Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DShtorm А зачем шейпер при условии что в squid есть delay pools?   Цитата: Никто не в курсе как отданное Squid ( не все , а имено взятое из кеша !!! ) Никак... Это ИМХО не совместимо. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 11:37 21-10-2008

DShtorm Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А зачем шейпер при условии что в squid есть delay pools?   год назад шел у нас нет через Squid - имели гемор с портами     сейчас стоит htb + iptables + stargazer  ( динамические правила )   мечта прикрутить Squid ( прозрачно ) чтобы   картинки грузились моментом     а как насчет этого   http://wiki.squid-cache.org/Features/QualityOfService вроде можно метить исходящий из кеша трафик ... А говорили не могет быть     Всего записей: 106 | Зарегистр. 06-06-2007 | Отправлено: 18:27 21-10-2008 | Исправлено: DShtorm, 19:38 21-10-2008

DShtorm Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PS   товарищи знатоки   а все таки Squid + шейпер вернее выдача из кеша мимо шейпера вертится   Учите матчасть Всего записей: 106 | Зарегистр. 06-06-2007 | Отправлено: 14:02 22-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DShtorm При этом не забываем указывать: Цитата: Zero Penalty Hit created a patch to set QoS markers on outgoing traffic.       * Allows you to select a TOS/Diffserv value to mark local hits.     * Allows you to select a TOS/Diffserv value to mark peer hits.     * Allows you to selectively set only sibling or sibling+parent requests     *         Allows any HTTP response towards clients will have the TOS value of the response coming from the remote server masked with the value of zph_preserve_miss_tos_mask. For this to work correctly, you will need to patch your linux kernel with the TOS preserving ZPH patch. The kernel patch can be downloaded from http://zph.bratcheda.org     * Allows you to mask certain bits in the TOS received from the remote server, before copying the value to the TOS send towards clients.   Либо опиши решение для нас сирых... Но без применения патча... ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 00:48 23-10-2008

DShtorm Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Какие патчи Поможем сирым   Ставим версию 2.7 с --enable-zph-qos   в конфиг лепим tcp_outgoing_tos 0x30 ourusers zph_mode tos zph_local 0x30 zph_parent 0   в файервол соответсвенно $IPTABLES -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -m multiport --dports 80 -j REDIRECT --to-port 8080   ну и само собой жирный класс для шейпера   tc class add dev $eLAN parent 1:1 classid 1:2 htb rate 10Mbit tc filter add dev $eLAN parent 1: protocol ip prio 3 handle 800::2 u32 match ip tos 0x30 0xff flowid 1:2   Все наслаждаемся кешем + шейпером ...   PS испытано на Alt Linux 4.1 Desktop Всего записей: 106 | Зарегистр. 06-06-2007 | Отправлено: 19:04 23-10-2008

scheford Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Народ подскажите пожайлуста имеется squid 2.7 на freebsd 7.0.Доступ к squid осуществляется через доменные группы в данный моммент раньше по обычной доменной авторизации.Но нужно сделать прозрачный squid.Имеем один локальный интерфейс и второй провайдера на основании которого строится vpn для выхода в инет и присвается внешний ip (dinamic). В squid подправлена строка на http_port 3128 transparent. Ядро freebsd 7.0 release скомпилирвана для поддержки ipfw.Народ,подскажите пожайлуста правила для ipfw чтоб пахал прозрачный прокси.Так как у меня пока не выходит,пытаюсь сие осилить   Да забыл сказать vpn поднимается за счет настройке клиентской части mpd4 c появляющися интерфейсом ng1 Всего записей: 20 | Зарегистр. 14-11-2006 | Отправлено: 20:51 23-10-2008 | Исправлено: scheford, 21:00 23-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору scheford int_if="fxp0" ipfw add 1000 fwd 127.0.0.1,3128 tcp from any to any 80 in recv $int_if   DShtorm Цитата: Какие патчи Вот этот: http://zph.bratcheda.org/linux-2.6.26.3-zph.patch ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:10 23-10-2008

kaurych Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreeBSD 7 релиз, одна сетевая карта   squid установлен из портов - фаирвола нет - просто кэширующий прокси сервер. Во общем  словил грабли. До меня на них наступали, но по поиску в google.ru они оставались без ответа, либо вопрос решался тем что менялся ip внутренней сетевой и всё начинало работать. А суть в чём - в какой то момент не до конца стали загружаться некоторые сайты а   www.google.ru вообще перестал грузится - всё без ошибок в браузерах - как бы в процессе загрузки сайт без результатно.....   Firefox 3 и IE одинаково не работают - как только переключаю на другой прокси который буду убирать (Linux OpenSUS)  - всё работает!!!, грузится без проблем После очистки cookies в браузере всё снова чётко начинает работает через squid на FreeBSD. Через некоторое время снова постепенно начинает повторятся эта проблема (где то в течении недели). Подскажите вариант решение этой проблемы?   - Просто начинаю на новый прокси переводить пользователей - начинают подгребаться и у них эти грабли, будут дёргать по  этому поводу - надо как то устранить эту проблему! Всего записей: 465 | Зарегистр. 16-05-2006 | Отправлено: 23:36 24-10-2008 | Исправлено: kaurych, 23:50 24-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kaurych Подозреваю что проблема в MTU и SYN пакетах... в iptables кримеру это MSS и clamp PMTU... такое обычно случается на каналах в и-нет через туннели, например VPN...   Добавлено: Ребят, помогите с проблемой: У меня 2 подключения: интернет и городская сеть. На сквид завёрнуты порты 80 81 8080 8081 8181. Траффик учитывается через pcap (коллектор ipcad). Проблема в том, что когда юзер прописывает себе прокси вида ip_городской_сети:80 его траффик обсчитывается как городской, хотя лазить может и в интернете...   В связи с этим прошу помощи: как в сквиде запретить такие запросы или как расклассифицировать такой траффик? Сам нашёл решение только исключить городскую сеть из прозрачного проксирования, но мне этот вариант не очень подходит...   Заранее спасибо, буду признателен за любые идеи и советы. Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 04:52 26-10-2008

kaurych Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dene14 Да - действительно - соединение идёт через VPN с авторизацией по PPTP т.е уменьшаем MTU и проблема решена? Всего записей: 465 | Зарегистр. 16-05-2006 | Отправлено: 11:52 27-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kaurych ну впринципе да, но на линухе вроде как мне выставление МТУ на интерфейсе не помогало, пмог именно clamp PMTU модуля TCPMSS в линухе... эксперементируй, результат тока отпиши, я сам в Бзде не силён, всё теплю мечту освоить, но думаю для истории и помощи другим - будет не плохо...       P.S. РЕБЯТ, НУ ПОМОГИТЕ МНЕ С МОЕЙ ПРОБЛЕМОЙ!!! ПЛИЗЗЗЗ!!! Не хочется плодить по сквиду на каждый внешний интерфейс! Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 14:51 27-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dene14 Цитата: то когда юзер прописывает себе прокси вида ip_городской_сети:80 Это как? ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 15:53 27-10-2008

kaurych Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dene14 Тут на маршрутизацию надо смотреть   и вообще - зачем юзеру знать IP шлюза городской сети - он должен знать только IP твоего  шлюза у меня допустим отдельно маршрут для выхода во внутреннюю сеть (домовую) и в правилах фаирвола разрешено только двоим выходить туда! Всего записей: 465 | Зарегистр. 16-05-2006 | Отправлено: 15:55 27-10-2008 | Исправлено: kaurych, 16:03 27-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Маршрутизация тут не при чём... Юзер ваще не знает о существовании прокси... Подсчёт через pcap видётся исходя из источника - получателя ip пакета... всё что идёт на 80й порт заворачивается на сквид, но происходит естественно после того как обсчитано через pcap... и когда юзер прописывает себе прокси вида ip из городской сети и порт прокси 80 траффик классифицируется как городской, но после этого он заворачивается на мой прозрачный прокси и отправляется на реальный адрес, который запрошен браузером (даже не из городской сети)... Реальный пример: Городская подсеть 172.16.0.0/16, прописан маршрут включён нат Интернет, дефолтный гейт, включён нат. Прозрачный сквид - заворачивается порт 80. Пока юзер ничего не прописал в настройках прокси - считает нормально. Как только прописывает прокси из сети 172.16.0.0/16 и порт 80 - к примеру 172.16.0.1:80 траффик учитывается как на 172.16.0.1:80 хотя конечно все запросы на моём роутере заворачиваются на squid и юзер может лазить в интернете, а считается как локальный городской траффик. Повторяю, учёт ведётся не средствами squid, а через низкоуровневую сетевую библиотеку pcap. Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 16:35 27-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Прозрачный сквид - заворачивается порт 80.   Правило заворота покажи...   Сдаётся мне что не надо заворачивать городскую сеть на сквид либо в сквиде валить по src ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:42 27-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza собственно сам редирект такой: -A PREROUTING -p tcp -m mark --mark 0x1 -m comment --comment "Transparent proxy redirect" -j REDIRECT --to-ports 3128   а маркировка в mangle вот такая: -t mangle -I USERS -s IP/BITS -d ! x.x.0.0/16 -p tcp -m multiport --dports 80,81,8080,8081,8181 -j MARK --set-mark 1 -m comment --comment LOGIN   Да дело не в том какое правило заворота, тут всё типовое и дёт на уровне транспортного уровня... а нужно уже инкапсулированный из ip в http траффик блокировать при наличии такой бяки... инкапсуляцией занимается ессно сам squid. Разница между заголовками запросов напрямую и через некий прокси весьма простая: 1. напрямую: Код: Connection: keep-alive 2. с прописанным в браузере проксиком: Код: Proxy-Connection: keep-alive   По идее вопрос сводится к тому, как отклонить в сквиде запрос с таким заголовком? Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 20:36 27-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dene14 Цитата: Разница между заголовками запросов напрямую и через некий прокси весьма простая:   Ну так вроде это подойти должно: Цитата: acl aclname req_header header-name [-i] any\.regex\.here          # regex match against any of the known request headers.  May be          # thought of as a superset of "browser", "referer" and "mime-type"          # ACLs. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 10:06 28-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Спасибо за помощь, но что-то похоже не помогло, может неправильно что сделал: добавил в конфиге в конце такие вот строки: acl 3rd_party_proxy req_header Proxy-Connection keep-alive http_access deny 3rd_party_proxy   Ура, получилось! Ключевая фраза была "добавил в конфиге в конце"... Забыл просто что приоритет ACL в squid читается по порядку с начала конфига и к концу, уменьшая приоритет...   Терь осталось только наваять сообщение об ошибке, что сторонние прокси запрещены провайдером... кто поможет с этим?   Добавлено: Вот сейчас тестирую... Получилось так: FlashGet  при указании стронней прокси коннектится по методу CONNECT, запретил его (благо у меня сквид только как прокси для HTTP используется), перестал качать... Если выставляю в настройках прокси ФлэшГета метод Get качает снова без проблем с левой проксёй...   Ещё одно: с добавленным acl 3rd_party_proxy - Firefox выдаёт ожидаемую ошибку 403 при прописанной левой проксе, а IE пролазит без заминочки! Идеи?   Добавлено: Мне вот пришла идея... Я где-то видел, что у сквида есть что-то вроде опции внешнего адреса tcp_outgoing может как-то можно сделать, чтобы определённые списки подсетей ходили через определённые IP ??? хотя это вариант мне тоже не очень удобен, потому что используется динамический роутинг по скриптам...   Добавлено: Мучения вроде как закончились. Ruza, подскажи как сделать ACL acl 3rd_party_proxy req_header Proxy-Connection keep-alive чтобы срабатывал не в зависимости от значения поля Proxy-Connection, а по самому наличию данного поля в запросе? Т.е. чтобы у меня блокировалось при любых значениях Proxy-Connection Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 14:51 28-10-2008 | Исправлено: dene14, 15:26 28-10-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование