Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору вот столкнулся с такой проблемой. Можно ли как-то на прокси мониторить какой пользователь скока канала берет для себя ?  Delay pools настроен, но там тока ограничивает скорость для конкретного пользователя или группы. А хотелось, чтобы, так сказать, в режиме реального времени показывалось сколько каждый пользователь "потребляет инета" ?    Я так догадываюсь, что это надо копать в сторону mrtg и nagios ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 16:19 28-10-2008 | Исправлено: vovanj7, 16:22 28-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vovanj7 Поставь себе к примеру iptraf и слушай на внутреннем интерфейсе, выставив в фильтре конкретного юзера... Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 16:46 28-10-2008

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору насколько я понял у iptraf нет вэб-интерфейса.  если у кого есть скинуть формат логов  iptraf ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 16:59 28-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vovanj7 так ты же говоришь тебе в реальном времени нужно... подозреваю что готовых решений нет... нужно думать в сторону squid snmp support Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 18:03 28-10-2008

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: подозреваю что готовых решений нет... нужно думать в сторону squid snmp support Хм.....  плохо ((( Буду гуглить может кто сталкивался с подобной задачей...           maksjis Цитата: Невозможно подключиться к прокси-серверу. Доступ запрещен в списке процессов есть squid ? Что там с acl ? ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 09:34 29-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vovanj7 Цитата: Хм.....  плохо ((( Буду гуглить может кто сталкивался с подобной задачей...   sqstat посмотри http://samm.kiev.ua/sqstat/   maksjis Цитата: Но у меня root к vps. Что "подкрутить"? Руки... Чего ты ждёш от форума с таким вопросом? Вообще не понятно что у тебя настроено и как... Для начала /var/log/squid/squid.out и /var/log/squid/cache.log     Добавлено: dene14 Упс... не заметил вопроса... Вот тут вспомнил про одну фишку на досуге... Почитай может так проще: http://www.squid-cache.org/Versions/v2/2.7/cfgman/header_access.html Т.к. не знаю версию линка для 2.7 А acl пишется скорее всего так (не проверено) Цитата: Synopsis Regular Expression match against any of the known request headers. May be thought of as a superset of "browser", "referer" and "mime-type" ACLs.   Arguments aclname      Access list name header-name      Name at the requesting side Example(s) acl myheader req_header text This acl looks for the pattern "text" in request header.   acl 3rd_party_proxy req_header Proxy-Connection -i Proxy ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:49 29-10-2008 | Исправлено: Ruza, 22:19 29-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Это я уже решил... прописал вообще вот так: Код: acl 3rd_party_proxy req_header Proxy-Connection /* http_access deny 3rd_party_proxy   "/*" - это RegExp, который по pcre считается любымзначением поля, вроде даже пустым... т.е. таким образом проверяется наличие Proxy-Connection и его блокировка...   Но и это ещё не всё! в качалках есть возможность использования прокси с методом Connect - пришлось и его запретить... (благо у меня HTTPS не завёрнут на прокси, да и смысла его проксировать особо нету, хотя вроде как должно и без CONNECT работать).   Так ведь проблема в том, что и это всё равно не всё!!! Открыл на виндовой махине FlashGet, прописал левый проксик на 80й порт, поставил метод GET... Оно качает! Это если честно поставило меня в ступор... Лог из FlashGet по методу GET: Код: Thu Oct 30 13:59:58 2008 Connecting proxy x.x.x.x [IP=x.x.x.x:80] Thu Oct 30 13:59:58 2008 Connected. Thu Oct 30 13:59:58 2008 GET http://xxx.xx/downloads/test.EXE HTTP/1.1 Thu Oct 30 13:59:58 2008 Host: xxx.xx Thu Oct 30 13:59:58 2008 Accept: */* Thu Oct 30 13:59:58 2008 Referer: http://xxx.xx/downloads Thu Oct 30 13:59:58 2008 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98) Thu Oct 30 13:59:58 2008 Range: bytes=4863671- Thu Oct 30 13:59:58 2008 Pragma: no-cache Thu Oct 30 13:59:58 2008 Cache-Control: no-cache Thu Oct 30 13:59:58 2008 Connection: close Thu Oct 30 13:59:59 2008 HTTP/1.0 206 Partial Content Thu Oct 30 13:59:59 2008 Date: Thu, 30 Oct 2008 12:01:00 GMT Thu Oct 30 13:59:59 2008 Server: Apache/1.3.34 (Unix) PHP/4.4.2 Thu Oct 30 13:59:59 2008 Last-Modified: Tue, 28 Oct 2008 08:23:11 GMT Thu Oct 30 13:59:59 2008 ETag: "456ea-69bdd6-4906cbef" Thu Oct 30 13:59:59 2008 Accept-Ranges: bytes Thu Oct 30 13:59:59 2008 Content-Length: 2066207 Thu Oct 30 13:59:59 2008 Content-Range: bytes 4863671-6929877/6929878 Thu Oct 30 13:59:59 2008 Content-Type: application/octet-stream Thu Oct 30 13:59:59 2008 Proxy-Connection: close Thu Oct 30 13:59:59 2008 Start Receiving Data! Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 15:26 30-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dene14 Я же написал попробуй пересобрать squid с параметром --enable-http-violations И далее   header_access Proxy-Connection deny all ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 16:22 30-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Делал - это вообще не помогает...   Давай мот в аську пообщаемся? я попытался авторизоваться, но ты не ответил... мот ты меня добавишь???   Добавлено: Перечитал ещё раз RFC ) Нашёл собственно отличие задокументированное... Всё дело в URI метода GET при работе напрямую и через прокси... когда через прокси то URI=URL (т.е. полная ссылка на запрашиваемый объект), когда же напрямую, то URI - относительная ссылка на сайте... т.е. в первом случае это http://site.domain/path/to/file.ext а во втором это /path/to/file.ext   Соответственно у меня вопрос, какими средствами можно составить ACL на основе URI ??? Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 17:04 30-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dene14 В ICQ не проблема но с понедельника... Т.к. на работе плановая инвентаризация.     Вот немного репу почесал придумал/нашёл ещё пару:   acl proxy_headers req_header X-Forwarded-For . acl proxy_headers req_header Via .   Походу если не пароноидальный анонимус то должно блокировать.   Цитата: Всё дело в URI метода GET при работе напрямую и через прокси...   не факт - тут передача реферер замешена. И это идеал, а если к примеру линка на стронний ресурс.   Добавлено: 2 ALL В свете появления ветки 3.1.0.1 и новой фитче ecap. Кто нибудь видел более-менее полную доку по этой фитче? А то найденные мной описания довольно туманные и дальше example ничего нету. ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:03 30-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Referer ни при чём... это для сайта рефереры важны и прочее... X-Forwarded-For, Via - вообще отдаются в мир, чтоб типа разделить юзеров из внутренней локалки... к примеру юзера с ip 192.168.1.1 и 192.168.1.2   Я уже разными способами проверил... только через прокси URI получается полный да и в RFC прописано, без этого собственно коммутации не будет...   Цитата: а если к примеру линка на стронний ресурс До сереневой звезды... Сначала подключение к самому сайту, а потом ссылки относительые... Перепробовал во всех браузерах и прямы ссылки и кривые )) - всегда одинаково... RFC, как грится, он и в африке RFC. Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 21:22 30-10-2008 | Исправлено: dene14, 21:25 30-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: X-Forwarded-For, Via - вообще отдаются в мир, чтоб типа разделить юзеров А тебе что надо? ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 06:15 31-10-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ruza Если бы мне надо было анонимайзер сделать - то в и-нете полно инфы и не составило труда, а мне нужно заблокировать все запросы, если юзер прописывает себе какой либо proxy из интернета. траффик конечно всё равно завернётся на мой проксик и не пойдёт на указанный юзером прокси, но мне нужно, чтобы коннекта не произошло и выдалась ошибка Доступ запрещён.   Всё что мне нужно на данный момент закрыть: это RegExp "^http://", т.е. наличие http:// в URI. Такие запросы нужно заблокировать и отвергнуть.   Вот глянь ещё эту ссылку, тут описан принцип работы, который мне нужно отсечь )) безо всяких RFC. нормальным русским языком: http://freeproxy.ru/ru/free_proxy/faq/classical_proxy_chaining.htm Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 09:47 31-10-2008 | Исправлено: dene14, 10:44 31-10-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Всё что мне нужно на данный момент закрыть: это RegExp "^http://", т.е. наличие http:// в URI. Такие запросы нужно заблокировать и отвергнуть.   Ну так что мешает: acl aclname url_regex [-i] ^http:// или acl aclname urlpath_regex [-i] http://     ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 13:10 31-10-2008

kaurych Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dene14 На фряхе выставил mtu 1400 такое же как и на zyxel который создаёт соединение по pptp но и при других значениях работает нормально ниже 1500 просто у меня VPN на IPsec проходит внутри PPTP - при других значениях mtu некоторые соединения внутри VPN IPsec работают не устойчиво. И вообще у меня squid на виртуалке vmware server2 c с одной сетевой - работает отлично Всего записей: 465 | Зарегистр. 16-05-2006 | Отправлено: 09:44 05-11-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору capitannemo   Можно проверить сессию пользователя - что то подобное: Цитата: EXAMPLE        Configuration example using the default automatic mode                 external_acl_type session ttl=300 negative_ttl=0 children=1 concurrency=200 \   %LOGIN /usr/local/squid/libexec/squid_session                 acl session external session                 http_access deny !session                 deny_info http://your.server/bannerpage?url=%s session          Then set up http://your.server/bannerpage to display a session  startup        page  and then redirect the user back to the requested URL given in the        url query parameter.   Добавлено: вот ещё есть редиректор, но не проверял... Проверь отпишись что к чему. http://guifi.net/en/node/14092 ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 08:25 08-11-2008 | Исправлено: Ruza, 08:26 08-11-2008

dene14 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kaurych Нужно считать размер заголовков... у разных протоколов итоговый размер заголовка разный... К примеру в обычной сети это: Ethernet (Arp), ip. Получается что, твой пакет с данными оборачивается сначала в слой IP, потом в Ethernet (чтобы была возможность передать по Ethernet интерфейсу и среде), т.о. получается что заголовок конечный увеличивается... Точно также и с вложенными соединениями... Т.е. ты можешь сделать достаточно большую вложенность VPN туннелей, но при этом с увеличением вложенности туннеля должен быть уменьшен MTU, потому как получается к примеру что MTU туннеля 1328, а пакет отправляется 1500 байт... в нормальной ситуации он конечно будет фрагментирован и передан двумя пакетами (1320+8) + (1500-1320+8) (я тут не учёл инкапсуляцию на роутере, предположив что 1500 байт - это всё полезные данные уже без заголовков), но насколько я знаю SYN пакет фрагментирован быть не может автоматически, потому что он несёт в себе что-то вроде инициализации сессии и никаких алгоритмов реассемблирования к ним не применяется, только разрешить или отклонить. Как правило SYN пакеты очень малы, но некоторые протоколы как MSN или ICQ могут отсылать достаточно большой SYN пакет, что собственно и вызывает проблемы.   Ruza Так что насчёт аськи? Совсем не хочется чтобы Nep расстрелял за засранный форум )) Всего записей: 287 | Зарегистр. 06-04-2005 | Отправлено: 13:45 10-11-2008 | Исправлено: dene14, 14:13 10-11-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование