save and close the file. You must re-login to check new limits:
# ulimit -a | grep 'open files'
Sample output:
open files (-n) 4096
Next you need to set the maximum number of open file descriptors by modifying squid proxy server configuration as per your Linux distribution.
Set max_filedesc under RHEL / Red Hat / CentOS / Fedora Linux
Stop the Squid as changes of this value isn't respected by reconfigure command. This value should be changed only if there isn't any active squid process.
# service squid stop
Open /etc/squid/squid.conf file
# vi /etc/squid/squid.conf
Append / add / modify max_filedesc directive:
max_filedesc 4096
Save and close the file. Start the squid proxy server:
# service squid start
Now again run squidclient command or check log files for messages:
# squidclient mgr:info
Вопрос
petyp
Кэш действительно не нужен уже давно, и даже если у вас adsl и трафик считается, то это не сильно поможет.
Хотя такой маленький кэш ни на что не виляет. Покажите вывод df -h - похоже что место на винте в принципе заканчивается, у меня было такое только виновником был не squid.
petyp
Кэш действительно не нужен уже давно, и даже если у вас adsl и трафик считается, то это не сильно поможет.
Хотя такой маленький кэш ни на что не виляет. Покажите вывод df -h - похоже что место на винте в принципе заканчивается, у меня было такое только виновником был не squid.
Приветствую! Просьба для знатоков Squid'а. Подскажите, пожалуйста, как сконфигурить перенаправление на splash_page ТОЛЬКО для браузера (ну или хотябы для того, кто представился браузером 
). Сейчас перенаправление работает для всех запросов, не только браузерных, вот кусок конфига:
external_acl_type splash_page ttl=2 concurrency=100 %SRC /lib/squid/ext_session_acl -t 10 -b /tmp/session.db
acl existing_users external splash_page
deny_info http://www.*******.com/coming_soon/ existing_users
http_access deny !existing_users
Squid Cache: Version 3.2.0.15
Собственно, как сделать такую же лопату, но чтоб она работала только для браузеров?
). Сейчас перенаправление работает для всех запросов, не только браузерных, вот кусок конфига: external_acl_type splash_page ttl=2 concurrency=100 %SRC /lib/squid/ext_session_acl -t 10 -b /tmp/session.db
acl existing_users external splash_page
deny_info http://www.*******.com/coming_soon/ existing_users
http_access deny !existing_users
Squid Cache: Version 3.2.0.15
Собственно, как сделать такую же лопату, но чтоб она работала только для браузеров?
kym_root Поставь acl aclname browser перед external splash_page
Цитата:
kym_root Поставь acl aclname browser перед external splash_page
А можно по-подробней в этом месте?
возможно ли средствами Squid или какого либо редиректора изменить часть URL, например: при обращении к http://site.com/34/223433/4444/lalalala редиректна http://site.com/34/223433/4444 (удалить lalalala)
drsmoll
Цитата:
Цитата:
Пишешь на Perl простейший скриптик, вставляешь в конфиг
Код: redirect_program /etc/squid/custom_redirect.pl
redirect_children 5
Цитата:
возможно ли средствами Squid или какого либо редиректора изменить часть URLFrom Squid FAQ,
Цитата:
The redirector program must read URLs (one per line) on standard input, and write rewritten URLs or blank lines on standard output. Note that the redirector program can not use buffered I/O. Squid writes additional information after the URL which a redirector can use to make a decision.
The format of the line read from the standard input by the program is as follows.
1 URL ip-address/fqdn ident method
2 # for example
3 http://saini.co.in 172.17.8.175/saini.co.in - GET -
Пишешь на Perl простейший скриптик, вставляешь в конфиг
Код: redirect_program /etc/squid/custom_redirect.pl
redirect_children 5
Существует задача сделать прозрачный прокси сервер, который бы мог работать с вышестоящим прокси сервером, на котором включена digest аутентификация.
Подробнее.
Существует прокси сервер (proxy1) исключительно с digest аутентификацией (DA), через который клиенты выходят в инет, используя логин и пароль. DA поддерживается далеко не всеми приложениями и поэтому возникают сложности при решении сетевых задач. Сменить политику авторизации на прокси нельзя.
Стоит задача поставить между пользователем и proxy1, прокси сервер (proxy2). Который бы умел:
- со стороны пользователя иметь авторизацию basic (которая поддерживается гараздо шире), либо вообще быть прозрачным.
- со стороны proxy1 уметь автоматически авторизовываться DA (используя известный логин и пароль) и поддерживать соединение прозрачно для пользователя.
Что уже попробовал: squid, polipo - все они могут работать с родителским прокси, но поддерживают только basic авторизацию при работе с ними.
Облазил весь инет - переодически возникают такие вопросы - решений нет.
Возможно кто то сталкивался с подобным, или есть мысли на эту тему. Просьба поделиться...
PS: Подозреваю что можно как-то к squid-у привязать digest parent authentication, но как пока мыслей нет.
Подробнее.
Существует прокси сервер (proxy1) исключительно с digest аутентификацией (DA), через который клиенты выходят в инет, используя логин и пароль. DA поддерживается далеко не всеми приложениями и поэтому возникают сложности при решении сетевых задач. Сменить политику авторизации на прокси нельзя.
Стоит задача поставить между пользователем и proxy1, прокси сервер (proxy2). Который бы умел:
- со стороны пользователя иметь авторизацию basic (которая поддерживается гараздо шире), либо вообще быть прозрачным.
- со стороны proxy1 уметь автоматически авторизовываться DA (используя известный логин и пароль) и поддерживать соединение прозрачно для пользователя.
Что уже попробовал: squid, polipo - все они могут работать с родителским прокси, но поддерживают только basic авторизацию при работе с ними.
Облазил весь инет - переодически возникают такие вопросы - решений нет.
Возможно кто то сталкивался с подобным, или есть мысли на эту тему. Просьба поделиться...
PS: Подозреваю что можно как-то к squid-у привязать digest parent authentication, но как пока мыслей нет.
Цитата:
DA поддерживается далеко не всеми приложениями и поэтому возникают сложности при решении сетевых задач.Вы в курсе, что squid это чистый HTTP прокси и больше ничего? Большинство программ через squid работать не будут.
ipmanyak
Цитата:
Да собственно вопрос с авторизацией к этому отношения не особо имеет.
robin7341
Что бы сиё провернуть надо скорее всего самому код пилить. Т.к. squid поддерживает в качестве клиента только basic авторизацию. Ну также он может прокидывать данные от клиента напрямую к старшему прокси, но Вас этот вариант не устраивает т.к. проблема как раз в клиенте.
Цитата:
чистый HTTP проксину зачем же так... это полноценный прокси-сервер, поддерживающий и соединения методом connect по любому протоколу. А в последней 3.3 версии ему функционал SOCKS сервера прикручивают.
Да собственно вопрос с авторизацией к этому отношения не особо имеет.
robin7341
Что бы сиё провернуть надо скорее всего самому код пилить. Т.к. squid поддерживает в качестве клиента только basic авторизацию. Ну также он может прокидывать данные от клиента напрямую к старшему прокси, но Вас этот вариант не устраивает т.к. проблема как раз в клиенте.
Alukardd
Чем дальше копаю, тем больше убеждаюсь что вы правы - придется писать самому, и задача сводится к просмотру всего трафика между проксей и клиентом, и при появлении от сервера сообщений вида:
____________
бла-бла
HTTP/1.0 407 Proxy Authentication Required
бла-бла
Proxy-Authenticate: Digest realm="Squid proxy-caching web server", nonce="JHJ1T0BpFAmaebNt", qop="auth", stale=false
бла-бла
____________
Брать имя, пароль, nonce, высчитывать по ним response и отправлять проксе что то вида:
____________
бла-бла
Proxy-Authorization: Digest username="proxy_user", realm="Squid proxy-caching web server", nonce="JHJ1T0BpFAmaebNt", uri="/", response="6ba70122c874affecf2726341c5938e5", qop=auth, nc=00000001, cnonce="082c875dcb2ca740"
бла-бла
____________
Осталось только механизм авторизации проштудировать на тему, запрос-ответ происходит один раз или переодически прокся перезапрашивает пользователя по схеме nonce/response. Но это уже другая история и к теме squid отношения не имеет.
Чем дальше копаю, тем больше убеждаюсь что вы правы - придется писать самому, и задача сводится к просмотру всего трафика между проксей и клиентом, и при появлении от сервера сообщений вида:
____________
бла-бла
HTTP/1.0 407 Proxy Authentication Required
бла-бла
Proxy-Authenticate: Digest realm="Squid proxy-caching web server", nonce="JHJ1T0BpFAmaebNt", qop="auth", stale=false
бла-бла
____________
Брать имя, пароль, nonce, высчитывать по ним response и отправлять проксе что то вида:
____________
бла-бла
Proxy-Authorization: Digest username="proxy_user", realm="Squid proxy-caching web server", nonce="JHJ1T0BpFAmaebNt", uri="/", response="6ba70122c874affecf2726341c5938e5", qop=auth, nc=00000001, cnonce="082c875dcb2ca740"
бла-бла
____________
Осталось только механизм авторизации проштудировать на тему, запрос-ответ происходит один раз или переодически прокся перезапрашивает пользователя по схеме nonce/response. Но это уже другая история и к теме squid отношения не имеет.
Написал скрип на perl для подсчёта экономии на кешировани по логам Squida. Не совсем уверен в том что он правильно всё считает. Прошу посмотреть знающих.
Код:
#!/usr/bin/perl
print "Content-type: text/html\n\n";
open(access_log, "<access.log");
flock(access_log, 1);
$size = 0;
$zaprosov_vsrgo = 0;
$zaprosov_hit = 0;
$hit_size = 0;
while (<access_log>) {
$zaprosov_vsrgo ++;
($log_date, $log_reqtime, $log_requester, $log_status,
$log_size, $log_method, $log_url, $log_ident, $log_hierarchie,
$log_content) = split;
$size += $log_size;
($log_hitorfail)=(split(/\//,$log_status))[0];
if ($log_hitorfail =~ /^TCP\w+HIT/)
{
$zaprosov_hit++;
$links{$log_url}++;
if($log_size > $link_size{$log_url})
{
$link_size{$log_url} = $log_size;
}
$hit_size += $link_size{$log_url};
}
if ($log_hitorfail =~ /^UDP_HIT/)
{
$zaprosov_hit++;
$hit_size += $log_size;
}
}
close (access_log);
print "Запросов всего: ".$zaprosov_vsrgo;
print "<br>Запросов в кеш: ".$zaprosov_hit." (".sprintf("%.1f",($zaprosov_hit/$zaprosov_vsrgo)*100)."%)";
print "<br>Всего скаченно: ".&size_view($size);
print "<br>Скаченно из кеша: ".&size_view($hit_size)." (".sprintf("%.1f",($hit_size/$size)*100)."%)";
print "<br><br>Популярные закешированные файлы: (файл, количество запросов в кеш, размер файла, скаченно этого файла из кеша)<br>\n";
@sorted_keys = (sort {($links{$b} * $link_size{$b}) <=> ($links{$a} * $link_size{$a})} keys %links);
$i = 0;
foreach(@sorted_keys){
$i ++;
print "$_ $links{$_} ".&size_view($link_size{$_})." ".&size_view($links{$_} * $link_size{$_})."<br>\n";
if ($i > 50){last};
};
sub size_view {
$sizebuf = $_[0];
if($sizebuf >= 1073741824)
{return sprintf("%.1f GB",$sizebuf/1073741824)}
elsif($sizebuf >= 1048576)
{return sprintf("%.1f MB",$sizebuf/1048576)}
else
{return sprintf("%.1f KB",$sizebuf/1024)}
}
Код:
#!/usr/bin/perl
print "Content-type: text/html\n\n";
open(access_log, "<access.log");
flock(access_log, 1);
$size = 0;
$zaprosov_vsrgo = 0;
$zaprosov_hit = 0;
$hit_size = 0;
while (<access_log>) {
$zaprosov_vsrgo ++;
($log_date, $log_reqtime, $log_requester, $log_status,
$log_size, $log_method, $log_url, $log_ident, $log_hierarchie,
$log_content) = split;
$size += $log_size;
($log_hitorfail)=(split(/\//,$log_status))[0];
if ($log_hitorfail =~ /^TCP\w+HIT/)
{
$zaprosov_hit++;
$links{$log_url}++;
if($log_size > $link_size{$log_url})
{
$link_size{$log_url} = $log_size;
}
$hit_size += $link_size{$log_url};
}
if ($log_hitorfail =~ /^UDP_HIT/)
{
$zaprosov_hit++;
$hit_size += $log_size;
}
}
close (access_log);
print "Запросов всего: ".$zaprosov_vsrgo;
print "<br>Запросов в кеш: ".$zaprosov_hit." (".sprintf("%.1f",($zaprosov_hit/$zaprosov_vsrgo)*100)."%)";
print "<br>Всего скаченно: ".&size_view($size);
print "<br>Скаченно из кеша: ".&size_view($hit_size)." (".sprintf("%.1f",($hit_size/$size)*100)."%)";
print "<br><br>Популярные закешированные файлы: (файл, количество запросов в кеш, размер файла, скаченно этого файла из кеша)<br>\n";
@sorted_keys = (sort {($links{$b} * $link_size{$b}) <=> ($links{$a} * $link_size{$a})} keys %links);
$i = 0;
foreach(@sorted_keys){
$i ++;
print "$_ $links{$_} ".&size_view($link_size{$_})." ".&size_view($links{$_} * $link_size{$_})."<br>\n";
if ($i > 50){last};
};
sub size_view {
$sizebuf = $_[0];
if($sizebuf >= 1073741824)
{return sprintf("%.1f GB",$sizebuf/1073741824)}
elsif($sizebuf >= 1048576)
{return sprintf("%.1f MB",$sizebuf/1048576)}
else
{return sprintf("%.1f KB",$sizebuf/1024)}
}
Agran При нынешних скоростях, ценах на интернет и характере трафика кэширование потеряло свою актуальность. Практически все, кто отмечался в данной теме, утверждали, что давно перестали его использовать.
Ты можешь, конечно, попытаться удивить нас цифрами, типа 50% экономии, но это будет либо чисто специфика вашего трафика, либо ошибка подсчета.
Ты можешь, конечно, попытаться удивить нас цифрами, типа 50% экономии, но это будет либо чисто специфика вашего трафика, либо ошибка подсчета.
vlary 50% нету, но до 17% доходит. Там где я работаю (в провинции) такая экономия весьма актуальна.
Agran
Это очень большая цифра, можно нам список основных посещаемых ресурсов, если не секрет, конечно? Вообще в современном мире, кэш для многих ресурсов только вредит, взять этот форум - можно долго видеть что никто не отвечает, наблюдая закэшированную страницу, а потом удивиться увидев с пяток ответов разом...
Это очень большая цифра, можно нам список основных посещаемых ресурсов, если не секрет, конечно? Вообще в современном мире, кэш для многих ресурсов только вредит, взять этот форум - можно долго видеть что никто не отвечает, наблюдая закэшированную страницу, а потом удивиться увидев с пяток ответов разом...
Alukardd
Пока очень мало данных для выводов. В популярных файлах в основном автоматические обновления используемых программ, а так же статические файлы js и картинки с популярных сайтов. Так же замечены тяжёлые flv-файлы от флешевых видеореклам.
Пока очень мало данных для выводов. В популярных файлах в основном автоматические обновления используемых программ, а так же статические файлы js и картинки с популярных сайтов. Так же замечены тяжёлые flv-файлы от флешевых видеореклам.
Народ. Заметил интересную особенность.
Сквид3 с авторизацией на базе ЛДАП.
Если человек идёт на сайт по ССЛ – авторизацию не спрашивает. Есть у кого-то мысли, как это вылечить? Запретить 433 и 4343 ?
Конфиг:
Код:
#Port Squid
http_port 8080
# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
# TAG: cache_mem (bytes)
cache_mem 256 MB
# TAG: maximum_object_size_in_memory (bytes)
maximum_object_size_in_memory 250 KB
# DISK CACHE OPTIONS
# --------------------------------------------------------------------
# TAG: cache_dir
cache_dir ufs /etc/squid3/cache 1024 16 256
# TAG: minimum_object_size (bytes)
#Default:
minimum_object_size 10 KB
# TAG: maximum_object_size (bytes)
#Default:
maximum_object_size 32 MB
# TAG: cache_swap_low (percent, 0-100)
# TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95
# TAG: cache_mgr
cache_mgr ****
# TAG: access_log
access_log /var/log/squid3/access.log squid
#-------setings for AD/LDAP
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -D \
yul-squid@domain.local -w pass -b dc=domain,dc=local -f \
"sAMAccountName=%s" 10.68.2.226
external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -s sub -b "dc=Domain,dc=local" -f \
"(&(sAMAccountName=%v)(memberOf=cn=%a,OU=YUL_inet_access,OU=Groups,OU=YUL,OU=SG_Ukraine,DC=Domain,DC=local))" -D yul-squid@domain.local -w Pass 10.68.2.226
#---------------ACL's
#ACL for unlim access
acl Full_Inet external ldap_users YUL_inet_full_access
#ACL for users_access
acl Users_Inet external ldap_users yul_users_inet
# acl for intranet/etc sites
acl intranet dstdomain \
"/etc/squid3/allow_urls.txt"
# acl for deny media files.
acl deny_media url_regex \
"/etc/squid3/deny_media.txt"
# acl for deny media files.
acl deny_word_in_urls url_regex \
"/etc/squid3/deny_word_in_urls.txt"
# acl for deny urls
acl deny_urls dstdomain \
"/etc/squid3/deny_urls.txt"
#ACL for services
acl services dst \
"/etc/squid3/allow_serives.txt"
#ACL for microsoft.com
acl acl_microsoft.com dstdomain .microsoft.com
#-----------------PORTS
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 4343 # https
acl UnSafe_ports port 21 # ftp
acl UnSafe_ports port 70 # gopher
acl UnSafe_ports port 210 # wais
acl UnSafe_ports port 1025-65535 # unregistered ports
acl UnSafe_ports port 280 # http-mgmt
acl UnSafe_ports port 488 # gss-http
acl UnSafe_ports port 591 # filemaker
acl UnSafe_ports port 777 # multiling http
acl CONNECT method CONNECT
#sqstat
acl manager proto cache_object
acl localhost src 10.68.2.177/32
http_access allow manager localhost
http_access deny manager
#Access config
http_access allow CONNECT
http_access allow services all
http_access allow localhost
http_access allow intranet all
http_access allow Full_Inet all
http_access allow acl_microsoft.com all
http_access deny deny_word_in_urls
http_access deny deny_media
http_access deny deny_urls
http_access deny Users_Inet !Safe_ports
http_access allow Users_Inet
http_access deny all
Сквид3 с авторизацией на базе ЛДАП.
Если человек идёт на сайт по ССЛ – авторизацию не спрашивает. Есть у кого-то мысли, как это вылечить? Запретить 433 и 4343 ?
Конфиг:
Код:
#Port Squid
http_port 8080
# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
# TAG: cache_mem (bytes)
cache_mem 256 MB
# TAG: maximum_object_size_in_memory (bytes)
maximum_object_size_in_memory 250 KB
# DISK CACHE OPTIONS
# --------------------------------------------------------------------
# TAG: cache_dir
cache_dir ufs /etc/squid3/cache 1024 16 256
# TAG: minimum_object_size (bytes)
#Default:
minimum_object_size 10 KB
# TAG: maximum_object_size (bytes)
#Default:
maximum_object_size 32 MB
# TAG: cache_swap_low (percent, 0-100)
# TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95
# TAG: cache_mgr
cache_mgr ****
# TAG: access_log
access_log /var/log/squid3/access.log squid
#-------setings for AD/LDAP
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -D \
yul-squid@domain.local -w pass -b dc=domain,dc=local -f \
"sAMAccountName=%s" 10.68.2.226
external_acl_type ldap_users %LOGIN /usr/lib/squid3/squid_ldap_group -R -s sub -b "dc=Domain,dc=local" -f \
"(&(sAMAccountName=%v)(memberOf=cn=%a,OU=YUL_inet_access,OU=Groups,OU=YUL,OU=SG_Ukraine,DC=Domain,DC=local))" -D yul-squid@domain.local -w Pass 10.68.2.226
#---------------ACL's
#ACL for unlim access
acl Full_Inet external ldap_users YUL_inet_full_access
#ACL for users_access
acl Users_Inet external ldap_users yul_users_inet
# acl for intranet/etc sites
acl intranet dstdomain \
"/etc/squid3/allow_urls.txt"
# acl for deny media files.
acl deny_media url_regex \
"/etc/squid3/deny_media.txt"
# acl for deny media files.
acl deny_word_in_urls url_regex \
"/etc/squid3/deny_word_in_urls.txt"
# acl for deny urls
acl deny_urls dstdomain \
"/etc/squid3/deny_urls.txt"
#ACL for services
acl services dst \
"/etc/squid3/allow_serives.txt"
#ACL for microsoft.com
acl acl_microsoft.com dstdomain .microsoft.com
#-----------------PORTS
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 4343 # https
acl UnSafe_ports port 21 # ftp
acl UnSafe_ports port 70 # gopher
acl UnSafe_ports port 210 # wais
acl UnSafe_ports port 1025-65535 # unregistered ports
acl UnSafe_ports port 280 # http-mgmt
acl UnSafe_ports port 488 # gss-http
acl UnSafe_ports port 591 # filemaker
acl UnSafe_ports port 777 # multiling http
acl CONNECT method CONNECT
#sqstat
acl manager proto cache_object
acl localhost src 10.68.2.177/32
http_access allow manager localhost
http_access deny manager
#Access config
http_access allow CONNECT
http_access allow services all
http_access allow localhost
http_access allow intranet all
http_access allow Full_Inet all
http_access allow acl_microsoft.com all
http_access deny deny_word_in_urls
http_access deny deny_media
http_access deny deny_urls
http_access deny Users_Inet !Safe_ports
http_access allow Users_Inet
http_access deny all
me2k
добавляем в конфиг - acl authorized proxy_auth REQUIRED
И пишем перед http_access allow CONNECT строку - http_access deny !authorized.
