» SQUID (только под *nix)

Цитата:

в чём проблема, не знаю ([хотя советую посмотреть, какие ftp команды входят в кальмара и какие выходят из него), но решением может оказаться применение параметра always_direct

Посмотрел, что в конфиге можно писать
acl FTP proto FTP
always_direct allow FTP

А что это значит?

У меня такой вопрос.Как настроить SQUID чтобы он работал еще и вместо кеширующего DNS сервера!!!Заранее огромное спосибо.

Цитата:

Как настроить SQUID чтобы он работал еще и вместо кеширующего DNS сервера!!!

а заодно и как web-сервер, сервер новостей, ну и почту что бы умел..
у каждой проге свое предназначение! юзай named и не выдумывай...

Подскажите, как настроить Squid в качестве прозрачного прокси? И если он бедут прозрачный, значит на клиентах прописывать прокси в настройках браузера не нужно?

salos
http://www.squid-cache.org/Doc/FAQ/FAQ-17.html
http://www.tldp.org/HOWTO/TransparentProxy.html
http://www.opennet.ru/base/net/trans_squid.txt.html
http://www.opennet.ru/base/net/transparent_proxy.txt.html

Мне тут http://forum.ru-board.com/topic.cgi?forum=8&topic=10114 сказали, что Squid это может.
Подскажите, как настроить squid соответствующим образом?

Люди у меня такой вопрос.
настроил я сквида вроде все работает
вот только когда на клиенте открывают новое окно браузера он снова просит ввести логин и пароль?
вроде ж как не правильно это??
вот мой конфиг:

http_port 3128
cache_mem 30 MB
cache_dir ufs /var/spool/squid 1024 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
ftp_user vasya@pupkin.ru
negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
auth_param basic program /usr/lib/squid/pam_auth
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
#redirect_children 3
#redirect_rewrites_host_header off
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl managerHost src 10.10.0.3/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
#acl good_prot proto HTTP FTP
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 280 488 591 777 901 1025-65535
acl CONNECT method CONNECT
acl all_auth proxy_auth REQUIRED
#acl all_user maxconn 10
#logfile_rotate 1
#acl BANNER url_regex banner reklama linkexch banpics us\.yimg\.com [\./]ad[s]?[\./]
http_access allow manager localhost
http_access allow manager managerHost
http_access deny manager
http_access deny !Safe_ports
http_access allow all_auth
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
cache_mgr root@host.domen
cachemgr_passwd squid all
cache_effective_user proxy
cache_effective_group proxy
log_icp_queries off
buffered_logs on
delay_pools 1
delay_access 1 allow all_auth
delay_class 1 2
delay_parameters 1 8192/8192 2048/2048
forwarded_for on


таки и заодно как узнать какое имя нужно вводить когда пытаешься подключиться
к cachemgr.cgi пароль вроже в конфе указываешь... а вот логин то какой...?
всем заранее спасибо!

Подскажите: как так скачается все нормально, а если закачивать по ХТТП или ФТП, то не пропускает файл больше 1мегабайта. Где надо подправить, просто замучился.
Help!

Подскажите, как настроить Squid, чтобы юзеры могли ходить на определенные IP (внутренние web servera) без авторизации, а на все остальные с требованием пароля.

Например:
- на 192.168.2.1 и 192.168.2.15 - без авторизации;
- на www.google.com c авторизаций

Щас у меня настроено что на любой адрес Squid требует авторизацию.
Заранее огромное спосибо.

Teo
Почитал в мане про рефреш паттерн. Туго до меня доходит как бы это присобачить. Как я понял , этот параметр регулирует "свежесть" обьектов в кеше, в таком случае это повлияет на все шоквэйв - флэш приложения включая банеры. Что есть не так уж и гуд.
Пока все решил таким способом : пропустил чела , который обновляет сайт напрямую в нет сквозь файерволл без заворота на сквид.
Я уже всякими методами пробовал побороть эту штуку, и мне закрадывается мысль что это вебмастер напортачил.
g00d
Убей авторизацию .
Lila
Конфиг покажи плиз.
rvi
То же что и Lila.
Наугад щас могу вспомнить что вроде сначала нужно позволить доступ на локал веб сервера:
acl localwebserver dst_as 192.168.2.111
http_access allow localwebserver
а потом всем по авторизации, так как и есть сейчас.

Я хочу, чтобы юзеру попавшему под моё правило
acl porno url_regex "/usr/local/squid/etc/porno"
http_access deny porno
выдавалась конкретная ошибка(то биш файл) типа "Порно - это плохо" и т.п. Что мне нужно прописать в конфиге?

Markes
насколько я себе представляю сообщение об ошибке есть в сквиде одно.
Должен быть поднят веб сервер на котороп по пути http:\mycoolsite.com\squiderror\error.html должен лежать файлик ошибки, где ты пишешь все что хошь.
В конфиге:
deny_info http:\mycoolsite.com\squiderror\error.html
тода везде где сквид по рулезам не сможет соединится, он пульнет
этот файлик. Хотя на банеры это тоже повлияет.

Ptrovich

Цитата:

насколько я себе представляю сообщение об ошибке есть в сквиде одно.

А как же error_directory /usr/local/squid/share/errors/English, которое по умолчанию закомментировано? Там несколько ерроров.


Цитата:

Хотя на банеры это тоже повлияет.

Т.е. вместо баннеров будет видно окно(или часть) с "моей" ошибкой?

Ptrovich,
вот кусок моего конфига:

acl users proxy_auth REQUIRED
acl CONNECT method CONNECT
acl users proxy_auth vasja petja jura
http_access deny !users
acl all src 192.168.33.0/192.168.36.254
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
authenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd

Markes
может быть толька адин .
Смысле работает только один , тебе нужно выбрать какой именно еррор, а точнее на каком языке.

Цитата:

Т.е. вместо баннеров будет видно окно(или часть) с "моей" ошибкой?

Угу.
Ну в случае с запросом запрещенной урлы это сообщение развернется во весь браузер.
Хотя я не супер-дока в сквиде, но можно попробовать сделать несколько параметров deny_info с разными страницами.
deny_info http:\mycoolsite.com\squiderror\porno.html
А потом ограничил порно.
deny_info http:\mycoolsite.com\squiderror\banner.html
потом зарезал банеры.
Это все исходя из логики, что сквид перебирает правила с верху до низу , как ИПФВ тоесть когда он найдет совпадение запроса на порно то deny_info будет с порно урлой, а если он докатится с запросом до банеров , то к тому моменту deny_info уже станет с банерной урлой. Ну пробуй в общем а там посмотрим. Я пока на опыте не убедюсь что это пашет , то на 100% утверждать не берусь.
rvi
Мало конфига, там дето у тебя еще должны быть разрешения, а ты их не показал.
И еще , старайся все группировать , Обьявления АЦЛов - отдельно , разрешалки и запрещалки тоже, иначе довольно сложно понять.
Мысль такая :
acl users proxy_auth REQUIRED
acl CONNECT method CONNECT
acl manager proto cache_object
acl users proxy_auth vasja petja jura
acl local_webserver dst_as 192.168.2.111
acl localhost src 127.0.0.1/255.255.255.255
acl all src 192.168.33.0/192.168.36.254 (а не проще ли? acl all 0.0.0.0/0.0.0.0)
http_access allow localhost
http_access allow localwebserver
http_access deny !users
authenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd
а что дальше у тя? Если конец конфига закрывается общим запретом то нужно позволить юзерам:
http_access allow users
Если конец общим разрешаловом, то нужно покрыть это все общим запретом.
Вообщем суть такова , если запрос идет в сторону local_webserver (сквид поймет так как dst_as - якобы говорит что в "направлении"), то он не затронет АЦЛ users который проходит по авторизации и спокойно уйдет куда надо по http_access allow localwebserver, если же запрос упадет в юзерс , а правильнее сказать НЕ попадет в АЦЛ local_webserver, то падая ниже по конфигу он попадает в АЦЛ юзерс и к нему применяются соответствующие правила авторизации как и применялись.

Ptrovich,
извиняюсь вот полный кусок моего конфига:

acl users proxy_auth REQUIRED
acl CONNECT method CONNECT

acl users proxy_auth vasja petja jura

http_access deny !users
acl all src 192.168.33.0/192.168.36.254
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
authenticate_program /usr/lib/squid/ncsa_auth /usr/etc/passwd

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow all

Пробую переписать конфиг по Вашему совету, что-то не получется, все равно требует
пароль на внутренний вебсервер

Ptrovich
Ок - поэксперементирую.

Ещё вопрос: как проще всего очистить лог сквиды?

g00d
после этого текста

Цитата:

auth_param basic program /usr/lib/squid/pam_auth

добавь это

Код: auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

А вот вопрос.
Есть Squid на внешнем сервере и есть внутренний сервер.
На внутрннем
cache_peer myserver parent 3128 0 no-query

Все работает, только медленно.
В чем может быть причина ??
Внешний канал - ADSL - 512k

SunRabbit DNS может быть плохо настроен.

Цитата:

SunRabbit DNS может быть плохо настроен.

А поподробнее.
На внешних все нормально, там же до сих пор работало и все было нормально.

SunRabbit
Убей эту опцию и попробуй снова.
cache_peer myserver parent 3128 0 no-query
У меня похожая ситуация. Я пытаюсь за "кешпирить" проксю моего прова, которая стоит буквально в трех домах ( гдето метров 150 напрямую) от меня. В результате скорость реакции браузера на ввв падает раз в 10. Скорее всего не я один такой умный . Видать мы все, кто сидит на площадке, пытаемся прокидывать запросы своих пользователей сквозь прововский сквид, и в результате становимся в огромную очередь. Вообщем я просто плюнул на всю затею , и пускаю свой сквид напрямую в нет , и сам аккумулирую свой фирмовый кеш. Просто экономия от того что я получу пару банеров и пр от прова , но выстою при это в немерянной очереди, - мизерная .
Хотя в мануалах есть раздел про настройку "пиринга" и в теории можно строить довольно замысловатые цепочки проксей, но это столько гемора, который окупится разве что самосознанием того - что ты уже почти "атец" по кеш - менеджменту )).

В файле /usr/local/squid/etc/porno есть строка porno.ru. На сайт пускает, и на все остальные адреса из файла тоже - в чём криворукость?

Мой конфиг:

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10000 KB
minimum_object_size 0
maximum_object_size_in_memory 50 KB
fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru
cache_dir ufs /usr/local/squid/var/cache 1024 4 256
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log none
client_netmask 255.255.255.255
# ftp_list_width 32
ftp_passive on
# ftp_sanitycheck on
dns_timeout 1 minutes
#dns_children 5
dns_nameservers 127.0.0.1 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320


#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# VIP-Users
acl vip url_regex "/usr/local/squid/etc/vip"
http_access allow all

############################### Banners ##########################################
acl goodbanners url_regex "/usr/local/squid/etc/goodbanners"
http_access allow goodbanners

acl banners url_regex "/usr/local/squid/etc/banners"
http_access deny banners

acl noporno url_regex "/usr/local/squid/etc/noporno"
http_access allow noporno

acl porno url_regex "/usr/local/squid/etc/porno"
http_access deny porno

acl banners_openwindow url_regex "/usr/local/squid/etc/banners_openwindow"
http_access deny banners_openwindow

acl ICQban urlpath_regex /client/ate/ad-handler
http_access deny ICQban

acl denyURL urlpath_regex /love.mail.ru/mail.ru
http_access deny denyURL

Рискну предположить что твоя проблема просто в неправильном построении конфига как такового. Точнее в порядке построения правил.
Во - первых : зачастую АЦЛ " all src 0.0.0.0/0.0.0.0" используется для глобального запрещения, поскольку под нее подпадают ВСЕ адреса инета.
Вот у тебя и выходит что ты говоришь:
-- обьявляю ацл all , в которую входят запросы на ЛЮБОЙ адрес.
а затем ниже :
-- http_access allow all - позволяю запросам попадающим под ацл all двигатся.
и все. Больше ничего уже можешь не писать . Потому что , любой запрос , достигнув этого места - начинает работать и до твоих запрещений дело вообще не доходит, так что сквиду все равно позволяешь ты порно или нет .
Важно помнить , что сквид , как и ипфв (ipfw) фунциклирует по такому принципу: получив запрос , он перебирает правила сверху вниз , до того момента пока не найдется совпадение , т.е. запрос начнет соответствовать правилу , тогда производится действие о котором это правило говорит , и все. Остальные правила (по крайней мере те что расположены ниже) просто сквидом не учитываются.
Вообщем пробуй.
Ага, еще типичный пример как реализовывают в большинстве примерных мануалах:
Обьявляем листы источников:
acl localhost src 127.0.0.1/255.255.255.255 - рекурсивную петлю отдельно
acl my_users src 192.168.0.0/24 - моя сеть внутрення , которая будет пользовать сквид
acl all src 0.0.0.0/0.0.0.0 - все остальное , что не вошло в первые две, и что я запрещу.
Запрещалки - разрешалки:
http_access allow localhost - для прозрачного проксирования и вообще
http_access allow my_users - принимать запросы от пользователей моей сети
http_access deny all - если это не пользователи моей сети, и не локалхост - то нефиг коннектицца к моей проксе.
Вот так вроде.

Цитата:

SunRabbit
Убей эту опцию и попробуй снова.
cache_peer myserver parent 3128 0 no-query
У меня похожая ситуация. Я пытаюсь за "кешпирить" проксю моего прова, которая стоит буквально в трех домах ( гдето метров 150 напрямую) от меня. В результате скорость реакции браузера на ввв падает раз в 10. Скорее всего не я один такой умный . Видать мы все, кто сидит на площадке, пытаемся прокидывать запросы своих пользователей сквозь прововский сквид, и в результате становимся в огромную очередь. Вообщем я просто плюнул на всю затею , и пускаю свой сквид напрямую в нет , и сам аккумулирую свой фирмовый кеш. Просто экономия от того что я получу пару банеров и пр от прова , но выстою при это в немерянной очереди, - мизерная .
Хотя в мануалах есть раздел про настройку "пиринга" и в теории можно строить довольно замысловатые цепочки проксей, но это столько гемора, который окупится разве что самосознанием того - что ты уже почти "атец" по кеш - менеджменту )).

Так в этом то и дело. Если я ету опцию убью, он в Инет не пойдет, у него же напрямую доступа нету. Только через прокси который parent.

Проблема то в чем
Если пускать по схеме

INET ---------Proxy-server (squid)--------------LAN - более менее нормальная скорость (нагрузку читывать и все)
А если DMZ
INET --------Proxy(ext)--------Proxy(int) -------LAN - совсем медленно.

Кто может подскажет в чем трабла ???

Ptrovich
Ё-маё!
Цитата:

# VIP-Users
acl vip url_regex "/usr/local/squid/etc/vip"
http_access allow all

Тут вместо all должно стоять vip, чтобы ip-адресам из списка /usr/local/squid/etc/vip разрешалось всё. Сам ступил - не заметил

Markes

Цитата:

# VIP-Users
acl vip url_regex "/usr/local/squid/etc/vip"
http_access allow all

вот эта строка разрешает всем ходить куда угодно
поставь ее в конце всех строк, что ты написал

squid

Цитата:

вот эта строка разрешает всем ходить куда угодн

Я же выше уже написал, что нашёл эту ошибку

Цитата:

поставь ее в конце всех строк, что ты написал

Зачем в конце всех?

SunRabbit

Цитата:

Так в этом то и дело. Если я ету опцию убью, он в Инет не пойдет, у него же напрямую доступа нету. Только через прокси который parent.
Проблема то в чем
Если пускать по схеме
INET ---------Proxy-server (squid)--------------LAN - более менее нормальная скорость (нагрузку читывать и все)

Брр , я чето совсем ничего не понимаю. Тоесть тебя не устраивает ходить по вышеуказаной схеме или как?
Да и кстати как ты подключен к интернету если не можешь напрямую в нет пустить свой сквид? Если ты админишь локаль которая еще в одной локали и не имеешь наружного айпа, то пусть тогда запросы побегают до наружного сквида который стоит у вас уже на самом выходе в мир. Если они проскачут пару лишних десятиметровок, то я думаю особых проблем не будет , так?

Ptrovich

Цитата:

В конфиге:
deny_info http:\mycoolsite.com\squiderror\error.html
тода везде где сквид по рулезам не сможет соединится, он пульнет
этот файлик. Хотя на банеры это тоже повлияет.

Возвращаясь к разговору Прописал в кофиге error_directory /usr/local/squid/share/errors/Russian-1251. Всё красиво, но действительно вместо зарезанных баннеров видно часть моего эррора. Закомментировал строчку - всё равно "работает" моя "русская ошибка". Раскомментировал и указал вместо Russian-1251 English - стало везде вылазить англ. ошибка. Опять закомментировал строку - вылазит русский еррор
Откуда конфиг его берёт? И как всё вернуть в зад, т.е. чтобы была стандартная ошибка при попытке открытия зарезанных в acl сайтах и баннеры просто не показывались?