Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Проблема с squidNT

Автор: Bercut
Дата сообщения: 12.06.2009 13:13
Товарищи!
А такой вопрос, как закрыть доступ к прокси для пользователей во вне? Т.е. ситуация такая: комп подключен к локальной сети прова, интернет идет через впн, есть еще вай фай, на котором в режиме ad-hoc висит ноут и получает интернет как раз через сквид.
Задача такая, чтобы прокси был виден только на интерфейсе 192.168.0.* и не был виден во внешнюю сеть (как в инет, так и в лок сеть прова)

конфиг:
Код: unlinkd_program c:\squid\libexec\unlinkd.exe
dns_testnames 127.0.0.1
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow localnet
http_access deny all
http_reply_access allow all
icp_access allow localnet
icp_access deny all
http_port 3128
cache_mem 8 MB
cache_dir ufs c:/squid/var/cache 100 16 256
access_log c:/squid/var/logs/access.log squid
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname localhost
dns_testnames 127.0.0.1
Автор: Ruza
Дата сообщения: 12.06.2009 17:32

Цитата:
А такой вопрос, как закрыть доступ к прокси для пользователей во вне?

http_port 192.168.0.1:3128
Автор: Bercut
Дата сообщения: 12.06.2009 20:28
Ruza
мне не совсем подходит, у меня вай-фай интерфейс не всегда поднят при старте системы, а сквид тогда тоже не стартует автоматом. есть еще способы?
Автор: Ruza
Дата сообщения: 14.06.2009 13:31
Bercut

Цитата:
мне не совсем подходит, у меня вай-фай интерфейс не всегда поднят при старте системы, а сквид тогда тоже не стартует автоматом. есть еще способы?

Firewall тогда. Или ждать запуска Wi-Fi.
Хотя чем тебе не нравится что прокси виден из других сетей? Он же не будет обрабатывать соединения из них.
Автор: mihmig
Дата сообщения: 14.06.2009 19:49
Можно-ли заставить Squid не класть в логи то, что он уже зарезал как рекламу?
Автор: Ruza
Дата сообщения: 14.06.2009 21:14
mihmig
log_access должен помочь но под виндовый не знаю есть ли такая директива, да и версию твою не знаю
Автор: mihmig
Дата сообщения: 15.06.2009 13:12
Ruza
спс, но у меня винда, но сделаю так:
find /V "TCP_DENIED" access.log.0 >C:\filtered\access.log.0_

Следующий вопрос:
не сваяла ли какая умная голова скриптика, чтоб подписки adblock
конвертировать в формат, понятный squid-у?
Автор: Ruza
Дата сообщения: 15.06.2009 15:48
mihmig

Цитата:
не сваяла ли какая умная голова скриптика, чтоб подписки adblock
конвертировать в формат, понятный squid-у?

Я не видел - через bfilter вроде кто то делал...
Автор: Bercut
Дата сообщения: 15.06.2009 20:34
Ruza
в принципе да, эмпирическим путем выяснил, что прокси хоть и виден из других сетей, но не принимает соединения вроде бы
upd закрыл порт для сетей извне через фаер, что я раньше не допер
Автор: lsd11
Дата сообщения: 18.06.2009 11:10
Уважаемые камрады!
Есть скрипт squid2file.pl, который призван выдергивать из кэша Squid mp3 и прочие файлы для просмотра их в нормальном виде под виндой.
Никак не могу его прикрутить к своему squid'у - никто не модет помочь, где и что прописать в конфиге, в каком месте?
Содержание скрипта:
#!/usr/bin/perl

# program defaults
$SAVE_DIR = "/root/sqsave";
$NAME_OFFS = 0x3C; # 0x3C for i386, 0x40 for alpha
$DEBUG = 1;

if (@ARGV eq '')
{
print("Usage: squid2file.pl <filename> [<filename> ...]\n");
exit 1;
}

$arch = `uname -m`; chomp $arch;
if ($arch eq 'alpha') { $NAME_OFFS = 0x40; }
elsif ($arch ne 'i386') { print STDERR "Warning: unknown architecture\n"; }

foreach $file (@ARGV) { &extract_file($file); }

exit(0);

sub extract_file($)
{
my $infile = $_[0];

if (!open(FILE, "<$infile"))
{
if ($DEBUG) { print STDERR "Can not open $infile\n"; }
return undef;
}

my $sqname = $infile;
$sqname =~ s/^.*\///;

binmode(FILE);
seek(FILE, $NAME_OFFS, SEEK_SET);
read(FILE, $data, 250);
my $len = index($data, "\0");
my $url = substr($data,0,$len);

my $name = $url;
$name =~ s/^.*\///;

# if (! ($name =~ /\.jpg$/)) { return undef; }

my $pos = $len + $NAME_OFFS;
seek(FILE, $pos, SEEK_SET);
read(FILE, $data, 2000);
$pos = index($data, "\r\n\r\n") + $pos + 4;
seek(FILE, $pos, SEEK_SET);

if ($DEBUG) { print "$url\n"; }
my $savename = "${SAVE_DIR}/${sqname}_${name}";

if (!open(OUT,">$savename"))
{
close(FILE);
if ($DEBUG) { print STDERR "Can not open out file $savename\n"; }
return undef;
}

while(<FILE>) { print OUT; }

close(OUT);
close(FILE);
return $url;
}

Автор: Ruza
Дата сообщения: 19.06.2009 21:21
lsd11

Цитата:
Проблема с squidNT


Цитата:
их в нормальном виде под виндой.



Цитата:
#!/usr/bin/perl
# program defaults
$SAVE_DIR = "/root/sqsave";


Тебе выделенное ни о чём не напоминает?
Автор: lsd11
Дата сообщения: 20.06.2009 02:47
Спасибо за отклик!)))

Напоминает) перл есть у меня)) просто я ньюб в этом, не понимаю - надо скрипт прописывать в конфиге или его положить куда-то и запустить? пробовал запускать, че-то не выходит ничего..(((
Автор: Ruza
Дата сообщения: 20.06.2009 12:24
lsd11
*nix - #!/usr/bin/perl
*win - #!C:\Perl\bin\perl.exe
И путь /root/sqsave - это тож юниксовый
Автор: mikas
Дата сообщения: 26.06.2009 03:11
Кто-нибудь юзает 3.0.STABLE13-BZR от 06/03/2009?
Ссылка http://squid.acmeconsulting.it/download/squid-3.0.STABLE13-BZR-bin.zip
Есть только версия Standart.

Добавлено:
Да, к тому же, Серасио пишет что разработка 3-й версии остановлена, но новые версими компилит регулярно!
Автор: Ruza
Дата сообщения: 26.06.2009 08:31

Цитата:
Да, к тому же, Серасио пишет что разработка 3-й версии остановлена

Странно... Работы идут полным ходом.
http://www.squid-cache.org/Versions/v3/3.1/changesets/

Цитата:
Mon 2009-06-08 00:07:31 +1200    Guido Serassio    +3 -3    *    Windows port: Bit types protection must applied always
Sat 2009-06-06 12:43:00 +1200    Guido Serassio    +31 -0        Windows port: added build test options file for MinGW environment
Sat 2009-06-06 12:41:56 +1200    Guido Serassio    +16 -4        Fix TCP and UDP buffer size detection
Sat 2009-06-06 12:39:24 +1200    Guido Serassio    +12 -2    *    Windows port: second chunk of fixes needed to build again Squid3 using MinGW
Sat 2009-06-06 12:35:15 +1200    Guido Serassio    +4 -1    *    Fix build failure of squid_radius_auth.
Sat 2009-06-06 12:00:08 +1200    Guido Serassio    +51 -71    *    Windows port: Fix configure and build failures on MinGW.


Цитата:
Author    Changesets    Changes
Guido Serassio    37    +4587 -2853

Автор: mikas
Дата сообщения: 26.06.2009 08:55
Ruza
Я имею ввиду SquidNT - Нативный порт!
Вот тут инф. о прекращении портирования: http://squid.acmeconsulting.it/Squid3.html
Вот старница загрузки: http://squid.acmeconsulting.it/download/dl-squid.html

Ивот к чему я всё это спросил. Насколько я понял в нативном билде под NT нет встроенной поддержки ICAP, а мне он нужен. Подскажите какие есть варианты, кроме перехода на никс.
Автор: Ruza
Дата сообщения: 26.06.2009 09:03
mikas

Цитата:
Насколько я понял в нативном билде под NT нет встроенной поддержки ICAP, а мне он нужен. Подскажите какие есть варианты, кроме перехода на никс.

Посмотри SafeSquid...
Автор: mikas
Дата сообщения: 26.06.2009 09:47
Ruza
Он стоит денег
Да и к тому же лечилки нет.
Автор: Bercut
Дата сообщения: 29.06.2009 09:03
Опять возникла проблема, папка var с логами и кешем раздулась до 20 Гб, причем логи занимают до 10 Гб, конфиг:

Цитата:
# debug_options ALL,1 33,2
unlinkd_program c:\squid\libexec\unlinkd.exe
dns_testnames 127.0.0.1

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

http_reply_access allow all

#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

# Squid normally listens to port 3128
# фильтр ограничения доступа на определенный интерфейс
# http_port 192.168.0.1:3128
http_port 3128

cache_mem 8 MB
cache_dir ufs c:/squid/var/cache 100 16 256
access_log c:/squid/var/logs/access.log squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

visible_hostname localhost
Автор: mikas
Дата сообщения: 30.06.2009 02:02
Bercut
Добавь:
cache_store_log none
Далее ufs советую заменить на aufs
Определи min и max size объектов в кеше
размре у тебя стоит 100Мб, L1 16 L2 256
в каждой папке L2 сквид держит 64 объекта
получается что у тебя максимум 64*256*16=262144 объектов в кеше.
Стандартный размер кластера в винде 4Кб - т.е. объект меньше 4Кб всё равно займёт 4Кб
Итого 262144*4Кб = 1048576Кб = 1024Мб что больше твоего кеша!!!
Из-за этого у сквида сносит крышу при обслуживании кешдира, делает он это не постоянно и в итоге (как я заметил) файл swap.state начинает разрастаться до многогигабайтных размеров.
Мой пример отладочного сквида: cache_dir aufs d:\squid\cache 512 32 64 min-size=4096 max-size=67108864
Автор: Bercut
Дата сообщения: 30.06.2009 13:52
mikas
в случае разрастания размеров лога, мне надо добавить:
Цитата:
cache_store_log none
при этом логи как я понимаю вообще вестись больше не будут

далее, для кеша, мне надо поменять только строку:
Цитата:
cache_dir ufs c:/squid/var/cache 100 16 256
или размер кеша в памяти тоже надо изменить?
и какие лучше мне прописать параметры в своем случае, мне на самом деле кеширующие возможности сквида не столь важны, поэтому нужно чтобы он не разрастался больше какой-то условной цифры (например 100 мб), может тогда снизить количество папок для Л1 и Л2? Посоветуйте конкретно какую строку для конфига кеша мне вписать) А то, я пользуюсь им совсем недолго.
Автор: Ruza
Дата сообщения: 30.06.2009 19:18
mikas
http://www.safesquid.com/html/portal.php?page=126

Bercut
Ещё что то с ротацией логов надо делать.

Цитата:
при этом логи как я понимаю вообще вестись больше не будут

Только сторе_дог не будет записываться.
Автор: mikas
Дата сообщения: 01.07.2009 12:17
Bercut

Цитата:
при этом логи как я понимаю вообще вестись больше не будут


Цитата:
Только сторе_дог не будет записываться.

Он не нужен. Там служебная информация

Цитата:
или размер кеша в памяти тоже надо изменить?

По желанию.

Цитата:
и какие лучше мне прописать параметры в своем случае, мне на самом деле кеширующие возможности сквида не столь важны, поэтому нужно чтобы он не разрастался больше какой-то условной цифры (например 100 мб), может тогда снизить количество папок для Л1 и Л2? Посоветуйте конкретно какую строку для конфига кеша мне вписать) А то, я пользуюсь им совсем недолго.

можно написать cache_dir nul или cache_dir no_store (не уверен) и кеша не будет вовсе.
100Мб = 102400Кб/4Кб=25600 объектов /64 = 400 (этому числу должно ровнятся L1*L2) - варианты выбирай как хочешь.
например cache_dir aufs c:/squid/var/cache 100 16 25

мой кусочек конфига:

Код: memory_pools off

cache_mem 128 MB

maximum_object_size_in_memory 64 KB
maximum_object_size 64 MB

memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

cache_dir aufs d:\squid\cache 512 32 64 min-size=4096 max-size=67108864
Автор: Leshgan
Дата сообщения: 16.07.2009 14:43
Вопрос не про настройку и проблему, а про анализатор лога под win32
Подскажите какой анализатор заюзать и заодно какой формат лога под этот анализатор нужно.
Сейчас формат лога сделал для наглядности вот таким:

Код:
logformat squid %>a [%{%d/%m/%Y:%H:%M:%S}tl] "%rm %ru" %Hs %<st
Автор: mikas
Дата сообщения: 17.07.2009 10:12
Leshgan
Internet Access Monitor
Лог должен быть в формате squid и начинаться с access
Автор: Ka1n1
Дата сообщения: 21.07.2009 09:39
Подскажите, на данный момент возможно запустить squid под windows как прозрачный прокси? Если рассматривать последние его бета сборки под windows, то появилась у него такая возможность? Или это можно уже реализовать в нем используя что то дополнительно?
Автор: Molt
Дата сообщения: 21.07.2009 14:42

Цитата:
squid под windows как прозрачный прокси?

А что, простите, будет заворачивать http-трафик на squid? Что бы прокси был прозрачным.
Автор: lsd11
Дата сообщения: 22.07.2009 03:53

Цитата:
А что, простите, будет заворачивать http-трафик на squid? Что бы прокси был прозрачным.


а если использовать proxycap или иной проксификатор?
Автор: lsd11
Дата сообщения: 24.07.2009 07:31
Уважаемые камрады, у кого есть kraken config for squid? Не могли бы Вы выложить буду весьма признателен! С сайта http://www.krakenreports.com/ немогу скачать

Автор: Engaged Clown
Дата сообщения: 24.07.2009 16:27
lsd11
Этот http://dump.ru/file/3109069 ?
Он довольно кривоват.

Страницы: 12345678910111213141516171819

Предыдущая тема: Долгий выход из терминального сеанса.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.