добавляем в конфиг - acl authorized proxy_auth REQUIRED
И пишем перед http_access allow CONNECT строку - http_access deny !authorized.
Подскажите как сделать что-бы сквид обновлял листинг файлов/каталогов на FTP сразу?
Сейчас почему-то новые файлы на FTP отображаются с большой задержкой (несколько часов и более).
В тоталкоммандер стоит галка на "Получение списка файлов командой MLSD"
Спасибо.
Сейчас почему-то новые файлы на FTP отображаются с большой задержкой (несколько часов и более).
В тоталкоммандер стоит галка на "Получение списка файлов командой MLSD"
Спасибо.
FUTURiTY Давно пора отключить кэш на сквиде и не мучиться.
А кстати, ты уверен, что виноват сквид, а не локальный кэш броузера?
А кстати, ты уверен, что виноват сквид, а не локальный кэш броузера?
vlary
Цитата:
А можно его только для ftp отключить?
Глобально на всех протоколах нельзя.
Цитата:
Так Total Commander дропает файл кэша листинга файлов после закрытия соединения с FTP.
Проблема явно в сквиде.
Причем обновиться листинг может через 1 час, а может через сутки.
Цитата:
Давно пора отключить кэш на сквиде и не мучиться.
А можно его только для ftp отключить?
Глобально на всех протоколах нельзя.
Цитата:
А кстати, ты уверен, что виноват сквид, а не локальный кэш броузера?
Так Total Commander дропает файл кэша листинга файлов после закрытия соединения с FTP.
Проблема явно в сквиде.
Причем обновиться листинг может через 1 час, а может через сутки.
Alukardd
помогает, но тогда перестают работать без авторизации сайты из списков
http_access allow services all
http_access allow intranet all
что есть не очень правильно.
а если перенести строки
http_access deny !authorized
http_access allow CONNECT
ниже строк с списками сайтов интранета, - начинает опять пускать на сайты по ССЛ без авторизации. Логично - вторизация по ИП прошла ведь на интранет.
помогает, но тогда перестают работать без авторизации сайты из списков
http_access allow services all
http_access allow intranet all
что есть не очень правильно.
а если перенести строки
http_access deny !authorized
http_access allow CONNECT
ниже строк с списками сайтов интранета, - начинает опять пускать на сайты по ССЛ без авторизации. Логично - вторизация по ИП прошла ведь на интранет.
me2k
Так скажите по русски куда вы хотите пускать без авторизации, а куда нет.
p.s. правила можно комбинировать: http_access deny CONNECT !authorized, не пускать методом CONNECT не авторизованных, применяется только к данному сочетанию и не дальше.
Так скажите по русски куда вы хотите пускать без авторизации, а куда нет.
p.s. правила можно комбинировать: http_access deny CONNECT !authorized, не пускать методом CONNECT не авторизованных, применяется только к данному сочетанию и не дальше.
Alukardd
#Access config
http_access allow CONNECT
http_access allow services all - пускаем всех
http_access allow localhost - пускаем всех
http_access allow intranet all - пускаем всех
http_access allow Full_Inet all - инет без ограничений
http_access allow acl_microsoft.com all - пускаем на сайт МС
http_access deny deny_word_in_urls - запретили всякое порно
http_access deny deny_media - запретили скачивание файлов
http_access deny deny_urls - запретили некоторые УРЛ
http_access deny Users_Inet !Safe_ports - запретили не стандартные порты
http_access allow Users_Inet - разрешили инет пользователям.
http_access deny all
мне нужно, чтобы на services, intranet - пускало без авторизации.
А вот Users_Inet должен требовать авторизацию полюбому.
беда в том, что если пользователь сначала зашёл на интранет сайт, то прошла авторизация по ИП. И дальше, если пользователь пойдёт к примеру на гмайл по ССЛ - то его пустить по http_access allow Users_Inet - без авторизации.
#Access config
http_access allow CONNECT
http_access allow services all - пускаем всех
http_access allow localhost - пускаем всех
http_access allow intranet all - пускаем всех
http_access allow Full_Inet all - инет без ограничений
http_access allow acl_microsoft.com all - пускаем на сайт МС
http_access deny deny_word_in_urls - запретили всякое порно
http_access deny deny_media - запретили скачивание файлов
http_access deny deny_urls - запретили некоторые УРЛ
http_access deny Users_Inet !Safe_ports - запретили не стандартные порты
http_access allow Users_Inet - разрешили инет пользователям.
http_access deny all
мне нужно, чтобы на services, intranet - пускало без авторизации.
А вот Users_Inet должен требовать авторизацию полюбому.
беда в том, что если пользователь сначала зашёл на интранет сайт, то прошла авторизация по ИП. И дальше, если пользователь пойдёт к примеру на гмайл по ССЛ - то его пустить по http_access allow Users_Inet - без авторизации.
me2k
> то его пустить
пустить или вы хотели сказать "пустит"?
Всё определяет порядок правил. Сначал пишем правила которым можно все и всегда, потом требуем авторизацию, а оптом все остальные правила в т.ч Users_Inet и CONNECT. Ксатит CONNECT тоже следует разрешить наверное не на все порты, а только на https, например.
> то его пустить
пустить или вы хотели сказать "пустит"?
Всё определяет порядок правил. Сначал пишем правила которым можно все и всегда, потом требуем авторизацию, а оптом все остальные правила в т.ч Users_Inet и CONNECT. Ксатит CONNECT тоже следует разрешить наверное не на все порты, а только на https, например.
Alukardd
я пытался делать вот так:
#Access config
http_access allow services all
http_access allow localhost
http_access allow intranet all
http_access allow Full_Inet all
http_access allow acl_microsoft.com all
http_access deny deny_word_in_urls
http_access deny deny_media
http_access deny deny_urls
http_access deny !authorized
http_access allow CONNECT
http_access deny Users_Inet !Safe_ports
http_access allow Users_Inet
http_access deny all
Всё хорошо, но почему-то если пользователь сначала заходит на сайты из списка интранет, а потом на сайты которые попадают в группу http_access allow Users_Inet - то на сайты по ССЛ пускает БЕЗ авторизации.
в чём я не прав?)
я пытался делать вот так:
#Access config
http_access allow services all
http_access allow localhost
http_access allow intranet all
http_access allow Full_Inet all
http_access allow acl_microsoft.com all
http_access deny deny_word_in_urls
http_access deny deny_media
http_access deny deny_urls
http_access deny !authorized
http_access allow CONNECT
http_access deny Users_Inet !Safe_ports
http_access allow Users_Inet
http_access deny all
Всё хорошо, но почему-то если пользователь сначала заходит на сайты из списка интранет, а потом на сайты которые попадают в группу http_access allow Users_Inet - то на сайты по ССЛ пускает БЕЗ авторизации.
в чём я не прав?)
Доброго времени суток! помогите чем можите бьюсь достаточно давно с такой проблемой!
сквид постоянно перезапускается
cache.log
Код: Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
CPU Usage: 0.023 seconds = 0.013 user + 0.010 sys
Maximum Resident Size: 5172 KB
Page faults with physical i/o: 0
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:23| Starting Squid Cache version 2.7.STABLE9 for i386-portbld-freebsd8.2...
2012/04/23 12:28:23| Process ID 73657
2012/04/23 12:28:23| With 11095 file descriptors available
2012/04/23 12:28:23| Using kqueue for the IO loop
2012/04/23 12:28:23| helperOpenServers: Starting 5 'dnsserver' processes
2012/04/23 12:28:25| helperOpenServers: Starting 5 'redirector' processes
2012/04/23 12:28:25| helperOpenServers: Starting 5 'ncsa_auth' processes
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:25| logfileOpen: opening log /usr/local/etc/squid/logs/access.log
2012/04/23 12:28:25| Unlinkd pipe opened on FD 25
2012/04/23 12:28:25| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2012/04/23 12:28:25| Target number of buckets: 425
2012/04/23 12:28:25| Using 8192 Store buckets
2012/04/23 12:28:25| Max Mem size: 8192 KB
2012/04/23 12:28:25| Max Swap size: 102400 KB
2012/04/23 12:28:25| logfileOpen: opening log /var/squid/logs/store.log
2012/04/23 12:28:25| Rebuilding storage in /var/squid/cache (DIRTY)
2012/04/23 12:28:25| Using Least Load store dir selection
2012/04/23 12:28:25| Set Current Directory to /usr/local/etc/squid/cache
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| Loaded Icons.
2012/04/23 12:28:51| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 27.
2012/04/23 12:28:51| Accepting ICP messages at 0.0.0.0, port 3130, FD 28.
2012/04/23 12:28:51| WCCP Disabled.
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:51| WARNING: gethostbyname failed for
2012/04/23 12:28:51| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:51| Ready to serve requests.
2012/04/23 12:28:56| WARNING: basicauthenticator #1 (FD 16) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #2 (FD 17) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #3 (FD 18) exited
2012/04/23 12:28:56| Too few basicauthenticator processes are running
2012/04/23 12:28:56| Starting new helpers
2012/04/23 12:28:56| helperOpenServers: Starting 5 'ncsa_auth' processes
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| WARNING: basicauthenticator #4 (FD 19) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #5 (FD 20) exited
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| WARNING: basicauthenticator #1 (FD 16) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #2 (FD 17) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #3 (FD 29) exited
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| Too few basicauthenticator processes are running
FATAL: The basicauthenticator helpers are crashing too rapidly, need help!
сквид постоянно перезапускается
cache.log
Код: Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
CPU Usage: 0.023 seconds = 0.013 user + 0.010 sys
Maximum Resident Size: 5172 KB
Page faults with physical i/o: 0
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:23| Starting Squid Cache version 2.7.STABLE9 for i386-portbld-freebsd8.2...
2012/04/23 12:28:23| Process ID 73657
2012/04/23 12:28:23| With 11095 file descriptors available
2012/04/23 12:28:23| Using kqueue for the IO loop
2012/04/23 12:28:23| helperOpenServers: Starting 5 'dnsserver' processes
2012/04/23 12:28:25| helperOpenServers: Starting 5 'redirector' processes
2012/04/23 12:28:25| helperOpenServers: Starting 5 'ncsa_auth' processes
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:25| logfileOpen: opening log /usr/local/etc/squid/logs/access.log
2012/04/23 12:28:25| Unlinkd pipe opened on FD 25
2012/04/23 12:28:25| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2012/04/23 12:28:25| Target number of buckets: 425
2012/04/23 12:28:25| Using 8192 Store buckets
2012/04/23 12:28:25| Max Mem size: 8192 KB
2012/04/23 12:28:25| Max Swap size: 102400 KB
2012/04/23 12:28:25| logfileOpen: opening log /var/squid/logs/store.log
2012/04/23 12:28:25| Rebuilding storage in /var/squid/cache (DIRTY)
2012/04/23 12:28:25| Using Least Load store dir selection
2012/04/23 12:28:25| Set Current Directory to /usr/local/etc/squid/cache
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| WARNING: gethostbyname failed for
2012/04/23 12:26:33| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:26:33| Loaded Icons.
2012/04/23 12:28:51| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 27.
2012/04/23 12:28:51| Accepting ICP messages at 0.0.0.0, port 3130, FD 28.
2012/04/23 12:28:51| WCCP Disabled.
2012/04/23 12:28:25| WARNING: gethostbyname failed for
2012/04/23 12:28:25| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:51| WARNING: gethostbyname failed for
2012/04/23 12:28:51| Could not determine fully qualified hostname. Please set 'visible_hostname'
2012/04/23 12:28:51| Ready to serve requests.
2012/04/23 12:28:56| WARNING: basicauthenticator #1 (FD 16) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #2 (FD 17) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #3 (FD 18) exited
2012/04/23 12:28:56| Too few basicauthenticator processes are running
2012/04/23 12:28:56| Starting new helpers
2012/04/23 12:28:56| helperOpenServers: Starting 5 'ncsa_auth' processes
cannot stat /usr/local/etc/squid/nsca.sams
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| WARNING: basicauthenticator #4 (FD 19) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #5 (FD 20) exited
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| WARNING: basicauthenticator #1 (FD 16) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #2 (FD 17) exited
2012/04/23 12:28:56| WARNING: basicauthenticator #3 (FD 29) exited
cannot stat /usr/local/etc/squid/nsca.sams
2012/04/23 12:28:56| Too few basicauthenticator processes are running
FATAL: The basicauthenticator helpers are crashing too rapidly, need help!
yrkrus
Цитата:
Цитата:
а как можно сделать что бы вручную на каждой машине прокси не вбивать, через прокси работатьЕсли машина в домене, то через групповые политики (для Интернет Эксплорера). Для остальных броузеров и не в домене - х.з.
yrkrus
Цитата:
Настраивай прозрачный прокси и, соответственно, фаервол
Цитата:
а как можно сделать что бы вручную на каждой машине прокси не вбивать, через прокси работать
Настраивай прозрачный прокси и, соответственно, фаервол
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687
Предыдущая тема: Неполадки в работе DHCP сервера
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.