Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну, рестарт вовсе необязательно делать (хотя если сервер эксплуатируется слабо - никто не заметит), достаточно reconfigure.  

Цитата:
решил побаловаться с squid ...  

В таком случае моя рекомендация будет стара, как айтишный мир - необходимо изучить матчасть, а потом уже задавать вопросы по конкретике. Можно начать вот с этого и этого.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 15:27 03-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Почесав маленько репу...
Сдалось мне что CONNECT сцуко подразумевает прямое соединение и вроде как для такого случая есть директивы always_direct и never_direct...
iDeally
never_direct allow all - должно решить проблему.


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:36 03-12-2008
past0r

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пожалуйста, можно ли использовать одновременную аутентификацию ncsa и ntlm?
 
Такая штука у мну не прокатывает
 
 
 
Добавлено:
Сори, пред идущий пост случано отправил незаконченным
 
Подскажите пожалуйста, можно ли использовать одновременную аутентификацию ncsa и ntlm?
 
Такая штука у мну не прокатывает:
 
> auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
> auth_param ntlm children 5
>  
> auth_param basic program /usr/lib/squid/ncsa_auth /usr/local/stc/etc/password
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours
 
По ntlm авторизация проходит, а вот по юзер-паролю нет! (

Всего записей: 36 | Зарегистр. 18-10-2006 | Отправлено: 07:10 04-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
past0r
Где то читал что ntlm+ncsa не могут вместе работать...  
Так что тут в basic напиши:

Цитата:
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm DOMAIN
auth_param basic credentialsttl 1 hours

 
И вообще для чего ncsa?

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 11:01 04-12-2008
past0r

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[q][/q]
Для тех, кто не в домене... Ж(

Всего записей: 36 | Зарегистр. 18-10-2006 | Отправлено: 12:41 04-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Почесав маленько репу...
Сдалось мне что CONNECT сцуко подразумевает прямое соединение и вроде как для такого случая есть директивы always_direct и never_direct...
iDeally
never_direct allow all - должно решить проблему.  

Спс, это действительно помогло... = )
 
2BONDBIG
Я конечно всё понимаю, но када нада сделать, тратишь 2 недели на изучение мат части и в итоге ничего не получается, или получается но не всё - появляется желание спросить у тех, кто знает...  
И ты, знаток мат части, лучше бы помог, чем посылать за парту

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 15:16 04-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
past0r

Цитата:
Для тех, кто не в домене...  

А много таких?
есть же mac/ip и ещё sasl и pam может они заработают...
Ну на крайняк 2 сквида

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 23:21 05-12-2008
z1riser

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть прозрачный сквид.
Есть pf + ipfw
на pf редир на сквид:
rdr pass on $int_if inet proto tcp from $internal_addr to !192.168.0.0/24 port { 80, 3128, 8000, 8080 } -> 192.168.0.100 port 3128
и НАТ:
nat on fxp0 from 192.168.0.0/24 to any -> 77.88......
 
на ipfw разделение канала на мир и ЮА(так как мир медленный и на всех качателей не хватит, а на отдельных задротов торрентеров вообще никакого нета не хватит )
 
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00270 pipe 510 ip from table(10,510) to table(29,512) out via sk0
00280 pipe 512 ip from table(29,512) to any in via sk0
00290 pipe 513 ip from not table(29,512) to table(29,512) out via sk0
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
 
 
кусок конфы...
#исход
/sbin/ipfw pipe 512 config bw 128Kbit/s mask src-ip 0xFFFFFFFF
 
/sbin/ipfw pipe 513 config bw 256Kbit/s mask dst-ip 0xFFFFFFFF
 
#вход из UA
${ipfw} pipe 510 config bw 2Mbit/s mask dst-ip 0xFFFFFFFF
 
${ipfw} add 270 pipe 510 ip from "table(10,510)" to "table(29,512)" out via sk0
/sbin/ipfw add 280 pipe 512 ip from "table(29,512)" to any in via sk0
/sbin/ipfw add 290 pipe 513 ip from not "table(29,512)" to "table(29,512)" out via sk0
 
 
таблица 29 - локальные ИПшки, 10я - ЮА
 
 
Проблема:
Пакеты с инета к локальному клиенту прошедшие сквид(хоть он и прозрачный) и НАТ, не могут быть классифицированы и распиханы в пайпы, так как они уже по идее идут с локалки в локалку.
 
нужно:
каждому ИП гарантированно 128Кбит + сколько есть свободно (динамика) по миру
и так же по ЮА..
 
+ приоритеты по портам (сетевые игры)
 
Кто поможет переписать все на ПФ(RED + borrow или еще чего там) без ипфв = многим будет полезно + от меня не много но WMZ\U\R\E  
 
и на последок
 
 uname -a
FreeBSD ххх.kiev.ua 7.0-RELEASE-p5 FreeBSD 7.0-RELEASE-p5 #0: Mon Nov 10 15:09:16 EET 2008     ххх.kiev.ua:/usr/obj/usr/src/sys/GENERIC.last.ok
 
 ifconfig                                                                                                                                      22:58 ttyp1
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether 00:13:d4:ad:a7:de
        inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (1000baseTX <full-duplex,flag0,flag1>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        ether 00:02:b3:8b:12:ab
        inet 77.88..... netmask 0xfffffffc broadcast 77.88.......
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
 
 
 

Всего записей: 22 | Зарегистр. 09-07-2007 | Отправлено: 23:59 09-12-2008
LDEL

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят столкнулся с такой ситуацией.
надо сервер переводить на бесплатное по
решил поставь sese 11.0 которая была под рукой...
на ней надо поднять Squid
но есть загвозга мне надо чтоб она бегала без всяких прокси прописаных в браузере....а то у меня программы есть которые не дружат с прокси
помогите как это все дело организовать и с чего начать

Всего записей: 20 | Зарегистр. 13-11-2008 | Отправлено: 11:02 11-12-2008
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
LDEL Сквид это HTTP прокси и более ничего, программы не будут работать через него. Их будешь NAT-ить или по портам или по ip адресам назначения. Чтобы не прописывать в браузере, сделай сквид прозрачным прокси (transparent) В доках и википедии всё есть как делать.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 11:27 11-12-2008
LDEL

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а как будет правильней организовать
сеть смотрит 192.168.1.1 ADSL смотрит 192.168.2.1
скажите как в конфиге деистовать с прозрачным прокси

Всего записей: 20 | Зарегистр. 13-11-2008 | Отправлено: 11:43 11-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А можно плс в 2х словах, как сделать простейшую авторизацию по ИП?
собсно нужно разрешить доступ в и-нет только на 2х машинах, остальное запретить ? :-]]]]

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 10:37 12-12-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
слабо почитать документацию ?

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:22 12-12-2008
iDeally

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
da ;;
poetomu i proshu prostejshij sposob, v 2 strochki ;;

Всего записей: 9 | Зарегистр. 01-12-2008 | Отправлено: 11:31 12-12-2008
shaman91

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
гуру, я за линухом недавно и у меня такая задача:  
 
1. сделать фильтр по адресам, перечисленным в файлах тхт
2. разрешить доступ в инет только тем машинам, ип которых перечислено в office.txt
3. остальным запретить
4. разрешить випам ( файл vip.txt) работать без фильтров
 
 
я вот накарябал немного,.. пробовать боюсь, проверьте правильность написания и подскажите как дописать к моему текущему тех самых випов, чтоб ходили в инет обходя правила фильтрации адресов
 
____________________________________________________
 
acl inetyes src "/etc/squid/office.txt"
http_access allow inetyes
 
acl denylist url_regex -i "/etc/squid/denylist"
acl allowlist url_regex -i "/etc/squid/allowlist"
acl bannerlist url_regex -i "/etc/squid/banner.txt"
acl hostlist url_regex -i "/etc/squid/hosts.txt"
acl adultlist url_regex -i "/etc/squid/adult.txt"
 
http_access allow allowlist
http_access deny bannerlist
http_access deny adultlist
http_access deny hostlist
http_access deny denylist !allowlist
 
http_access deny all

Всего записей: 79 | Зарегистр. 22-01-2003 | Отправлено: 15:11 12-12-2008 | Исправлено: shaman91, 15:14 12-12-2008
cxpoh80

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
2. разрешить доступ в инет только тем машинам, ип которых перечислено в office.txt
3. остальным запретить
acl inetyes src "/etc/squid/office.txt"
http_access allow inetyes  

этого достаточно, но у меня типа
 
acl all src 192.168.17.0/255.255.255.0
acl sgt17 src "/usr/local/squid/sgt17"
http_access allow sgt17
 
и работает.
А насчет ограничений ссылок и вип списков - разберись в squidguard или  rejik, они как раз под это заточены. В сквиде делать как-то нецелесобразно.

Всего записей: 44 | Зарегистр. 11-01-2008 | Отправлено: 16:21 12-12-2008 | Исправлено: cxpoh80, 16:26 12-12-2008
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iDeally
acl  two  src 192.168.0.2  192.168.0.6
http_access allow two
http_access deny all
 
 
 
Добавлено:
shaman91
acl inetyes src "/etc/squid/office.txt"
acl vipyes src "/etc/squid/vip.txt
#
acl denylist url_regex -i "/etc/squid/denylist"
acl allowlist url_regex -i "/etc/squid/allowlist"
acl bannerlist url_regex -i "/etc/squid/banner.txt"
acl hostlist url_regex -i "/etc/squid/hosts.txt"
acl adultlist url_regex -i "/etc/squid/adult.txt"
 
# разрешаем vip клиентам всё! то есть и порно  
http_access allow vipyes
 
# баним что надо для всех остальных,  хотя нижний аксель дает доступ только на список
# сайтов  и потому это лишнее! если и випам нужно брить порно, то  
# http_access deny  adultlist  поставь перед  http_access allow vipyes
 
http_access deny bannerlist
http_access deny adultlist
http_access deny hostlist
 
# разрешаем офису ходить на разрешенные сайты  
http_access allow inetyes allowlist
#
http_access deny all


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 16:29 12-12-2008
shaman91

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
 
из вот этого куска
 
acl denylist url_regex -i "/etc/squid/denylist" - список запрещённых сайтов оставшийся от предыдущего админа
acl allowlist url_regex -i "/etc/squid/allowlist" - список исключений для denylist`а
 
# это добавил я
acl bannerlist url_regex -i "/etc/squid/banner.txt"  
acl hostlist url_regex -i "/etc/squid/hosts.txt" - список запрещённых сайтов не баннеро-порно содержания, но всё равно режущихся от юсеров.
acl adultlist url_regex -i "/etc/squid/adult.txt"  
 
итого:
 
для випов вообще не существует никаких правил, пусто ходят хоть куда
 
для акселя офиса должны работать правила регексов
 
если юсер открыл сайт не попадающий ни под одно правило, он должен открыться.
 
Плиз внеси корректировки в мой конфиг...
 
З.Ы. ну и, соответсвенно, юсеры не описанные в оффисе или випе вообще никуда не ходят

Всего записей: 79 | Зарегистр. 22-01-2003 | Отправлено: 17:09 12-12-2008 | Исправлено: shaman91, 17:11 12-12-2008
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
da ;;
poetomu i proshu prostejshij sposob, v 2 strochki ;;

 

Цитата:
Плиз внеси корректировки в мой конфиг...

 

Цитата:
З.Ы. ну и, соответсвенно, юсеры не описанные в оффисе или випе вообще никуда не ходят

Больше ipmanyak'у делать нечего?  
 
Грустно мля такие просьбы читать... Ведь разжёвано всё...
 
Извините
 


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 21:14 12-12-2008
mrmarvin

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите знатоки =)
 
пытаюсь сделать так что сквид смотрит какой у тебя ip если он есть в списке то смотрит на mac, если и mac есть то дает инет, если ip и mac не проходит то надо ввести login + password (login_pass). Подскажите на примере моего конфига как это реализовать, можно ли как то в одном правиле http_access сделать проверку на ip и mac одновременно?
 
http_access allow ip
http_access allow macadr
http_access allow login_pass
http_access deny all
 

Всего записей: 92 | Зарегистр. 26-04-2005 | Отправлено: 15:23 19-12-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru