Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimas007
Каков вопрос - таков и ответ.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 07:27 27-10-2009
vovanj7



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
вообщем отвечаю сам себе. Набрав конфиг и проверив его несколько раз, понял, что проблема не столько в конфиге. Проверив дальше понял, что freebsd периодически теряет группы из КД Windows. А проблема оказалась банальной на фре, отставали часы(хотя они и синхронизирутся с КД). Погуглив немного сделал след
 
добавил в /boot/loader.conf строки:
hint.apic.0.disabled=1
 
в файл /etc/sysctl.conf такую строчку.
kern.timecounter.hardware=i8254
 
и все вроде стабилизировалось. Сейчас мониторю

----------
Ваши руки ввели идиотскую команду и будут ампутированы.

Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 12:04 27-10-2009
sasku



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
стоит авторизация пользователей в SQUID
можно ли как нибудь посмотреть список авторизированых пользователей в данный момент ?

Всего записей: 413 | Зарегистр. 30-05-2002 | Отправлено: 12:11 27-10-2009
vovanj7



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
стоит авторизация пользователей в SQUID

авторизация из АД ? тогда можно попробовать wbinfo


----------
Ваши руки ввели идиотскую команду и будут ампутированы.

Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 12:35 27-10-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vovanj7

Цитата:
вообщем отвечаю сам себе.  

круто... все бы так...
 
sasku

Цитата:
авторизированых пользователей в данный момент ?

Это как? Если текущие подключенные то через cachemgr.cgi
 
vovanj7

Цитата:
тогда можно попробовать wbinfo  

wbinfo отдаст весь список пользователей AD

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 07:29 28-10-2009
vovanj7



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
думал, что поборол, ан нет.
мой конфиг
Подробнее...  
 
при этом internetfull ходят нормально, а вот internetsupport и internetdevelopers не пускает
в логе след

Цитата:
 
2009/10/30 18:18:26, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(739)
  Got user=[itestsupport] domain=[vqslocal] workstation=[KOMP] len1=24 len2=24
[2009/10/30 18:18:26, 10] libsmb/ntlmssp.c:ntlmssp_server_auth(805)
  ntlmssp_server_auth: Created NTLM2 session key.
[2009/10/30 18:18:26, 3] libsmb/ntlmssp_sign.c:ntlmssp_sign_init(338)
  NTLMSSP Sign/Seal - Initialising with flags:
[2009/10/30 18:18:26, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2088205
    NTLMSSP_NEGOTIATE_UNICODE
    NTLMSSP_REQUEST_TARGET
    NTLMSSP_NEGOTIATE_NTLM
    NTLMSSP_NEGOTIATE_ALWAYS_SIGN
    NTLMSSP_NEGOTIATE_NTLM2
    NTLMSSP_NEGOTIATE_128
    NTLMSSP_NEGOTIATE_56
[2009/10/30 18:18:26, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(796)
  NTLMSSP OK!
2009/10/30 18:18:27| The request GET http://www.google.com.ua/ is DENIED, because it matched 'all'
2009/10/30 18:18:27| The reply for GET http://www.google.com.ua/ is ALLOWED, because it matched 'all'
 

т.е. пользователь аутентифицируется, а его не пускает. Правила, для их групп просто игнорируются прокси.
Ruza
пробовал вариант предложений тобой выше - резкльтата 0
 
p.s. все тесты проходят на ура, пробовал выводить и вводить в ДНС, чистить кеш и т.п
 
 
Добавлено:
поменял в конфиге порядок следования acl на
http_access allow allow_site internetdevelopers
вместо
http_access allow internetdevelopers allow_site work-time
и он чатично заработал, но привязку по времени по прежнему игнорирует

----------
Ваши руки ввели идиотскую команду и будут ампутированы.

Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 19:30 30-10-2009
dzh2000



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пользователю ограничена скорость скачивания до 64 Кб. Если он пытается скачать архив размером 100 Мб, будет ли файл помещен в кэш, даже если пользователь прервал закачку (надоело ждать)? Как этого не допустить?
 
И второй вопрос. Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

Всего записей: 1576 | Зарегистр. 18-01-2002 | Отправлено: 01:11 03-11-2009 | Исправлено: dzh2000, 01:13 03-11-2009
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пользователю ограничена скорость скачивания до 64 Кб.  

ограничена чем ?
 

Цитата:
Если он пытается скачать архив размером 100 Мб, будет ли файл помещен в кэш, даже если пользователь прервал закачку (надоело ждать)? Как этого не допустить?  

нет, по-умолчанию докачивается только после того, как файл скачан на 90% (кажись)
 

Цитата:
И второй вопрос. Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

при нынешних скоростях это не имеет никакого смысла.  сильно хорошо - это 5 процентов экономии, стоит ли это затрат по железу решать вам, но я для себя решил аднный вопрос уже 3 года тому назад и отключил на всех серверах дисковый кеш.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 01:43 03-11-2009
vovanj7



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
отключил на всех серверах дисковый кеш.

я тоже отключил кеш, т.к. у меня есть веб-мастеры, которым нужно смотреть, как изметится страница, при внесении опред. измен. А иногда бывало, что страница вытягивалась из кеша без изменений

----------
Ваши руки ввели идиотскую команду и будут ампутированы.

Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 13:19 03-11-2009
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Где можно почитать о "справедливом" использовании кэша в зависимости от ширины канала?

Тут дело не в ширине канала, а в том, что характер веба поменялся. Во времена рождения сквида интернет был практически статичен, сайты представляли из себя набор html-страниц, которые менялись достаточно редко, чтобы их можно было успешно кешировать. Сегодня веб слишком динамичен и разнообразен, чтобы что-то успешно кешировать. Все что можно и так кеширует браузер пользователя, веб-сервера, а "общий кеш на шлюзе" понятие устаревшее на мой взгляд и применяется все реже, где специфика посещаемых пользователями ресурсов позволяет безболезненно использовать кеш.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 13:59 03-11-2009
dzh2000



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua

Цитата:
ограничена чем ?  

пулом

Цитата:
же 3 года тому назад и отключил на всех серверах дисковый кеш.

Как это сделать в squid.conf?
 
Добавлено:
Еще вопрос.
Сделал прозрачный прокси-сервер
а) добавив в squid.conf
http_port 3128 transparent
б) и выполнив
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.100:3128
 
Мне надо иметь статические ip-адреса пользователей (рабочие станции с Windows). Я вынужден указывать в сетевых подключениях клиентов также ip-адрес linux-сервера в строках "шлюз" и "dns-сервер". Можно ли как-нибудь без этого?

Всего записей: 1576 | Зарегистр. 18-01-2002 | Отправлено: 15:09 03-11-2009 | Исправлено: dzh2000, 15:23 03-11-2009
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Можно ли как-нибудь без этого?

ээээ, вы хотите чтобы без default gateway у вас пакеты в интернет ходили? И имена сами резолвились, усилием мысли пользователей?  
"Прозрачность" прокси настраивается на default gateway, как раз пробросом порта, это могут быть и разные машины. DNS-сервер тоже может быть отдельным. Но совсем без них не получится

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 15:22 03-11-2009
dzh2000



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BONDBIG

Цитата:
ээээ, вы хотите чтобы без default gateway у вас пакеты в интернет ходили? И имена сами резолвились, усилием мысли пользователей?

Я клоню к тому, что для выхода в инет используется dsl роутер, и подготовленный юзер может при желании поменять адрес шлюза.

Всего записей: 1576 | Зарегистр. 18-01-2002 | Отправлено: 15:31 03-11-2009
BONDBIG

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я клоню к тому, что для выхода в инет используется dsl роутер, и подготовленный юзер может при желании поменять адрес шлюза.

Ну, клонить не стоит, нужно четко выражать мысль.
Кто мешает на роутере повесить акцесс-лист запрещающий доступ всем, кроме прокси? У меня дома валяется дешевый роутер за 1000р, он такое умеет, думаю и ваш умеет.

Всего записей: 407 | Зарегистр. 05-05-2006 | Отправлено: 15:35 03-11-2009
dzh2000



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BONDBIG
Спасибо Вам за подробный ответ. Буду искать логин и пароль для доступа к настройкам роутера.
 
Возвращаясь к первому вопросу. Можно взглянуть на ту часть Вашего squid.conf, которая имеет отношение к кэшу?

Всего записей: 1576 | Зарегистр. 18-01-2002 | Отправлено: 15:42 03-11-2009 | Исправлено: dzh2000, 15:48 03-11-2009
SAV83



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Помогите что знает, нигде не могу найти информацию.
Для чего служит параметр "Enable forward/via database", что дает?
 

Всего записей: 66 | Зарегистр. 17-01-2007 | Отправлено: 02:10 05-11-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SAV83

Цитата:
Для чего служит параметр "Enable forward/via database", что дает?  

--enable-forw-via-db (включить поддержку БД Forw/Via для оптимизации выбора сервера или соседа)


----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 12:46 05-11-2009
ohlos



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возможно ли настроить журналирование так, чтоб игнорировались (не писались в логи) некоторые IP пользователей?

Всего записей: 729 | Зарегистр. 13-07-2004 | Отправлено: 17:36 19-11-2009
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ohlos
Можно, но надо понять что есть "некоторые"
 
 
log_access должен помочь.

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 17:42 19-11-2009
ohlos



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ruza
"Некоторые" - это несколько ip (из разных групп, но в принципе можно будет загнать и в одну и диапазон ip сделать непрерывным), информация по серфингу с которых мне в access.log не нужна, чтоб не сказать вообще не желательна.  
Файл access.log передается в другое подразделение и там обрабатывается в IAM
Руками "подчищать" перед передачей не комильфо

Всего записей: 729 | Зарегистр. 13-07-2004 | Отправлено: 11:41 20-11-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru