» SQUID (только под *nix)

Mike Di
Потому что есть каталог. Удалите его. Давайте всё по порядку что бы было аккуратно.
Варианта 2, либо все сносить и ставить, либо попробовать переставить. Лучше первый:
rm -rf /etc/squid3
apt-get purge squid3
apt-get install squid3
или попробовать выполнить apt-get install --reinstall squid3, что-то я не помню как он себя ведёт на это дело когда папка есть, а конфигов там нету.

Добавлено:
Копирование это прерогатива клиента, т.е. в вашем случае хз какой-то Batvise xterm, возьмите классический Putty и им пользуйтесь для SSH, TELNET, CONSOLE сессий.

Batvise это типа новый Putty
У них с сайта скачал.

После проделанных операций
sudo rm -rf /etc/squid3
sudo apt-get purge squid3
sudo apt-get install squid3

Похоже установился. ошибок не было. конфиг появился.
Буду проверять.
Спасибо

q111111
Цитата:

отчего это? как избавится?

Правильно настроить прокси на клиентах. А именно, отметить галочку "Не использовать прокси для локальных адресов" и забить в исключениях свой локальный домен и свою сеть (*.yourdomain.tld;10.32.0.*). Чтобы на локальные ресурсы ходили напрямую.

q111111
Ну видимо изменить настройки браузера так, что бы он не ходил на локальные адреса через проксю. Через pac файл, групповые политики или каждому ручками это уже не важно.
А вообще странно что "вдруг" начались обращения к локальным ip-шникам. Они с одного адреса идут или разных?

q111111
Цитата:

а на этих адресах и веб-сервисов нет никаких.

Сделать греп по 10.32.0.63 в Сквидовом access.log, и посмотреть, кто и что оттуда качает.

Добрый день.

Есть squid3.1.6 на debian6

Как отключить кеширование к локальным сайтам?
По идее вот так.


Код:
acl local-servers dstdomain my.domain.net
always_direct allow local-servers

zubastiy

Цитата:

Как отключить кеширование к локальным сайтам?

На самом деле в настройках прокси нужно прописать, чтобы для локальных ресурсов прокси вообще не использовали, а ходили туда напрямую. Зачем Сквид ненужной работой загружать?

Цитата:

На самом деле в настройках прокси нужно прописать, чтобы для локальных ресурсов прокси вообще не использовали, а ходили туда напрямую. Зачем Сквид ненужной работой загружать?

Идеологически верно.
Но в реальности много времени приходится уделять проблемам поддержки работы в броузере. И я готов переложить эту ответственность на CPU сервера где работает squid )
Домены третьего и четвертого уровня могут указывать на разные ip, и это нужно распространять либо через GPO либо через PAC (опять же модификацией файлов заниматься)
Обратно IE не всегда корректно обрабатывает *.domain,com и *.*.domain.com

zubastiy В наше время безлимитных тарифов для юрлиц не проще отключить кэш сквида совсем? Дисковый кэш - лишний тормоз. Как это сделать есть урла в шапке топика.

ipmanyak
Согласен насчет дискового кеша.
Не согласен насчет безлимитного тарифа для юрлиц.
Есть еще богатыри, не перевелись еще в глубинках лимитированные тарифы и 15к рублей за 10 гигов на скорости 1 мбит.
Это я конечно к слову, но есть два таких объекта, где экономим каждый килобайт.

Цитата:

acl local-servers dst 192.168.0.0/16
always_direct allow local-servers

Это как проверял? чисто браузером или дебажил сквид?
По идее должно работать. Может не в том месте стоит?

Цитата:

Это как проверял? чисто браузером или дебажил сквид?  
По идее должно работать. Может не в том месте стоит?

Сделано вложенным файлом.

Код:
cat /etc/squid3/squid-cache.conf

acl local-servers dst 192.168.0.0/16
always_direct allow local-servers

www.name.ru - это у вас локальный сайт и он резолвится в IP из сети 192.168.0.0/16 ?

Добавлено:


Цитата:

аааа. я балда. работает ведь.
по дурному совпадению тестировал на проданном сайте, локальная копия работает с локальными ресурсами, но часть ссылок ведет "наружу", именно эти, внешние ресурсы и попадали под кеширование.

я примерно так и подумал потому и спросил про www.name.ru

ipmanyak
само имя разрешалось нормально, были редиректы на внешние ресурсы которые возвращались от "лица" сервера name, но squid их всех сдал.
ЗЫ. по крайней мере у меня такая теория ) лазить в логи сервера лень.

добрый день, ALL

возникла экзотическая необходимость настроить сквид для кеширования не по расширениям файлов, а по rep_mime_type, т.е. необходима конструкция вида

Код: refresh_pattern \rep_mime_type$ application/octet-stream override-lastmod

uncleroot
А может просто отключить кэширование и не будет оно ни чего портить в неадекватном трафике?..

Уважаемые линуксойды помогите включить торренты на Squid:

acl    Safe_ports    port    80 81 21 443 563 883 8008 50000 8085 24554 7001 8804 5222
acl    CONNECT        method    CONNECT
acl    purge        method    PURGE
acl    manager        proto    cache_object

http_access    allow    purge    localhost
http_access    deny    manager

http_access    allow    CONNECT    Safe_ports
http_access    deny    !Safe_ports

OOD
Давайте начнём с простого — зачем проксировать p2p трафик? Проксироваться скорее всего всё равно сможет только общение с трекером, сам p2p трафик будет как ему и положено лезть через все возможные и невозможные дыры в NAT'е.

Alukardd
Не подскажите какие порты необходимы для торрентов, Iptables выглядит так:
[more]
:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

UTPUT ACCEPT [0:0]

:RH-F ireua11-1-INPUT - [0:0]

-A INPUT -j RH-F ireua11-1-INPUT
-A FORWARD -j RH-Fireua11-1-INPUT
-A RH-F ireua11-1-INPUT -i lo -j ACCEPT

-A RH-Fireual1-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT


-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1500:1550 -j A



-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A RH-F ireua11-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m udp -p udp --dport 162 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3389 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5190 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5938 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m udp -p udp --dport 5938 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 9091 -j ACCEPT


-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 585 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Fireual1-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
[/more]
Nat раздаю для NAS так:
-A POSTROUTING -s [NAS-адрес]/32 -o eth1 -j MASQUERADE

OOD
Вообще если мы пошли общаться по iptables, то для этого есть отдельная тема...
Что за правила такие, что за самодельная цепочка RH-... и почему INPUT и FORWARD идут в одну и туже цепочку???
Да и вообще, если это все правила, что у Вас есть, то на текущий момент разрешено ВСЁ.

Я новичек в работе со сквидом - прошу помощи.
Задача следующая. у пользователей запрещена скачка Exe файлов.
но пользователеям надо разрешать возможность скачивать экзешники с определенных адресов, независимо от того включен у них интернет или нет и независимо от запрета на скачивание exe файлов.

курсы валют с rbc.ru обновления для такскома. то есть с определенного списка адресов.
вопрос реально ли?

Munster
Цитата:

реально ли?

как 2 пальца...
Просто пишите разрешающее правило над запретом: http_access allow trusted_domains exe_files, надеюсь синтаксис команды объяснять не надо.

Может чего не понимаю. писал подобное правило и сквид давал скачивать указанный exe файл, даже если по шаблону стоял запрет на скачивание exe файлов, но только в том случае если у человека был еще трафика запас.
а вот если у него стоял статус "отключен за превышение" в SAMS? то уже не разрешал.

Munster
Понятия не имею что там в увас с квотированием трафика. Как выглядит SAMS тоже не знаю.
Показывайте squid.conf файл (только очень прошу обернуть его в тэг [no][more=squid.conf][/more][/no])
И скажите что сейчас не так работает как Вам бы того хотелось.

Munster

Цитата:

Может чего не понимаю. писал подобное правило и сквид давал скачивать указанный exe файл

Скорее всего, перед этим правилом у тебя стояло другое правило, позволяющее скачивать все что угодно.
Сквид выполняет правила в порядке их следования в конфиге, сверху вниз.
Как только какое-то правило срабатывает, остальные не проверяются.

а что тут лишнее. нашел параноидальную анонимность, но мне нужно всего лишь чтобы сайты не думали что сижу через прокси и айпи адрес был сервера

Код:
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
request_header_access Allow allow all
request_header_access Authorization allow all
request_header_access WWW-Authenticate allow all
request_header_access Proxy-Authorization allow all
request_header_access Proxy-Authenticate allow all
request_header_access Cache-Control allow all
request_header_access Content-Encoding allow all
request_header_access Content-Length allow all
request_header_access Content-Type allow all
request_header_access Date allow all
request_header_access Expires allow all
request_header_access Host allow all
request_header_access If-Modified-Since allow all
request_header_access Last-Modified allow all
request_header_access Location allow all
request_header_access Pragma allow all
request_header_access Accept allow all
request_header_access Accept-Charset allow all
request_header_access Accept-Encoding allow all
request_header_access Accept-Language allow all
request_header_access Content-Language allow all
request_header_access Mime-Version allow all
request_header_access Retry-After allow all
request_header_access Title allow all
request_header_access Connection allow all
request_header_access Proxy-Connection allow all
request_header_access All deny all

FreeBSD 8.3, из портов ставлю Squid 3.2.6 , squid.conf дефаултный, запускаю...

/usr/local/etc/rc.d/squid start

в ответ

Starting squid.
2013/02/04 00:27:08| aclIpParseIpData: Bad host/IP: '::1' in '::1', flags=0 : (8) hostname nor servname provided, or not known
FATAL: Bungled Default Configuration line 6: acl localhost src 127.0.0.1/32 ::1
Squid Cache (Version 3.2.6): Terminated abnormally.
CPU Usage: 0.016 seconds = 0.000 user + 0.016 sys
Maximum Resident Size: 5996 KB
Page faults with physical i/o: 1
/usr/local/etc/rc.d/squid: WARNING: failed to start squid

Скажу сразу что squid.conf здесь не причем
Спросил о проблеме у яндекса, погуглил, ничего не нашел... Собственно поэтому и пишу здесь.
Проблема оказалась в том что у меня Ядро(kernel) и мир(World) были пересобраны без поддержки IP6, собственно и сам Squid тоже собирался без поддержки IP6, тем не менее он не запустился. После того как я пересобрал ядро и мир с поддержкой IP6 все заработало.

Кстати, в ветке 3.1 такой проблемы нет

Вопрос
gluza_vlad
Что Вам не нравится в выводе команды parse?
Сделали ли Вы перенаправление трафика на 3128 порт в iptables?
Ваш ifconfig нас мало интересует, к тому же Вы показали не его, а Debian'овский файл /etc/network/interfaces

p.s. Конфиг Вы составили странно исходя из всего, и стандартных в дистрибутивах, и примеров в инете, и с точки зрения банальной логики - сначала всегда описывают глобальные конфигурационные параметры, затем ACL, затем все дополнительное (пулы, фильтры заголовков и прочее). На работу это, в данном случае, ни как не влияет, разумеется, но всё же...

Помогите плиз. Делаю ограничение пользователям по сайтам и все равно не работает. SQstat показывает что однокласники и вконтакте все ходит.
Вот огрызок конфигурации

Sqid.conf


# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

acl ip1 src "/etc/squid/block-ip"
acl blacklist url_regex "/etc/squid/badsites"
http_access deny ip1 blacklist



# And finally deny all other access to this proxy
http_access deny all

# TAG: http_access2
#    Allowing or Denying access based on defined access lists
#
#    Identical to http_access, but runs after redirectors. If not set
#    then only http_access is used.


Заранее благодарен.

0z0n

Цитата:

http_access allow localnet

скорее всего все проходит именно по этому первому правилу