← Вернуться в раздел «В помощь системному администратору»

» Squid

Автор: Alukardd
Дата сообщения: 22.12.2010 12:09

seesv
Если вы закоментили ту строку и по прежнему пропускает всех, то тогда стоит привести строку http_access allow all link к виду http_access allow link

Автор: seesv
Дата сообщения: 22.12.2010 13:46

Цитата:

Если вы закоментили ту строку и по прежнему пропускает всех, то тогда стоит привести строку http_access allow all link к виду http_access allow link

Попробовал все равно дает работникам полный доступ

Автор: Alukardd
Дата сообщения: 22.12.2010 17:01

seesv
выложите сюда пожалуйста в тэг [more] ваш конфиг в текущем состоянии, и не надо в нем заменять локальные адреса на xxx - в этом нету ни какого толку!

Автор: vlary
Дата сообщения: 22.12.2010 17:27

seesv Правила сквид выполняет последовательно, и как только он встречает правило, соответствующее данному запросу, он перестает читать их дальше и выполняет либо отвергает запрос. Так что рассмотрите свою цепочку с этой точки зрения.

Автор: Alukardd
Дата сообщения: 22.12.2010 17:33

А уверен ли уважаемый vlary, что ответ он адресовал тому сэру? И если тому то это прикольно - 5месяцев спустя...
И в любом случае лучше использовать команду reconfigure нежели перезапускать службу/демона.

p.s. оу подправили уже сообщение(

Автор: vlary
Дата сообщения: 22.12.2010 23:22

Alukardd Да, действительно не на того кликнул, поскольку как раз был занят спешным завершением рабочего дня, одной ногой будучи уже за дверью... Ладно, кому надо, все равно поймет.

Автор: seesv
Дата сообщения: 24.12.2010 12:02

Цитата:

выложите сюда пожалуйста в тэг (more) ваш конфиг в текущем состоянии, и не надо в нем заменять локальные адреса на xxx - в этом нету ни какого толку!

извиняюсь что так долго отвечаю(ездил на семинар по работе), а сам конфиг вылаживаю как есть
[more]
# ДОБРО ПОЖАЛОВАТЬ В SQUID 2.7.STABLE4
# ----------------------------
#
# include /path/to/included/file/squid.acl.config
#

# OPTIONS FOR AUTHENTICATION (ВАРИАНТЫ для проверки подлинности)
# -----------------------------------------------------------------------------

# TAG: auth_param
#
#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

# TAG: authenticate_cache_garbage_interval
#
#Default:
# authenticate_cache_garbage_interval 1 hour

# TAG: authenticate_ttl
#
#Default:
# authenticate_ttl 1 hour

# TAG: authenticate_ip_ttl
#
#Default:
# authenticate_ip_ttl 0 seconds

# TAG: authenticate_ip_shortcircuit_ttl
#
#Default:
# authenticate_ip_shortcircuit_ttl 0 seconds

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

# TAG: external_acl_type
#
#Default:
# none

# TAG: acl
#
#Examples:
#acl macaddress arp 09:00:2b:23:45:67
#acl myexample dst_as 1241
#acl password proxy_auth REQUIRED
#acl fileupload req_mime_type -i ^multipart/form-data$
#acl javascript rep_mime_type -i ^application/x-javascript$
#
#Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

acl adminnet src 10.32.56.60/24
acl adminnet src 10.32.56.2/24
acl adminnet src 10.32.56.3/24
#acl allnet src 0/0
acl link url_regex [-i] "c:/squid/etc/link.txt"

#
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

# TAG: http_access
#
#Default:
# http_access deny all
#
#

http_access allow adminnet
#http_access allow all link

# Только позволяют cachemgr доступ из локальной
http_access allow manager localhost
http_access deny manager
# Отклонять запросы в неизвестном портов
http_access deny !Safe_ports
#
http_access deny CONNECT !SSL_ports
#
#http_access deny to_localhost
#
#http_access allow localnet

# And finally deny all other access to this proxy

http_access deny all !link

# TAG: http_access2
#
#Default:
# none

# TAG: http_reply_access
#
#Default:
# http_reply_access allow all

# TAG: icp_access
#
#Default:
# icp_access deny all
#
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

# TAG: htcp_access
#
#Default:
# htcp_access deny all
#
#Allow HTCP queries from local networks only
# htcp_access allow localnet
# htcp_access deny all

# TAG: htcp_clr_access
#
##Allow HTCP CLR requests from trusted peers
#acl htcp_clr_peer src 172.16.1.2
#htcp_clr_access allow htcp_clr_peer
#
#Default:
# htcp_clr_access deny all

# TAG: miss_access
#
#Default setting:
# miss_access allow all

# TAG: ident_lookup_access
#
#Default:
# ident_lookup_access deny all

# TAG: reply_body_max_size    bytes allow|deny acl acl...
#
#Default:
# reply_body_max_size 0 allow all

# TAG: authenticate_ip_shortcircuit_access
#
#Default:
# none

# OPTIONS FOR X-Forwarded-For
# -----------------------------------------------------------------------------

# TAG: follow_x_forwarded_for
#
#    For example:
#
#        acl localhost src 127.0.0.1
#        acl my_other_proxy srcdomain .proxy.example.com
#        follow_x_forwarded_for allow localhost
#        follow_x_forwarded_for allow my_other_proxy
#
#Default:
# follow_x_forwarded_for deny all

# TAG: acl_uses_indirect_client    on|off
#
#Default:
# acl_uses_indirect_client on

# TAG: delay_pool_uses_indirect_client    on|off
#
#Default:
# delay_pool_uses_indirect_client on

# TAG: log_uses_indirect_client    on|off
#
#Default:
# log_uses_indirect_client on

# SSL OPTIONS
# -----------------------------------------------------------------------------

# TAG: ssl_unclean_shutdown
#
#Default:
# ssl_unclean_shutdown off

# TAG: ssl_engine
#
#Default:
# none

# TAG: sslproxy_client_certificate
#
#Default:
# none

# TAG: sslproxy_client_key
#
#Default:
# none

# TAG: sslproxy_version
#
#Default:
# sslproxy_version 1

# TAG: sslproxy_options
#
#Default:
# none

# TAG: sslproxy_cipher
#
#Default:
# none

# TAG: sslproxy_cafile
#
#Default:
# none

# TAG: sslproxy_capath
#
#Default:
# none

# TAG: sslproxy_flags
#
#Default:
# none

# TAG: sslpassword_program
#
#Default:
# none

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

# TAG: http_port
#
# Squid normally listens to port 3128
http_port 3128

# TAG: https_port
#
#Default:
# none

# TAG: tcp_outgoing_tos
#
#Default:
# none

# TAG: tcp_outgoing_address
#
#Default:
# none

# TAG: zph_mode
#
#Default:
# zph_mode off

# TAG: zph_local
#
#Default:
# zph_local 0

# TAG: zph_sibling
#
#Default:
# zph_sibling 0

# TAG: zph_parent
#
#Default:
# zph_parent 0

# TAG: zph_option
#
#Default:
# zph_option 136

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

# TAG: cache_peer
#
#Default:
# none

# TAG: cache_peer_domain
#
#Default:
# none

# TAG: cache_peer_access
#
#Default:
# none

# TAG: neighbor_type_domain
#
#EXAMPLE:
#    cache_peer cache.foo.org parent 3128 3130
#    neighbor_type_domain cache.foo.org sibling .com .net
#    neighbor_type_domain cache.foo.org sibling .au .de
#
#Default:
# none

# TAG: dead_peer_timeout    (seconds)
#
#Default:
# dead_peer_timeout 10 seconds

# TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------

# TAG: cache_mem    (bytes)
#
#Default:
# cache_mem 8 MB

# TAG: maximum_object_size_in_memory    (bytes)
#
#Default:
# maximum_object_size_in_memory 8 KB

# TAG: memory_replacement_policy
#
#Default:
# memory_replacement_policy lru

# DISK CACHE OPTIONS
# -----------------------------------------------------------------------------

# TAG: cache_replacement_policy
#
#Default:
cache_replacement_policy lru

# TAG: cache_dir
#
#Default:
cache_dir ufs c:/squid/var/cache 100 16 256

# TAG: store_dir_select_algorithm
#
#Default:
store_dir_select_algorithm least-load

# TAG: max_open_disk_fds
#
#Default:
max_open_disk_fds 0

# TAG: minimum_object_size    (bytes)
#
#Default:
minimum_object_size 0 KB

# TAG: maximum_object_size    (bytes)
#
#Default:
maximum_object_size 4096 KB

# TAG: cache_swap_low    (percent, 0-100)
# TAG: cache_swap_high    (percent, 0-100)
#
#Default:
cache_swap_low 90
cache_swap_high 95

# TAG: update_headers    on|off
#
#Default:
update_headers on

# LOGFILE OPTIONS
# -----------------------------------------------------------------------------

# TAG: logformat
#
#logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
#logformat squidmime %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt [%>h] [%<h]
#logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh
#logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
#
#Default:
# none

# TAG: access_log
access_log c:/squid/var/logs/access.log squid

# TAG: log_access    allow|deny acl acl...
#
#Default:
# none

# TAG: logfile_daemon
#
#Default:
logfile_daemon c:/squid/libexec/logfile-daemon.exe

# TAG: cache_log
#
#Default:
cache_log c:/squid/var/logs/cache.log

# TAG: cache_store_log
#
#Default:
cache_store_log c:/squid/var/logs/store.log

# TAG: cache_swap_state
#
#Default:
# none

# TAG: logfile_rotate
#
#Default:
logfile_rotate 10

# TAG: emulate_httpd_log    on|off
#
#Default:
emulate_httpd_log off

# TAG: log_ip_on_direct    on|off
#
#Default:
log_ip_on_direct on

# TAG: mime_table
#
#Default:
mime_table c:/squid/etc/mime.conf

# TAG: log_mime_hdrs    on|off
#
#Default:
log_mime_hdrs off

# TAG: useragent_log
#
#Default:
# none

# TAG: referer_log
#
#Default:
# none

# TAG: pid_filename
#
#Default:
pid_filename c:/squid/var/logs/squid.pid

# TAG: debug_options
#
#Default:
# debug_options ALL,1

# TAG: log_fqdn    on|off
#
#Default:
log_fqdn off

# TAG: client_netmask
#
#Default:
# client_netmask 255.255.255.255

# TAG: forward_log
#
#Default:
# none

# TAG: strip_query_terms
#
#Default:
strip_query_terms on

# TAG: buffered_logs    on|off
#
#Default:
buffered_logs off

# TAG: netdb_filename
#
#Default:
# netdb_filename @DEFAULT_NETDB_FILE@

# OPTIONS FOR FTP GATEWAYING
# -----------------------------------------------------------------------------

# TAG: ftp_user
#
#Default:
# ftp_user Squid@

# TAG: ftp_list_width
#
#Default:
# ftp_list_width 32

# TAG: ftp_passive
#
#Default:
# ftp_passive on

# TAG: ftp_sanitycheck
#
#Default:
# ftp_sanitycheck on

# TAG: ftp_telnet_protocol
#
#Default:
# ftp_telnet_protocol on

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

# TAG: diskd_program
#
#Default:
# diskd_program c:/squid/libexec/diskd-daemon.exe

# TAG: unlinkd_program
#
#Default:
# unlinkd_program c:/squid/libexec/unlinkd.exe

# TAG: pinger_program
#
#Default:
# pinger_program c:/squid/libexec/pinger.exe

# OPTIONS FOR URL REWRITING
# -----------------------------------------------------------------------------

# TAG: storeurl_rewrite_program
#
#Default:
# none

# TAG: storeurl_rewrite_children
#
#Default:
# storeurl_rewrite_children 5

# TAG: storeurl_rewrite_concurrency
#
#Default:
# storeurl_rewrite_concurrency 0

# TAG: url_rewrite_program
#
#Default:
# none

# TAG: url_rewrite_children
#
#Default:
# url_rewrite_children 5

# TAG: url_rewrite_concurrency
#
#Default:
# url_rewrite_concurrency 0

# TAG: url_rewrite_host_header
#
#Default:
# url_rewrite_host_header on

# TAG: url_rewrite_access
#
#Default:
# none

# TAG: storeurl_access
#
#
#Default:
# none

# TAG: redirector_bypass
#
#Default:
# redirector_bypass off

# TAG: location_rewrite_program
#
#Default:
# none

# TAG: location_rewrite_children
#
#Default:
# location_rewrite_children 5

# TAG: location_rewrite_concurrency
#
#Default:
# location_rewrite_concurrency 0

# TAG: location_rewrite_access
#
#Default:
# none

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

# TAG: cache
#
#Default:
# none

# TAG: max_stale    time-units
#
#Default:
# max_stale 1 week

# TAG: refresh_pattern
#
#Suggested default:
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

# TAG: quick_abort_min    (KB)
# TAG: quick_abort_max    (KB)
# TAG: quick_abort_pct    (percent)
#
#Default:
# quick_abort_min 16 KB
# quick_abort_max 16 KB
# quick_abort_pct 95

# TAG: read_ahead_gap    buffer-size
#
#Default:
# read_ahead_gap 16 KB

# TAG: negative_ttl    time-units
#
#Default:
# negative_ttl 5 minutes

# TAG: positive_dns_ttl    time-units
#
#Default:
# positive_dns_ttl 6 hours

# TAG: negative_dns_ttl    time-units
#
#Default:
# negative_dns_ttl 1 minute

# TAG: range_offset_limit    (bytes)
#
#Default:
# range_offset_limit 0 KB

# TAG: minimum_expiry_time    (seconds)
#
#Default:
# minimum_expiry_time 60 seconds

# TAG: store_avg_object_size    (kbytes)
#
#Default:
# store_avg_object_size 13 KB

# TAG: store_objects_per_bucket
#
#Default:
# store_objects_per_bucket 20

# HTTP OPTIONS
# -----------------------------------------------------------------------------

# TAG: request_header_max_size    (KB)
#
#Default:
# request_header_max_size 20 KB

# TAG: reply_header_max_size    (KB)
#
#Default:
# reply_header_max_size 20 KB

# TAG: request_body_max_size    (KB)
#
#Default:
# request_body_max_size 0 KB

# TAG: broken_posts
#
#Example:
# acl buggy_server url_regex ^http://....
# broken_posts allow buggy_server
#
#Default:
# none

# TAG: via    on|off
#
#Default:
# via on

# TAG: cache_vary
#
#Default:
# cache_vary on

# TAG: broken_vary_encoding
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

# TAG: collapsed_forwarding    (on|off)
#
#Default:
# collapsed_forwarding off

# TAG: refresh_stale_hit    (time)
#
#Default:
# refresh_stale_hit 0 seconds

# TAG: ie_refresh    on|off
#
#Default:
# ie_refresh off

# TAG: vary_ignore_expire    on|off
#
#Default:
# vary_ignore_expire off

# TAG: extension_methods
#
#Default:
# none

# TAG: request_entities
#
#Default:
# request_entities off

# TAG: header_access
#
#Default:
# none

# TAG: header_replace
#
#Default:
# none

# TAG: relaxed_header_parser    on|off|warn
#
#Default:
# relaxed_header_parser on

# TAG: server_http11    on|off
#
#Default:
# server_http11 off

# TAG: ignore_expect_100    on|off
#
#Default:
# ignore_expect_100 off

# TAG: external_refresh_check
#
#Default:
# none

# TIMEOUTS
# -----------------------------------------------------------------------------

# TAG: forward_timeout    time-units
#
#Default:
# forward_timeout 4 minutes

# TAG: connect_timeout    time-units
#
#Default:
# connect_timeout 1 minute

# TAG: peer_connect_timeout    time-units
#
#Default:
# peer_connect_timeout 30 seconds

# TAG: read_timeout    time-units
#
#Default:
# read_timeout 15 minutes

# TAG: request_timeout
#
#Default:
# request_timeout 5 minutes

# TAG: persistent_request_timeout
#
#Default:
# persistent_request_timeout 2 minutes

# TAG: client_lifetime    time-units
#
#Default:
# client_lifetime 1 day

# TAG: half_closed_clients
#
#Default:
# half_closed_clients on

# TAG: pconn_timeout
#
#Default:
# pconn_timeout 1 minute

# TAG: ident_timeout
#
#Default:
# ident_timeout 10 seconds

# TAG: shutdown_lifetime    time-units
#
#Default:
# shutdown_lifetime 30 seconds

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

# TAG: cache_mgr
#
#Default:
# cache_mgr webmaster

# TAG: mail_from
#
#Default:
# none

# TAG: mail_program
#
#Default:
# mail_program mail

# TAG: cache_effective_user
#
#Default:
# cache_effective_user nobody

# TAG: cache_effective_group
#
#Default:
# none

# TAG: httpd_suppress_version_string    on|off
#
#Default:
# httpd_suppress_version_string off

# TAG: visible_hostname
#
#Default:
# none

# TAG: unique_hostname
#
#Default:
# none

# TAG: hostname_aliases
#
#Default:
# none

# TAG: umask
#
#Default:
# umask 027

# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
#
# TAG: announce_period
#
#Default:
# announce_period 0
#
#To enable announcing your cache, just uncomment the line below.
#announce_period 1 day

# TAG: announce_host
# TAG: announce_file
# TAG: announce_port
#
#Default:
# announce_host tracker.ircache.net
# announce_port 3131

# HTTPD-ACCELERATOR OPTIONS
# -----------------------------------------------------------------------------

# TAG: httpd_accel_no_pmtu_disc    on|off
#
#Default:
# httpd_accel_no_pmtu_disc off

# DELAY POOL PARAMETERS
# -----------------------------------------------------------------------------

# TAG: delay_pools
#
#Default:
# delay_pools 0

# TAG: delay_class
#
#Example:
# delay_pools 2 # 2 delay pools
# delay_class 1 2 # pool 1 is a class 2 pool
# delay_class 2 3 # pool 2 is a class 3 pool
#
#
#Default:
# none

# TAG: delay_access
#
#Example:
# delay_access 1 allow some_big_clients
# delay_access 1 deny all
# delay_access 2 allow lotsa_little_clients
# delay_access 2 deny all
#
#Default:
# none

# TAG: delay_parameters
#
#delay_parameters pool aggregate
#
#    For a class 2 delay pool:
#
#delay_parameters pool aggregate individual
#
#    For a class 3 delay pool:
#
#delay_parameters pool aggregate network individual
#
#
#delay_parameters 1 -1/-1 8000/8000
#
#
#delay_parameters 2 32000/32000 8000/8000 600/8000
#
#
#Default:
# none

# TAG: delay_initial_bucket_level    (percent, 0-100)
#
#Default:
# delay_initial_bucket_level 50

# WCCPv1 AND WCCPv2 CONFIGURATION OPTIONS
# -----------------------------------------------------------------------------

# TAG: wccp_router
#
# TAG: wccp2_router
#
#Default:
# wccp_router 0.0.0.0

# TAG: wccp_version
#
#Default:
# wccp_version 4

# TAG: wccp2_rebuild_wait
#
#Default:
# wccp2_rebuild_wait on

# TAG: wccp2_forwarding_method
#
#Default:
# wccp2_forwarding_method 1

# TAG: wccp2_return_method
#
#Default:
# wccp2_return_method 1

# TAG: wccp2_assignment_method
#
#Default:
# wccp2_assignment_method 1

# TAG: wccp2_service
#
#Default:
# wccp2_service standard 0

# TAG: wccp2_service_info
#
#Default:
# none

# TAG: wccp2_weight
#
#Default:
# wccp2_weight 10000

# TAG: wccp_address
#
# TAG: wccp2_address
#
#Default:
# wccp_address 0.0.0.0
# wccp2_address 0.0.0.0

# PERSISTENT CONNECTION HANDLING
# -----------------------------------------------------------------------------
#
# Also see "pconn_timeout" in the TIMEOUTS section

# TAG: client_persistent_connections
# TAG: server_persistent_connections
#
#Default:
# client_persistent_connections on
# server_persistent_connections on

# TAG: persistent_connection_after_error
#
#Default:
# persistent_connection_after_error off

# TAG: detect_broken_pconn
#
#Default:
# detect_broken_pconn off

# CACHE DIGEST OPTIONS
# -----------------------------------------------------------------------------

# TAG: digest_generation
#
#Default:
# digest_generation on

# TAG: digest_bits_per_entry
#
#Default:
# digest_bits_per_entry 5

# TAG: digest_rebuild_period    (seconds)
#
#Default:
# digest_rebuild_period 1 hour

# TAG: digest_rewrite_period    (seconds)
#
#Default:
# digest_rewrite_period 1 hour

# TAG: digest_swapout_chunk_size    (bytes)
#
#Default:
# digest_swapout_chunk_size 4096 bytes

# TAG: digest_rebuild_chunk_percentage    (percent, 0-100)
#
#Default:
# digest_rebuild_chunk_percentage 10

# SNMP OPTIONS
# -----------------------------------------------------------------------------

# TAG: snmp_port
#
#Default:
# snmp_port 3401

# TAG: snmp_access
#
#Example:
# snmp_access allow snmppublic localhost
# snmp_access deny all
#
#Default:
# snmp_access deny all

# TAG: snmp_incoming_address
# TAG: snmp_outgoing_address
#
#Default:
# snmp_incoming_address 0.0.0.0
# snmp_outgoing_address 255.255.255.255

# ICP OPTIONS
# -----------------------------------------------------------------------------

# TAG: icp_port
#
#Default:
# icp_port 3130

# TAG: htcp_port
#
#Default:
# htcp_port 4827

# TAG: log_icp_queries    on|off
#
#Default:
# log_icp_queries on

# TAG: udp_incoming_address
#
#Default:
# udp_incoming_address 0.0.0.0

# TAG: udp_outgoing_address
#
#Default:
# udp_outgoing_address 255.255.255.255

# TAG: icp_hit_stale    on|off
#
#Default:
# icp_hit_stale off

# TAG: minimum_direct_hops
#
#Default:
# minimum_direct_hops 4

# TAG: minimum_direct_rtt
#
#Default:
# minimum_direct_rtt 400

# TAG: netdb_low
# TAG: netdb_high
#
#Default:
# netdb_low 900
# netdb_high 1000

# TAG: netdb_ping_period
#
#Default:
# netdb_ping_period 5 minutes

# TAG: query_icmp    on|off
#
#Default:
# query_icmp off

# TAG: test_reachability    on|off
#
#Default:
# test_reachability off

# TAG: icp_query_timeout    (msec)
#
#Default:
# icp_query_timeout 0

# TAG: maximum_icp_query_timeout    (msec)
#
#Default:
# maximum_icp_query_timeout 2000

# TAG: minimum_icp_query_timeout    (msec)
#
#Default:
# minimum_icp_query_timeout 5

# MULTICAST ICP OPTIONS
# -----------------------------------------------------------------------------

# TAG: mcast_groups
#
#Default:
# none

# TAG: mcast_miss_addr
#
#Default:
# mcast_miss_addr 255.255.255.255

# TAG: mcast_miss_ttl
#
#Default:
# mcast_miss_ttl 16

# TAG: mcast_miss_port
#
#Default:
# mcast_miss_port 3135

# TAG: mcast_miss_encode_key
#
#Default:
# mcast_miss_encode_key XXXXXXXXXXXXXXXX

# TAG: mcast_icp_query_timeout    (msec)
#
#Default:
# mcast_icp_query_timeout 2000

# INTERNAL ICON OPTIONS
# -----------------------------------------------------------------------------

# TAG: icon_directory
#
#Default:
# icon_directory c:/squid/share/icons

# TAG: global_internal_static
#
#Default:
# global_internal_static on

# TAG: short_icon_urls
#
#Default:
# short_icon_urls off

# ERROR PAGE OPTIONS
# -----------------------------------------------------------------------------

# TAG: error_directory
#
#Default:
# error_directory c:/squid/share/errors/English

# TAG: error_map
#
#Default:
# none

# TAG: err_html_text
#
#Default:
# none

# TAG: deny_info
#
#Default:
# none

# OPTIONS INFLUENCING REQUEST FORWARDING
# -----------------------------------------------------------------------------

# TAG: nonhierarchical_direct
#
#Default:
# nonhierarchical_direct on

# TAG: prefer_direct
#
#Default:
# prefer_direct off

# TAG: ignore_ims_on_miss    on|off
#
#Default:
# ignore_ims_on_miss off

# TAG: always_direct
#
#Default:
# none

# TAG: never_direct
#
#Default:
# none

# ADVANCED NETWORKING OPTIONS
# -----------------------------------------------------------------------------

# TAG: max_filedescriptors
#
#Default:
# max_filedescriptors 0

# TAG: accept_filter
#    FreeBSD:
#
#EXAMPLE:
## FreeBSD
#accept_filter httpready
## Linux
#accept_filter data
#
#Default:
# none

# TAG: tcp_recv_bufsize    (bytes)
#
#Default:
# tcp_recv_bufsize 0 bytes

# TAG: incoming_rate
#
#Default:
# incoming_rate 30

# DNS OPTIONS
# -----------------------------------------------------------------------------

# TAG: check_hostnames
#
#Default:
# check_hostnames on

# TAG: allow_underscore
#
#Default:
# allow_underscore on

# TAG: cache_dns_program
#
#Default:
# cache_dns_program c:/squid/libexec/dnsserver.exe

# TAG: dns_children
#
#Default:
# dns_children 5

# TAG: dns_retransmit_interval
#
#Default:
# dns_retransmit_interval 5 seconds

# TAG: dns_timeout
#
#Default:
# dns_timeout 2 minutes

# TAG: dns_defnames    on|off
#
#Default:
# dns_defnames off

# TAG: dns_nameservers
#
#Default:
# none

# TAG: hosts_file
#
#Default:
# none

# TAG: dns_testnames
#
#Default:
# dns_testnames netscape.com internic.net nlanr.net microsoft.com

# TAG: append_domain
#
#Example:
# append_domain .yourdomain.com
#
#Default:
# none

# TAG: ignore_unknown_nameservers
#
#Default:
# ignore_unknown_nameservers on

# TAG: ipcache_size    (number of entries)
# TAG: ipcache_low    (percent)
# TAG: ipcache_high    (percent)
#
#Default:
# ipcache_size 1024
# ipcache_low 90
# ipcache_high 95

# TAG: fqdncache_size    (number of entries)
#
#Default:
# fqdncache_size 1024

# MISCELLANEOUS
# -----------------------------------------------------------------------------

# TAG: memory_pools    on|off
#
#Default:
# memory_pools on

# TAG: memory_pools_limit    (bytes)
#
#
#Default:
# memory_pools_limit 5 MB

# TAG: forwarded_for    on|off
#
#Default:
# forwarded_for on

# TAG: cachemgr_passwd
#
#Example:
# cachemgr_passwd secret shutdown
# cachemgr_passwd lesssssssecret info stats/objects
# cachemgr_passwd disable all
#
#Default:
# none

# TAG: client_db    on|off
#
#Default:
# client_db on

# TAG: reload_into_ims    on|off
#
#Default:
# reload_into_ims off

# TAG: maximum_single_addr_tries
#
#Default:
# maximum_single_addr_tries 1

# TAG: retry_on_error
#
#Default:
# retry_on_error off

# TAG: as_whois_server
#
#Default:
# as_whois_server whois.ra.net
# as_whois_server whois.ra.net

# TAG: offline_mode
#
#Default:
# offline_mode off

# TAG: uri_whitespace
#
#Default:
# uri_whitespace strip

# TAG: coredump_dir
#
#Default:
# coredump_dir none
#
# Leave coredumps in the first cache dir
coredump_dir c:/squid/var/cache

# TAG: chroot
#
#Default:
# none

# TAG: balance_on_multiple_ip
#
#Default:
# balance_on_multiple_ip on

# TAG: pipeline_prefetch
#
#Default:
# pipeline_prefetch off

# TAG: high_response_time_warning    (msec)
#
#Default:
# high_response_time_warning 0

# TAG: high_page_fault_warning
#
#Default:
# high_page_fault_warning 0

# TAG: high_memory_warning
#
#Default:
# high_memory_warning 0 KB

# TAG: sleep_after_fork    (microseconds)
#
#Default:
# sleep_after_fork 0

# TAG: zero_buffers    on|off
#
#Default:
# zero_buffers on

# TAG: windows_ipaddrchangemonitor    on|off
#
#Default:
# windows_ipaddrchangemonitor on
[/more]
пришлось убрать описание - не давал опубликовать
решил попробовать http_access deny all !link - не идет
вот какая у меня цель:

Цитата:

нужно сделать полный доступ админу и начальству, а остальным только по разрешенным сайтам ходить.

Автор: vlary
Дата сообщения: 24.12.2010 13:06

seesv Так в чем проблема?
acl usefull dstdomain "/usr/local/squid/acl/good"
acl bosses src 192.168.0.5 192.168.0.10 192.168.0.15
acl localnet src 192.168.0.0/24
http_access allow bosses
http_access allow localnet usefull
http_access deny all

Автор: seesv
Дата сообщения: 24.12.2010 13:43

не получается, блокируется весь интернет

Цитата:

acl usefull dstdomain "/usr/local/squid/acl/good"
acl bosses src 192.168.0.5 192.168.0.10 192.168.0.15
acl localnet src 192.168.0.0/24
http_access allow bosses
http_access allow localnet usefull
http_access deny all

можете посмотреть мой конфиг выше

Цитата:

извиняюсь что так долго отвечаю(ездил на семинар по работе), а сам конфиг вылаживаю как есть
Подробнее...

Автор: vlary
Дата сообщения: 24.12.2010 14:23

seesv
Цитата:

не получается, блокируется весь интернет

Да кто же тебя научил так акцесс-листы писать?

Цитата:

acl adminnet src 10.32.56.60/24
acl adminnet src 10.32.56.2/24
acl adminnet src 10.32.56.3/24

При такой маске все три листа одинаковы.
И это: acl link url_regex [-i] "c:/squid/etc/link.txt" лучше замени на список правильных доменов. Через url_regex проще что-то запрещать, чем разрешать.
И внимательно читай ответы, а то тебе советуешь, а ты все равно делаешь по-своему.

Автор: Alukardd
Дата сообщения: 24.12.2010 14:29

в добавок к вышесказанному меня смущает acl all src all - в случае debian его вообще не надо указывать, ну а раз мы в винде, то я бы предпочел его описать как acl all src 0.0.0.0/0

Автор: seesv
Дата сообщения: 24.12.2010 14:47

Цитата:

И внимательно читай ответы, а то тебе советуешь, а ты все равно делаешь по-своему.

дело в том что ищу информацию и пробую, когда подставляю acl и http_access я свои за комментирую чтоб можно было вернуть назад вдруг что-то не то
а эта строка была одной acl adminnet src 10.32.56.60/24 10.32.56.2/24 10.32.56.3/24

Цитата:

acl adminnet src 10.32.56.60/24
acl adminnet src 10.32.56.2/24
acl adminnet src 10.32.56.3/24

меня интересует очередность правильна в тегах acl и http_access
------------------------------------------
Добавлено:
такая запись была в конфиге как я только установил squid в (squid.conf.default)

Цитата:

acl all src all

Автор: Alukardd
Дата сообщения: 24.12.2010 15:18

seesv
Цитата:

а эта строка была одной acl adminnet src 10.32.56.60/24 10.32.56.2/24 10.32.56.3/24

это значения не имеет, как заметил vlary. Почитайте как про сетевые макси. Что такое подсети и сетевые маски?

Что касается самого squid, то выглядит все более менее прилично и правильно. Так что искать затыку нужно вам в логике.

Автор: BilliBilli36
Дата сообщения: 28.12.2010 21:04

Здравствуйте со squid'ом познакомился недавно, и вот еще пока изучаю, вот возник вопрос можно ли с помощью него закрыть порты аськи и мэйла? и если не затруднит вас уважаемые гуру, то кинуть сюда (или в лс) код конфига с примером запрета портов ICQ и МэйлАгента.

Автор: ipmanyak
Дата сообщения: 29.12.2010 07:12

BilliBilli36 Блочишь сетки АОЛа:
acl BAD1 dst 64.12.0.0/255.255.0.0
acl BAD2 dst 205.188.0.0/255.255.0.0
acl BAD3 dts 152.163.0.0/255.255.0.0
http_access deny BAD1
http_access deny BAD2
http_access deny BAD3

у рамблера icq вроде бы эти сетки, их докучи заблокируй:
81.19.64.0 - 81.19.66.255 - Rambler ICQ
81.19.69.0 - 81.19.70.255 - icq-ws.rambler.ru

# m-agent бань по днс имени mrim.mail.ru
acl mra dstdom_regex -i mrim\.mail\.ru
http_access deny mra

Автор: BilliBilli36
Дата сообщения: 06.01.2011 16:59

Цитата:

BilliBilli36 Блочишь сетки АОЛа:
acl BAD1 dst 64.12.0.0/255.255.0.0
acl BAD2 dst 205.188.0.0/255.255.0.0
acl BAD3 dts 152.163.0.0/255.255.0.0
http_access deny BAD1
http_access deny BAD2
http_access deny BAD3

у рамблера icq вроде бы эти сетки, их докучи заблокируй:
81.19.64.0 - 81.19.66.255 - Rambler ICQ
81.19.69.0 - 81.19.70.255 - icq-ws.rambler.ru

# m-agent бань по днс имени mrim.mail.ru
acl mra dstdom_regex -i mrim\.mail\.ru
http_access deny mra

ни хрена не получается!((((

Автор: pilligrimm
Дата сообщения: 13.01.2011 12:09

Установи Sarg

Автор: Alukardd
Дата сообщения: 13.01.2011 22:23

q111111
:rofl:

я с вас плакать...
вы бы хоть в гугл вбили незнакомое название! SARG - один из анализаторов логов squid. Вообще их куча разных... Я, например, free-sa пользуюсь.

Автор: vlary
Дата сообщения: 13.01.2011 22:42

q111111
Цитата:

есть заблокированные сайты. как узнать кто и куда обращался на эти сайты?

Если они заблокированы, то какая разница? А если просто любопытно, то есть команда grep "плохой сайт" логфайл

Автор: Alukardd
Дата сообщения: 17.01.2011 13:51

q111111
и вот опять в с вопросом и сразу на форум.
Ответы:
Оф сайт squid
Opennet
и т.д.

Автор: vlary
Дата сообщения: 17.01.2011 14:14

Alukardd
Цитата:

и вот опять в с вопросом и сразу на форум.

Там же буквы читать надо, а тут, глядишь, на пальцах покажут...

Автор: Alukardd
Дата сообщения: 18.01.2011 10:46

q111111
есть 3 класса пулов
вот и прочитайте про них.

p.s. пошагово: открываем мою ссылку на opennet и нажимаем в браузере Ctrl+F копируем туда фразу "Пулы могут быть трёх классов" и нажимаем Enter. Читаем и вкуриваем.
p.p.s. читаем внимательно до конца документа. особенно обратите внимание на 2-ой пример (тот, что в 4 строки)

Автор: magiogre
Дата сообщения: 13.03.2011 14:57

Люди добрые! Хочу решить следующую задачку.
Имеется связка Squid + SAMS (SQUID Account Management System)
Хочу закрыть для всех пользователей Squid все порты за исключением 80, 21, ну и еще некоторых, по мере необходимости.
Как это реализовать с помощью Squid?

Автор: kerevra
Дата сообщения: 13.03.2011 16:42

средствами squid - никак. где хранятся списки пользователей?

Цитата:

всех пользователей Squid

есть и другие пользователи?

Автор: vlary
Дата сообщения: 13.03.2011 17:17

magiogre
Цитата:

Как это реализовать с помощью Squid?

Акцесс-листами конфиге Squid. Типа так:
acl Safe_ports port 80 443 21
http_access deny !Safe_ports
Но многие вебсервера используют порты типа 8080, 8088 и т.д.
Так что сюрпризов будет много

Автор: magiogre
Дата сообщения: 13.03.2011 21:42

kerevra
В нашем случае списки пользователей находятся в базе SQL, управляемой через SAMS (web-интерфейс). Аутентифицируются юзеры по IP. Но это всё лирика.

Меня интересует частный случай - закрытие портов сразу для всех кто пользуется прокси.
Другие пользователи есть, но прокси они не используют=)

vlary
Ок, спасибо. Завтра попробую. По поводу других портов, наверное их не так уж и много. Постепенно список пополнится.

Автор: kerevra
Дата сообщения: 13.03.2011 21:51

Цитата:

acl Safe_ports port 80 443 21
http_access deny !Safe_ports

это запретит проксировать порты кроме заданных, а если вам надо запретить доступ ко всем портам мимо прокси, то это можно сделать фаерволом. напишите скриптик, запрещающий пользователям из скульной базы все кроме указанных портов, а указанные порты для этих пользователей заверните на прокси
P.S.: не заворачивайте все на прокси, ограничив проксей только нужные порты, это даст лишнюю нагрузку на сервер

Автор: seesv
Дата сообщения: 16.03.2011 11:43

нужна помощь от специалистов по squid-у

я установил FreeBSD 7.4 и настроил Squid 2.7 stable 9
только в сквиде не получается реализовать поддомен например (.yandex.ru)-такой вареант не проходит хотя на Windows-e работало нормально, проходит только с приставкой (www) точнее полный адрес, незнаете случайно может нужно что-то включить в сквиде что бы использовался поддомен.
например что бы можно было зайти по адресам (sport.yandex.ru) и (foto.yandex.ru), я в сквиде мог бы указать (.yandex.ru) что бы не писать два адреса просто упростило б задачу

строки squid-а:
acl users_sites dstdomain \ "/usr/local/etc/squid/users_sites.conf"
у меня без (\) бьет ошибку

http_access allow users_sites

Автор: vlary
Дата сообщения: 16.03.2011 12:03

seesv
Цитата:

у меня без (\) бьет ошибку

Странно. У меня на Юниксе стоит 2.7.STABLE6, я прописал ему запрет всяческих мусорных сайтов через файл
acl musor dstdomain "/usr/local/squid/acl/musor"
Все нормально, ничего не ругается. И домены в виде .rutube.ru воспринимает правильно, не пускает ни на www.rutube.ru, ни на какой другой в этом домене.

Автор: ErlahA
Дата сообщения: 25.03.2011 12:30

Впервые настраиваю Squid. Есть сеть 192.168.1.0/24. Инет с шириной канала 2мбит/с
Задача раздать 40 юзерам инет используя авторизацию по IP-адресу. Погуглил на эту тему, везде описывают настройки для всей подсети. В моем случае IP-адреса юзеров с большим разбросом. Не хотелось давать доступ в инет всей сети. Как прописать настройки не создавая большой список для всех 40 юзеров?

Страницы: 1 2 3 4 5

Предыдущая тема: Postfix Update

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.