» Squid

Medved1968
Код: acl worktime time D 10:00-17:00
acl deny_url dstdomain "/usr/local/squid/acl/deny_url"
http_access deny deny_url worktime

Цитата:

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 127.0.0.1/32

Я непонял как читать это ???
Например
acl localhost src 127.0.0.1/32

Если Пакет пришел с 127.0.0.1 то разрешаеться ему идти на localhost ?????????????????

IronMan182
Цитата:

acl localhost src 127.0.0.1/32

Это только акцесс-лист, здесь ты его только определяешь, но ничего пока
для него ни разрешаешь, ни запрещаешь.
Просто указываешь, что акцесс-лист localhost должен применяться ко всем пакетам
с адресом источника 127.0.0.1
Потом ты его можешь использовать в директивах
http_access allow или http_access deny
Пример обычного использования:

Код: # Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

Цитата:

Это только акцесс-лист, здесь ты его только определяешь, но ничего пока
для него ни разрешаешь, ни запрещаешь.

Ну это многое объясняет , но не все

acl all src all - ЧТО ЭТО ??
acl manager proto cache_object - ЧТО ЭТО ??
acl localhost src 127.0.0.1/32 - Создаем алиас localhost
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 - Создаем алиас o_localhost dst но формат записи больно ядреный. Еще непонятно зачем сеть to_localhost ? Squid ведь прокси и по NAT работать неможет.

acl localnet src 127.0.0.1/32 - ВОТ это теперь понятно .

Добавлено:
А можно вместо

Цитата:

http_access allow manager localhost
http_access deny manager

Разрешить только два сайта

Цитата:

acl MySite1 url_regex yandex.ru
acl MySite2 url_regex anekdot.ru
http_access allow MySite1
http_access allow MySite2
http_access deny all

?????

IronMan182
Цитата:

acl all src all   -  ЧТО ЭТО  ??

Собственно, в старых версиях сквид это обозначало любой айпи адрес (он же 0.0.0.0/0)
Вообще-то говоря, я считаю, что если человек чего-то не знает, то скорее всего оно ему и не нужно. Ну а если сильно интересуешься, то на сайте сквида есть практически все, О"Рейли выпустил популярную книжку с кальмаром на обложке.
Ну и еще имеется конфиг сквида с комментариями на русском: Ссылка

Цитата:

Разрешить только два сайта

Можно. Но этим ты разрешишь доступ к этим сайтам через твой сквид всему интернету. Возможно, это вовсе не то, чего ты хотел.
Правильнее будет сначала определить локальную сеть.
acl localnet src 192.168.1.0/24
http_access allow localnet MySite1
http_access allow localnet MySite2
http_access deny all

Цитата:

http_access allow localnet MySite1

Прочитал break-people.ru/cmsmade/index.php?page=translate_squid_reference_tag_http_access
Все равно последний вопрос остался ))

http_access allow localnet MySite1 читать как
http_access allow <SOURSE ACL> <Destination ACL > ???????

http_access allow localnet читать как
http_access allow <SOURSE ACL> <ВСЕ URL *.*> ??????


Цитата:

Можно. Но этим ты разрешишь доступ к этим сайтам через твой сквид всему интернету.

Опаньки ! А порт SQUID надо снаружи обязательно закрывать на ВХОДЯЩИЕ ??

IronMan182
Цитата:

http_access allow localnet    читать  как

Все очень просто. Акцесс-листы работают по принципу логического ИЛИ
acl localnet src 192.168.1.0/24 172.16.0.0/12 10.0.0.0/8
все эти сети будут считаться локальными.
Правила работают по принципу логического И.
http_access allow localnet MySite1
Будет выполнено только если источник запроса соответствует localnet, а цель MySite1.
Не сработало - будет проверятся правило
http_access allow localnet MySite2
Если не сработает и оно, тогда сработает
http_access deny all
И сквид покажет клиенту кукиш.

Цитата:

А  порт  SQUID надо  снаружи обязательно  закрывать   на ВХОДЯЩИЕ ??

Если нет каких-то особых планов на это счет (например, смотреть снаружи локальные сайты),
тогда либо закрыть, либо настроить в конфиге, чтобы он слушал только локальный интерфейс.

Авторизация в SQUID для Windows , методичка для даунов

Вот нашел пример . А как быть с паролями . В Linux там с бубном плясать , а как под Windows ??

Пример нашел
acl pals user kim lisa frank joe
http_access allow host2 pals

IronMan182
Цитата:

Авторизация  в SQUID для Windows ,  методичка для  даунов

Дауны Сквид не потянут, их потолок клейка картонных коробок и пошив рабочих рукавиц.
А если не даун, тогда читай сюда: Ссылка

Ага я все ближе и ближе

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd
acl lan proxy_auth REQUIRED
http_access allow lan

А как определить группу юзеров
Я пример нашел но не понял

acl pals user kim lisa frank joe
http_access allow host2 pals

Например я john могу везде
А kim lisa frank joe только на http://putin.kremlin.ru/

Добавлено:
Так тоже не катит

acl user1 proxy_auth john
http_access allow user1

Hi

А так у меня кеш автоматически будеш очищаться ??

cache_dir ufs /var/spool/squid/cache 1024 16 256
cache_swap_high 95
cache_swap_low 80

Ребята помогите пожалуста есть squid который просто торчит в сети, за микротиком.
содержание squid.conf

coredump_dir /var/spool/squid
cache_mem 256 MB
maximum_object_size_in_memory 256 KB
cache_dir ufs /var/spool/squid 8192 16 256
maximum_object_size 8096 KB
acl office src 200.0.200.1/24
acl office_time time SMTWHFA 8:00-17:00
http_access allow office_time office
http_access deny office



#Recommended minimum configuration:
acl all src 200.0.200.1/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# http_access allow localhost
http_access allow all
# http_access deny all
#transparent
#http_port 127.0.0.1:3128
#http_port 192.168.1.1:3128 transparent
http_port 3128
http_port 200.0.200.30:3128
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
connect_timeout 120 seconds
visible_hostname prx
cache_mgr
admin@office.ru

если возможность проверить работу squid не пуская через него трафик от микротика...???

romandan88
Цитата:

если возможность проверить работу squid  не пуская через него трафик от микротика...???

Ну, собственно, ты можешь проверить его на любом сайте из локалки. Прописав его в качестве прокси в ИЕ и убрав галки насчет "не использовать для узлов в локальной сети".

Спасибо большое, щас буду пробовать

Добавлено:
К сожалению не работает, очень печально будем смотреть


Добавлено:
Спасибо Gold Member, помог все заработало разобрался.... А не подскажите еще такую вещь, как заменить стандартную сквидовскую надпись:
При получении URL http://vk.com/ произошла следующая ошибка

Доступ запрещён.

Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

Администратор Вашего кэша: webmaster.

на другую надпись своего содержания, путь указанный ранее share/errors отсутствует вообще.
Заранее спасибо

Цитата:

как заменить стандартную сквидовскую

Может вы прочтете фак сквида хотя бы 1 раз полностью - http://wiki.squid-cache.org/SquidFaq/CompleteFaq , и не будете задавать вопросы, ответы на которые уже есть и очень давно.
Читайте 26 пункт фака - I want to customize, or make my own error messages.

romandan88

acl acl-deny-dst dst "/usr/local/etc/squid/acl-deny-dst"

cat /usr/local/etc/squid/acl-deny-dst
# vkontakte
87.240.128.0/18
93.186.224.0/21

# odnoklassniki
217.20.144.0/20

# facebook
69.63.176.0/20
66.220.144.0/20

Подскажите как теперь весь трафик из локалки отправлять через прокси используя микротик??

romandan88 Вам еще раз повторить - читайте FAQ сквида, там все есть! Упор на Transparent прокси. Кроме того гугль никто не отменял, ваш вопрос пережеван на 100 раз. Приложите самостоятельных усилий хоть чуть-чуть, не всё же вам жевать и в рот класть.

romandan88 Весь трафик не получится. Прокси только для HTTP трафика, и для некоторых программ типа аськи, умеющих работать через HTTP прокси.

Уважаемый ipmanyak мне нужно завернуть, http трафик не сквидом, а перенаправить через микротик в локалку и обратно...

romandan88 Я вам уже ответил ранее. Читайте FAQ-и и доки и поиск в гугль, перенаправление трафика делается правилами фаервола. Вы даже не удосужились почитать доку на сайте производителя микротика, который уже дал ответ. Читайте
http://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy
P.S.
Очень не люблю таких как вы админов, которые ленятся читать док-цию и клянчат ответ на форумах.

Уважаемые админы

такая проблема : с рабочей станции при авторизации на сайте bg.eisz.kz вываливается ошибка http://s43.radikal.ru/i101/1502/7c/f5c7aa9d975e.jpg
На серваке Squid 2.7stable Debian Wheezy 7.0. в сквиде кеш отключен, в iptables пробросил порты до рабочей станции, все равно выходит ошибка. Правда через раз заходит , но на следующей странице вываливается другая ошибка http://s48.radikal.ru/i119/1502/da/fd7872a17aa3.jpg
Что может быть ? сквид чтото блокирует ?

Захожу на сайт через юсб модем все работает без ошибок

Проблема решилась. прописал на хостах вместо DNS имени сайта айпишник, заработало.

Подскажите почему с компа который выходит через прокси squid не хочет логиниться на вебкамеру через браузер , заходим через внешний ip:81 , в поле захода пишем логин пароль и порт 8101 выдает проблемы с сетью, любой другой комп без прокси заходит без проблем. В маршрутизаторе открыл порты 81 и 8101 не помогает.

В самом сквиде прописал разрешение на 81 8101 порты но это не помогло.
вот конфиг

visible_hostname Server
http_port 192.168.100.55:3128 transparent
http_port 127.0.0.1:3128
acl localnet src 192.168.100.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0/0
acl total src "c:/squid/lists/total.txt"
acl proxy src "c:/squid/lists/proxy.txt"
acl test src "c:/squid/lists/test.txt"
acl freeforall src "c:/squid/lists/freeforall.txt"
acl Safe_ports port 25 #mail
acl Safe_ports port 80 #http
acl Safe_ports port 81 #
acl Safe_ports port 110 #mail
acl Safe_ports port 443 #ssl
acl Safe_ports port 465 #ssl
acl Safe_ports port 993 #ssl
acl Safe_ports port 995 #ssl
acl Safe_ports port 2095 #
acl Safe_ports port 3128 #
acl Safe_ports port 8101 #https
acl SSL_ports port 443 #
acl SSL_ports port 465 #
acl SSL_ports port 993 #
acl SSL_ports port 995 #
acl CONNECT method CONNECT
http_access allow proxy
http_access allow test
http_access allow !Safe_ports
access_log c:/squid/var/logs/access.log squid
acl social_networks dstdomain .vkontakte.ru .vk.com .odnoklassniki.ru .facebook.com .twitter.com .myspace.com
http_access deny social_networks

Pbz Ты указал в конфиге сквида, что прокси у тебя прозрачный, что означает необходимость заворачивания трафика на рутере на IP и порт сквида, а там ты скорее всего заворачиваешь только 80 порт, добавь и порт 8101 и 443. Или не юзай прозрачный прокси.

ipmanyak в маршрутизаторе стоит тотальный запрет на tcp udp icmp, и разрешение на 80 8101 порты. добавить 8101 и 443 http_port 192.168.100.55 сюда?

Pbz Не разрешение, а перенаправление трафика. Если все на одной машине, то что типа:

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,81,8081,8080,443 -j REDIRECT --to-ports 3128
короче сам погугли - iptables for squid transparent proxy

ipmanyak
в том и дело что iptables не стоит, а сам сквид работает на windows 2003 server.

Pbz Винда не имеет встроенных средств для перенаправления трафика. Как вариант, если есть желание, можешь поставить портированный под винду WIPFW - аналог ipwf для freebsd. Зачем тебе прозрачность? Юзай сквид без прозрачного режима на винде. При прозрачном режиме не сможешь юзать аутентификацию, если она тебе потребуется. Если у тебя есть виндовый домен, то настройки прокси для браузера explorer можно накаттить по GPO

P.S.
SQUID NT обсуждается в другой ветке вообще-то.
Проблема с squidNT - http://forum.ru-board.com/topic.cgi?forum=8&topic=13801#1

Все привет!
Есть проблема с сайтом https://bg.eisz.kz, который сидит на двух IP адресах. При запросе страницы идет перенаправление на 2ой IP и вываливается ошибка http://s020.radikal.ru/i702/1506/04/974e4e1a2e39.jpg
сервер на debian 7, squid 2.7 кэш включен. В чем может быть проблема? посоветуйте в какую сторону рыть ? в сквиде айпишники разрешены, в iptables разрешающие правила стоят для этого сайта. В ихней поддержке сказали можно привязать днс имя к IP адресу, где это прописать ?