Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да у пользователя именно висит открытие страницы и все.
Пытался переключать на другие КД все равно после какого-то момента начинает жутко тупить, через время все проходит
 
Подцепиться к процессу как так?
strace -f squid3  
 
просто раньше такого не делал
 
Да забыл сказать он не полностью виснит те конекты что работали так и работают и трафик идет не отрабатывают только новые.
А вот новые пользователи или новые коннекты старых пользователей трудно сказать скорее всего и то и другое

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 23:12 03-07-2015 | Исправлено: yakostik, 23:30 03-07-2015
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
Отследить только новые будет тяжелее...
strace'ом пользовать так: strace -f -p <SQUID_PID>
SQUID_PID можно взять из ps, это pid родительского процесса. Если раньше не пользовались ни когда strace'ом и нету знания о ядерных вызовах, то будет тяжело сразу взять анализ работающего многопоточного приложения...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 00:07 04-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сегодня при затыке посмотрел статистику в cachemgr.cgi
 
Negotiate Authenticator Statistics:
program: /usr/lib/squid3/negotiate_kerberos_auth
number active: 350 of 350 (0 shutting down)
requests sent: 30665
replies received: 30664
queue length: 250
avg service time: 5279 msec
 
при этом статистика обработки групп вот такая
 
External ACL Statistics: ldap_group
Cache size: 1178
program: /usr/lib/squid3/ext_ldap_group_acl
number active: 20 of 60 (0 shutting down)
requests sent: 1178
replies received: 1178
queue length: 0
avg service time: 0 msec
 
вопрос нельзя ли как то заставить negotiate_kerberos_auth кешировать удачную авторизацию пользователя потому что у меня создается ощущение что он на каждый объект который качает с инета пытается авторизоваться чем собственно дико загружает загружает пройессы авторизации.
 

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 14:48 06-07-2015
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
Такие подробности я уже не знаю, в таком ключе как у Вас я уже лет 5 как не использую Squid.
 
дока

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 17:03 06-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, поделитесь рабочим конфигом авторизации с AD по ntlm_auth, ldap_auth с групповыми политиками. а то у меня постоянное окно авторизацию запршивает. Благодарю

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 17:05 07-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Renua
А причем тут политики не путайте теплое с мягким.
От АД вы можете взять только проверку пароля и группу в которую входит пользователь скажем для того что бы поработать с листами доступа или скоростью и все.
 
У меня юзается керберос и ntlm конфиг выше приводил по сути те две строки это единственное что надо.
Если хватает только кербероса то для авторизации достаточно вот этого
 
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM
auth_param negotiate children 350 startup=20 idle=25  
auth_param negotiate keep_alive off  
 
а проверка групп так и остается  
 
external_acl_type ldap_group ttl=3600 ipv4 children-max=50 children-startup=50  %LOGIN /usr/lib/squid3/ext_ldap_group_acl  -d -P -R -K -b "dc=may,dc=com" -f "(&(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,ou=Internet Sharing,dc=may,dc=com))" -D "squid@my.com" -w "Gfccgjhn201#" -h dc1.may.com
 
затем просто в конфиге раскидываете пользователей по acl на основании членства в группе как то так
acl unblocksyte  external ldap_group unBlockSite
или так  
acl Unlim4mb     external ldap_group  "/etc/squid3/group/unlim4mb.txt"
файл нужен для того что бы правильно вычитывать группу с пробелом в имени потому что при тестирование из консоли прокатывает подмена пробела на %20, а вот при работе из конфига нет потому юзаю файл где всего одна строка с именем группы с пробелами как в АД
 
А по поводу пароля есть два варианта либо у Вас не настроена самба для ntlm или krb5 для кербероса либо если это единичный случай то пользователь мог тупо неверно забить пасс руками
 
 
Добавлено:
ДА и еще отвечаю на свои же вопросы может кому поможет
количество деток для проверки группы может быть очень маленьким они практически не нагружаются (у меня запустилось всего 10 работали 2 первых), количество деток для самого кербероса где то в половину от количества запросов в сек которые обрабатывает сквид.
 
Ну и про затык, лично мне помогла добавка в файл /etc/default/squid3 таких строк
 
KRB5RCACHETYPE=none
export KRB5RCACHETYPE
 
Сегодня сервер отработал день, переварил судя по логу больше чем полтора миллиона проверок авторизации и на все про все запустил всего 45 чилдренов причем 800к проверок взял на себя первый процесс авторизации остаток распредилился по остальным 13 ну и на чилдренах номер 15 и ниже висит от 10 до 2 авторизаций.

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 22:29 07-07-2015 | Исправлено: yakostik, 22:43 07-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
Вот такой конфиг у меня, но все равно выкидывает окно авторизации

Код:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 8 hour
 
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off
 
 
#######
# ACL #
#######
 
external_acl_type nt_group ttl=120  %LOGIN /usr/lib/squid3/wbinfo_group.pl
 
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl ntlmauth proxy_auth REQUIRED
 
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl FTP port 21 22 23           # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl purge method PURGE
acl CONNECT method CONNECT
 
acl lan src 192.168.0.0/16
 
http_access deny !ntlmauth
http_access allow manager lan
http_access allow purge localhost
http_access deny !Safe_ports !FTP
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow localhost
http_access allow purge localhost
http_access deny purge
url_rewrite_access deny localhost  

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 08:20 08-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
при таком конфиге нужна самба введенная в домен и настроенная. Она есть?
 
Добавлено:
и еще я не увидел вот такой acl
acl auth proxy_auth REQUIRED

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 08:47 08-07-2015
Kaber



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При создании пользователя в Sams по ip, указывается маска /255.255.255.0 , а при  
sudo squid3 -k check
Выдает:
2015/07/08 14:13:24| WARNING: Netmasks are deprecated. Please use CIDR masks instead.
2015/07/08 14:13:24| WARNING: IPv4 netmasks are particularly nasty when used to compare IPv6 to IPv4 ranges.
2015/07/08 14:13:24| WARNING: For now we will assume you meant to write /8
2015/07/08 14:13:24| aclIpParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.0.43/255.0.0.0'
Кто нибудь сталкивался?

Всего записей: 1356 | Зарегистр. 14-03-2014 | Отправлено: 14:14 08-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
самба в домене.
а вот так не подойдет?

Код:
acl ntlmauth proxy_auth REQUIRED  
http_access deny !ntlmauth

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 12:15 09-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Renua
Вроде как должно пойти видно я не заметил в первый раз эту строку
 
Единственное что у меня сначала разрешаются все порты, потом разрешение для авторизованных потом разрешения для групп, а потом запретить всем оставшимся все.
 
Самба проходит тесты
 

Код:
sudo wbinfo -t
checking the trust secret for domain KOM via RPC calls succeeded

 

Код:
sudo wbinfo -a KOM\\artur
Enter KOM\artur's password:
plaintext password authentication succeeded
Enter KOM\artur's password:
challenge/response password authentication succeeded

 
и еще при такой работе очень критично синхронизация времени между доменом машиной юзера и проксей.
 
 
Если настраиваете такое первый раз очень рекомендую вот этот цикл статей
 
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS.
Все очень толково и буквально по пунктам разложено как что и зачем делать.

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 19:25 09-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
от самбы все ответы приходят. простоя не могу понять. почему-то все равно выкидывает окно авторизации. еще раз проверю время... мало ли

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 11:43 10-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Renua
Поиграй с хелпером отдельно от сквида проверь что он вертает

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 13:54 10-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
проверку на логин и пароль, проверку на группы возвращает. поэтому и странно. в логах ошибок нет.

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 11:42 13-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробуй тут только первую часть строки взять

Код:
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM  
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM.UA  
auth_param negotiate children 2250 startup=20 idle=25  
auth_param negotiate keep_alive off  

может и прокатит

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 23:47 13-07-2015
Renua



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yakostik
не прокатило

Всего записей: 62 | Зарегистр. 22-10-2014 | Отправлено: 09:47 16-07-2015
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
значит где то не проходит авторизация или еще что то у меня пашет и по керберосу и по самбе авторизацию нормально, а после того как настроил керберос вообще супер стало

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 20:38 16-07-2015
serdon

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, коллеги. Нужна ваша помощь.
 
Имеется версия 2.6.STABLE21 на CentOS 5.11, работает многие годы как простой прокси. Понадобился прозрачный режим для некоторых NAT-юзеров, и возникли проблемы: похоже теряются/путаются пакеты, из-за чего эти самые NAT-юзеры качают исключительно битые файлы, а также у них грузятся не все картинки на сайтах.
При этом у пользователей юзающих обычный прокси проблем нет, у NAT-юзеров ходящих мимо Сквида тоже все ОК.
 
squid.conf

Код:
...
http_port 192.168.11.254:3128
http_port 192.168.11.254:3129 transparent
...

 
iptables

Код:
...
# Transparent SQUID for logging some IP
-A PREROUTING -i eth0 -p tcp -s 192.168.11.112/32 --dport 80 -j REDIRECT --to-port 3129
-A PREROUTING -i eth0 -p tcp -s 192.168.11.204/32 --dport 80 -j REDIRECT --to-port 3129
-A PREROUTING -i eth0 -p tcp -s 192.168.11.206/32 --dport 80 -j REDIRECT --to-port 3129
...
-A POSTROUTING -m iprange --src-range 192.168.11.110-192.168.11.120 -j MASQUERADE
-A POSTROUTING -m iprange --src-range 192.168.11.200-192.168.11.215 -j MASQUERADE

 
Да, инет через ADSL-модем в режиме моста/bridge.
 
Где косяк? Может баг Сквида?

Всего записей: 15 | Зарегистр. 03-10-2005 | Отправлено: 15:32 04-08-2015
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serdon
masquerade после squid'а уже не актуален, для src пользователя.
да выглядит-то норм чего там transparent да redirect
 
Надеюсь Вы понимаете что https в прозрачном режиме не работает. Обычные файлы по http должны грузиться без проблем.
 
Больше не каких правил задевающих ущемлёных юзеров в таблице NAT iptables'а нету?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:32 04-08-2015
serdon

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd

Цитата:
Надеюсь Вы понимаете что https в прозрачном режиме не работает.

Угу. Вроде как masquerade для этого в т.ч.
 
В iptables не знаю зачем есть такое:

Код:
...
*filter
...
-A INPUT -i tap0 -j ACCEPT
...

 
Нужно ли это туда же (хотя пробовал не помогает)?

Код:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 
И это (в nat)?

Код:
-A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 192.168.11.254


Всего записей: 15 | Зарегистр. 03-10-2005 | Отправлено: 16:58 04-08-2015 | Исправлено: serdon, 17:04 04-08-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru