Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Mosl

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Спасибо. Как я не заметил сразу.
Прописал так:
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=ZTMC
auth_param ntlm children 10
auth_param ntlm keep_alive off
acl auth proxy_auth REQUIRED
 
external_acl_type AD_Group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
acl Internet external AD_Group Internet
http_access allow all Internet
 
Конфиг завелся. Проверяю на тестовой машине, в интернет не пускает. В логе вижу следующее:
1468681691.866      7 10.10.5.67 TCP_DENIED/407 4741 GET http://google.com/ test.user HIER_NONE/- text/html
 
Что я снова делаю не так.
Весь файл конфига - https://dl.dropboxusercontent.com/u/4928793/squid.conf

Всего записей: 582 | Зарегистр. 09-05-2006 | Отправлено: 18:09 16-07-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mosl
Цитата:
http_access allow all Internet
Именно так? Вообще-то надо просто  
http_access allow Internet


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16313 | Зарегистр. 13-06-2007 | Отправлено: 00:31 17-07-2016
Mosl

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
all я забыл убрать из прошлого сообщения.
Сейчас так:
 
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=ZTMC
auth_param ntlm children 10
auth_param ntlm keep_alive off
acl auth proxy_auth REQUIRED
 
external_acl_type AD_Group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
acl Internet external AD_Group Internet
http_access allow Internet
 
В логе по прежнему: TCP_DENIED/407 4291 CONNECT ssl.gstatic.com:443 - HIER_NONE/- text/html и в интернет не пускает.

Всего записей: 582 | Зарегистр. 09-05-2006 | Отправлено: 09:47 17-07-2016
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mosl
Так а пользователь test.user в группе Internet и external acl работает? Попробуйте использовать скрипт ext_wbinfo_group_acl вручную, опции у него должны быть в help'е либо в исходниках.
 
А почему у Вас в прошлом сообщении был укзан test.user, а в последнем просто прочерк...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6153 | Зарегистр. 28-08-2008 | Отправлено: 12:17 17-07-2016
asfp

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Использую squid 3.5.15 в прозрачном режиме, в том числе на https (только для отслеживания имен хостов) , работает. Проблемы при заходе на хосты со многими ip, в частности mail.ru. Работает, но временами авторизация сильно тормозит.  
В качестве днс стоят сервера 8.8.8.8, 8.8.4.4
Если смотреть cache.log, то там сообщения вида:  
2016/07/15 07:51:04.988| SECURITY ALERT: Host header forgery detected on local=185.5.137.236:443 remote=192.168.0.12:49563 FD 739 flags=33 (local IP does not match any domain IP)
 
2016/07/15 07:51:04.988| SECURITY ALERT: By user agent:  
 
2016/07/15 07:51:04.988| SECURITY ALERT: on URL: news.radar.imgsmail.ru:443
 
Проверяется соответствие ip и имени хоста, если посмотреть вывод nslookup, то на самом деле по этому ip имя другое возвращается:  
 
Имя:     is-radar23.common.radar.imgsmail.ru
Address:  185.5.137.236  
 
Как побороть?

Всего записей: 43 | Зарегистр. 13-01-2003 | Отправлено: 09:30 18-07-2016
Mosl

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А почему у Вас в прошлом сообщении был укзан test.user, а в последнем просто прочерк...

При одной попытке авторизации в логе вижу:
1468825560.281      0 10.10.5.67 TCP_DENIED/407 4113 GET http://ya.ru/ - HIER_NONE/- text/html
1468825560.285      2 10.10.5.67 TCP_DENIED/407 4441 GET http://ya.ru/ - HIER_NONE/- text/html
1468825560.288      1 10.10.5.67 TCP_DENIED/407 4717 GET http://ya.ru/ - HIER_NONE/- text/html
1468825568.478      1 10.10.5.67 TCP_DENIED/407 4441 GET http://ya.ru/ - HIER_NONE/- text/html
1468825568.483      4 10.10.5.67 TCP_DENIED/407 4725 GET http://ya.ru/ test.user HIER_NONE/- text/html
 

Цитата:
Так а пользователь test.user в группе Internet и external acl работает? Попробуйте использовать скрипт ext_wbinfo_group_acl вручную, опции у него должны быть в help'е либо в исходниках.

 
Тестовый юзер в группе Internet.
ext_wbinfo_group_acl справки нет.
[root@SQUID2 ~]# /usr/lib64/squid/ext_wbinfo_group_acl -h
Usage: ext_wbinfo_group_acl -dh
        -d enable debugging
        -h print the help
        -K downgrade Kerberos credentials to NTLM.
 
В интернете нашел такую команду:
[root@SQUID2 ~]# echo test.user internet | /usr/lib64/squid/ext_wbinfo_group_acl
OK
 
Сервер к домену подключен. Команды wbinfo -g и wbinfo -u выдают списоки групп и пользователей.  
 
Команда id test.user выдает информацию о пользователе.
uid=16777217(test.user) gid=16777216(пользователи домена) groups=16777216(пользователи домена),16777217(группа с запрещением репликации паролей rodc),16777218(администраторы dhcp),16777219(dnsadmins),16777221(издатели сертификатов),16777222(ora_dba),16777223(администраторы предприятия),16777224(organization management),16777225(администраторы схемы),16777226(администраторы домена),16777227(esetadmin),16777228(владельцы-создатели групповой политики),16777229(vncadmin),16777231(1c-admin),16777232(remoteapp),16777233(internet)
 
Еще команду нашел команду:
 
[root@SQUID2 ~]# /usr/bin/ntlm_auth --username=test.user
Password:
NT_STATUS_OK: Success (0x0)
 
Влоге cache.log вижу:
Cannot run '/usr/lib64/squid/ext_wbinfo_group_acl' process.
https://dl.dropboxusercontent.com/u/4928793/cache.log
 
В итоге гуглю по этой ошибки нахожу это:
As far as I have good understanding of the process, squid do not stop to restart the helper. Therefore in logs appears:
WARNING: external ACL 'memberof' queue overload. Request rejected 'administrator InternetAccess'
The solution is to put the ipv4 flag in front of %LOGIN
 
Прописал:
external_acl_type AD_Group ipv4 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
acl Internet external AD_Group Internet
http_access allow Internet
 
Разделение по группам заработало. Интересный момент, если я добавляю в группу internet нового пользователя то этот пользователь не получит доступ в интернет пока squid не будет перезапущен. Можно внести в конфигурайию squid какие-то изменения что избежать необходимости перезапускать службу в описаном случае?

Всего записей: 582 | Зарегистр. 09-05-2006 | Отправлено: 10:22 18-07-2016 | Исправлено: Mosl, 15:09 18-07-2016
Mosl

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть еще пару вопросов.
1) Когда ставлю Squid 3.3 то в папке /usr/lib64/squid/ у меня появляеться много хелперов, но когда ставлю версию 3.5 в папке /usr/lib64/squid/ всего 4 хелпера и к примеру того же ext_wbinfo_group_acl нет вообще.
Ставлю по этой инструкции - http://www.2daygeek.com/install-configure-squid-cache-proxy-server-on-centos-rhel-fedora-ubuntu-debian-mint-opensuse/#
Может не так ставлю?
 
2) что нужно добавить в конфиг что бы access.log по достижению определенного размера откладывался и архивировался, а запись событий начаналось в новый файл?

Всего записей: 582 | Зарегистр. 09-05-2006 | Отправлено: 22:12 20-07-2016
romandan88

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят ну подскажите пожалуйста, решил пощупать  (Sonar) http://sonar-squid.ru.
Для теста использовал Ubuntu 16.04 LTS. Скачал установил, но при создании базы данных от root
вываливается ошибка  
 
Enter the database username [root]:
 
Enter the database password []:
ERROR 1171 (42000) at line 216: All parts of a PRIMARY KEY must be NOT NULL; if you need NULL in a key, use UNIQUE instead
ERROR 1146 (42S02) at line 150: Table 'sonar.squid_rules' doesn't exist
Module actions already enabled
Your MPM seems to be threaded. Selecting cgid instead of cgi.
Module cgid already enabled
 
Sonar has been successfully installed
 
Я просто плюнул на это, а потом пожалел. При входе на Web интерфейс, надо ввести пароль и логин, по документации сказано  
 
Учётные данные авторизации для входа в веб-интерфейс после установки приложения, по умолчанию заданы имя пользователя: admin и пароль: admin.
 
Но с ними не проходит авторизация.  
Так вот вопрос, может кто сталкивался? Там другие учетные данные, или это вызвано ошибкой mysql?

Всего записей: 17 | Зарегистр. 08-07-2013 | Отправлено: 13:02 09-08-2016
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
romandan88 Напиши в саппорт сонара.
http://sonar-squid.ru/%d0%ba%d0%be%d0%bd%d1%82%d0%b0%d0%ba%d1%82%d1%8b/

Всего записей: 9248 | Зарегистр. 10-12-2003 | Отправлено: 06:57 15-08-2016
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Привет!
 
Помоги, пожалуйста, решить задачку:
Нужно ограничить размер POST
при попытке использовать директивы request_body_max_size  ничего не происходит
конфиг элементарный:  
 

Код:
 
acl localnet 192.168.0.0/24
request_body_max_size 30 KB localnet
http_access allow localnet
 

 
squid -k check ошибок не выдает
 
Может для этого функционала нужно устанавливать доп. библиотеки?  


----------
Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 09:41 12-09-2016
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lamerok  Версию сквида телепаты озвучат?  
http://www.squid-cache.org/Versions/v3/3.2/cfgman/request_body_max_size.html
Default Value:    request_body_max_size 0 KB
никаких акселей после 0 KB не предусмотрено. И это было существенным недостатком поскольку действовало на всех.  
Вероятнее всего на твой аксель  - request_body_max_size 30 KB localnet  
была ругань в cache.log  
Пробуй убрать в конце localnet  
 
Есть еще один аксель client_request_buffer_max_size, чем то отличается:
http://www.squid-cache.org/Doc/config/client_request_buffer_max_size/
 
Привязка этого акселя request_body_max_size к нужным юзерам через внешний скрипт  
https://www.opennet.ru/openforum/vsluhforumID12/6063.html
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9248 | Зарегистр. 10-12-2003 | Отправлено: 15:15 12-09-2016 | Исправлено: ipmanyak, 15:17 12-09-2016
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ipmanyak
 
Сорри, телепаты в отпуске , я в курсе.  
Версия 3.5.12  
Насколько я понял, в 3.5 request_body_max понимает acl...
 
если я пишу request_body_max 30  
squid - k check  выдает ошибку  
 WARNING: No units on 'request_body_max_size 30', assuming 30.00 bytes
 
если я пишу request_body_max 30 KB  
 
squid - k check ошибок не выдает, но фильтр не работает ....
могу залогиниться и приааттачить файлы любого объема
 

Цитата:
Привязка этого акселя request_body_max_size к нужным юзерам через внешний скрипт  

пробовал, не получилось....
я подозреваю,  что дело в не squid.....
может быть, дело в том, что я захожу на почтовую веб морду по  https?

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 15:45 12-09-2016 | Исправлено: Lamerok, 15:57 12-09-2016
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lamerok Может быть. Включи дебаг в конфиге сквида на уровень побольше и смотри cache.log. В конце концов проверь аксель на ftp или http сайте.  
Чтобы сквид мог копатьcя в https его вроде надо собирать со спец опциями и генерить ему сертификат, что-то типа ssl bump, почитай про это.
 
в 3.5 тоже ничего про аксели  нет , так что, правильный аксель такой как и был ранее:
 
request_body_max_size 30 KB
 
http://www.squid-cache.org/Versions/v3/3.5/cfgman/request_body_max_size.html

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9248 | Зарегистр. 10-12-2003 | Отправлено: 15:56 12-09-2016
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ipmanyak
спасибо за наводку, почитаю,но неужели для того чтобы сделать обрезание по объему поста нужно  сделать ssl_bump !?
acl  у меня используется один, т.к. пытаюсь локализовать проблему.
в логах успешно установленные соединения и т.п.
такое ощущение что директивы request_body_max_size в конфиге нет вовсе.
 
https://www.youtube.com/watch?v=D5tLYYjh7to  
 самый простой конфиг и все работает, но у меня  с таким же конфигом - не получается.

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 16:24 12-09-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такой вопрос:
можно ли сделать squid прозрачным, если он имеет один интерфейс и не является NAT ?
задача такая:
есть Mikrotik
есть squid3
надо с Mikrotika заворачивать трафик на squid3 и проксировать его прозрачно.

Всего записей: 549 | Зарегистр. 24-03-2007 | Отправлено: 12:40 05-10-2016
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anahaym Howto connect Squid Proxy with Mikrotik with Single Interface  
https://aacable.wordpress.com/2014/04/28/howto-connect-squid-proxy-with-mikrotik-with-single-interface/
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9248 | Зарегистр. 10-12-2003 | Отправлено: 13:25 05-10-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak вопрос не в том, как подключить МК к squid, а как настроить squid? или iptables...
но по вашей статье написано:

Цитата:
No IPTABLES configuration is required at squid end

сейчас попробую переписать правила на МК
 
 
Добавлено:
ipmanyak настроил правило. но squid3 молчит.... вот его конфиг:

Код:
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl my_network src 10.254.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
 
http_access allow my_network
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
 
http_port 3128 transparent
 
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
 
shutdown_lifetime 5.00 second
cache_dir ufs /var/cache/squid 2048 16 256
maximum_object_size 10024.00 bytes

 
Добавлено:
нашёл вот статью, но тут используется виртуальный адрес и натирование.
http://www.purplealienplanet.com/node/25
как сделать без NAT ?
т.е. чтобы прозрачные работал как непрозрачный (только в плане количества интерфесов) - или это невозможно?
 
а может имеет смысл сделать не прозрачный squid3 с авторизацией по IP ??? только чтобы на клиенте ничего настраивать не надо было. такое возможно???

Всего записей: 549 | Зарегистр. 24-03-2007 | Отправлено: 14:49 05-10-2016 | Исправлено: anahaym, 16:51 05-10-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
настроил непрозрачный прокси.
настроил перенаправление трафика с 80 порта на 3128 - не помолго.

Код:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

если же явно указать в браузере прокси - работает. но мне надо чтобы работало без настройки пользовательских приложений. как бы прозрачно...
 
Добавлено:
tcpdump видит трафик на 3128. делал squid прозрачным - в логах ничего, инета нет...

Всего записей: 549 | Зарегистр. 24-03-2007 | Отправлено: 17:22 05-10-2016
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
anahaym

Цитата:
настроил непрозрачный прокси.
настроил перенаправление трафика с 80 порта на 3128  


Цитата:
но мне надо ... как бы прозрачно...  

Тебя ничего не смущает?


----------
Fools rush in where angels fear to tread.

Всего записей: 5384 | Зарегистр. 10-09-2003 | Отправлено: 21:57 05-10-2016
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
только чтобы на клиенте ничего настраивать не надо было. такое возможно???  
Нет.
Если машины в домене, прокси можешь прописать политиками домена для IE. Хром берет настройки от IE. Для Мозиллы тоже уже есть шаблоны  
http://www.websense.com/content/support/library/web/hosted/getting_started/apply_policy.aspx
https://sourceforge.net/projects/firefoxadm/
 
До кучи
how to force add automatic proxy configuration URL using windows group policy
https://support.mozilla.org/ru/questions/961280
 
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9248 | Зарегистр. 10-12-2003 | Отправлено: 07:11 06-10-2016 | Исправлено: ipmanyak, 07:12 06-10-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru