Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak это всё я знаю. но надо без настройки у пользователя. тем более, половина компов - МАСи...

Цитата:
Тебя ничего не смущает?  

нет, мне надо непрозрачный прокси, но чтобы авториазация была на сервере. Т.е. если пакет пришёл от 10.254.1.123 на порт 3128 - то пропустить его.
 
не я не совсем понимаю в чём разница, когда трафик приходит из настроеного браузера или переадресовывается на тот же порт... надо проверить заголовки пакетов.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 11:56 06-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anahaym
Цитата:
я не совсем понимаю в чём разница ...
То-то и оно... Разница в том, что и браузер, и сквид обрабатывают запросы
на обычный и "прозрачный" порт по-разному.
Точнее, о существовании сквида в случае "прозрачного" порта браузер даже не подозревает.
А потому настраивай нормально прозрачный режим и не морочь голову ни себе, ни людям.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16416 | Зарегистр. 13-06-2007 | Отправлено: 12:32 06-10-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Разница в том, что и браузер, и сквид обрабатывают запросы  
на обычный и "прозрачный" порт по-разному.  

как-то это можно изменить?

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 13:08 06-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anahaym
Цитата:
как-то это можно изменить?
Есть программы, которые умеют работать через прокси,
а есть те, которые не умеют. Все браузеры умеют.
Для не умеющих существуют различные проксификаторы.
Сквид умеет одновременно работать в обычном и "прозрачном" режимах
при настройке 2-х разных портов. Но обычный порт не работает "прозрачно",
а "прозрачный" не работает если его прописывать в настройках прокси.  
Изменить просто. Избавиться от прокси и оставить чистый НАТ.
Доступ разруливать настройками iptables.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16416 | Зарегистр. 13-06-2007 | Отправлено: 14:28 06-10-2016 | Исправлено: vlary, 14:30 06-10-2016
anahaym

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
при настройке 2-х разных портов. Но обычный порт не работает "прозрачно",  

понятно

Цитата:
Изменить просто. Избавиться от прокси и оставить чистый НАТ.  

это и измена, а замена. у меня шлюз Mikorik, там я могу легко управлять доступом, но главная цель установки прокси - мониторинг трафика. кто, куда, сколько.
в Микротике есть свой прокси, но просмотр его статистики через WebProxy практически не даёт нужной информации......... только топ-сайтов.

Всего записей: 573 | Зарегистр. 24-03-2007 | Отправлено: 14:36 06-10-2016
mithridat1



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Какая версия Squid сейчас считается наиболее стабильной и рекомендуемой к использованию ? Установленный достаточно старый Squid 3.1.20 стал как то беспричинно на ровном месте подвисать на час,решил обновиться.
 
Добавлено:
vlary

Цитата:
Для не умеющих существуют различные проксификаторы.

По указанной вами ссылке описание проекта azimuth-proxyfier,но сайт уже недоступен.Дистрибутивов/исходников не сохранилось ?

Всего записей: 3776 | Зарегистр. 05-01-2006 | Отправлено: 10:16 15-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mithridat1
Цитата:
Дистрибутивов/исходников не сохранилось ?
Насчет исходников не знаю, были ли они вообще.
А дистрибутивы, если поискать, найдутся.
http://bsg.org.ua/azimuth-proxyfier/
 
Добавлено:
Насчет сквида, у меня стоит squid-3.5.3 Проблем с ним не наблюдаю.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16416 | Зарегистр. 13-06-2007 | Отправлено: 17:39 15-10-2016
KOLBASOID

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может кто сталкивался. поставил сквид. . настроил обработку ssl(https)
версия сквид 4,0,9 версия убунты 16,04.
обновленная.
сквид работает. ssl сайты обрабатывает и блокирует. а как блокировать ру домены (.рф на кириллице). незнаю. уже пробовал вбивать пуникод. в файл блкировки.  
 
настраивал аналогично https://habrahabr.ru/post/267851/ и https://habrahabr.ru/post/272733/
 
конфиг скивда  

Код:
acl localnet src 172.16.0.0/24          # RFC 1918 local private network (LAN)
 
 
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
 
dns_nameservers 8.8.8.8
 
http_access deny !Safe_ports
 
 
http_access deny CONNECT !SSL_ports
 
http_access allow localhost manager
http_access deny manager
 
 
http_access allow localnet
http_access allow localhost
 
http_access deny all
 
 
http_port 172.16.0.1:3128 intercept
http_port 172.16.0.1:3130
 
 
https_port 172.16.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/sq$
 
 
always_direct allow all
sslproxy_cert_error allow all
#След параметр походу убрали в 4.0.9
sslproxy_flags DONT_VERIFY_PEER
acl blocked ssl::server_name  "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
 
 
ssl_bump terminate blocked
ssl_bump splice all
 
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
 
 
coredump_dir /var/spool/squid
 
 
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
 
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB
 
cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4
 

 
и файл с сайтами

Код:
 
.ya.ru
.vk.com
.mail.ru
.xn--c1adahg2atfb8hee9d.xn--p1ai
.серьёзныеигры.рф
.серьезныеигры.рф
xn--c1adahg2atfb8hee9d.xn--p1ai
 

 
4 раза указал рф домен и никак не помогает. может подскажет кто как бороть русские домены. проблема не столько закрыть сколько будет задача открывать ру домены. т.к. будет полная блокировка. спасибо надеюсь поможете.  

Всего записей: 3 | Зарегистр. 06-04-2008 | Отправлено: 09:38 28-11-2016 | Исправлено: KOLBASOID, 09:39 28-11-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KOLBASOID
Цитата:
4 раза указал рф домен и никак не помогает.
Думаю, SQUID не при делах, он нормально пуникод блокирует,
для него нет разницы, адрес пуникод или чистая латиница.
А вот то, что ты кириллицу забил в акцесс-лист, совершенно неправильно,
из-за этого SQUID вполне может колбасить.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16416 | Зарегистр. 13-06-2007 | Отправлено: 11:52 28-11-2016
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем доброе время суток
Исходные данные
1. 7-9 лет сидели на замшелой версии squid 2.6
мониторился только http
2. появилась задача мониторить https
основываясь на этой статье: https://habrahabr.ru/post/267851/
был развернут squid 3.5.22
3. доступ пользователей в интернет осуществляется по acl=ip
 
все что нужно работает, но стабильно появляется
 
Проблема
когда пользователи запускают видеоконференцию через скайп, то squid 3.5.22 начинает кушать все ресурсы ЦПУ
и прекращает обрабатывать HTTP запросы
логи системы, самого сквида, лог кэша смотрел, ошибки есть, но связанные с DNS
 
если кто знает, подскажить, в какую сторону копать.
 

Всего записей: 909 | Зарегистр. 23-06-2003 | Отправлено: 15:07 10-02-2017
drsmoll



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
попробуй исключи Скайп из проверок https
ssl_bump none Skype_Uagent
ssl_bump none Skype_Dom
acl Skype_UAgent browser ^skype^
acl Skype_Dom dstdomain .skype.com .microsoft.com .live.com.
+ еще IP серверов скайпа добавь.

Всего записей: 224 | Зарегистр. 13-04-2006 | Отправлено: 15:22 10-02-2017
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
drsmoll
>> попробуй исключи Скайп из проверок https  
понял, спаcибо !

Всего записей: 909 | Зарегистр. 23-06-2003 | Отправлено: 15:49 10-02-2017
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slaj1

Цитата:
шибки есть, но связанные с DNS
 
Если это именно ошибка DNS, то можно попробовать добавить строку
dns_nameservers 192.168.0.1 (Ip локального DNS сервера)
Зы лучше всего эту строку поставить сразу после  
http_port 192.168.0.1:3128 transparent

Всего записей: 1463 | Зарегистр. 14-04-2006 | Отправлено: 23:35 10-02-2017 | Исправлено: KUSA, 23:38 10-02-2017
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
>> dns_nameservers 192.168.0.1 (Ip локального DNS сервера)  
>> http_port 192.168.0.1:3128 transparent
спасибо, но это сделано изначально

Всего записей: 909 | Зарегистр. 23-06-2003 | Отправлено: 19:17 13-02-2017
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slaj1
Тау удалось решить Вам проблему?
Если да - то как, если не секрет?

Всего записей: 1463 | Зарегистр. 14-04-2006 | Отправлено: 21:11 13-02-2017
bibliary

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
Имеется настроенный прозрачный squid. Стоит задача - какждого пользователя, кроме випов, выпускать по отдельному white-листу в интернет. Всё остальное резать.  
 
На http-трафик фильтр налаживаю таким образом
 
acl test src 10.20.30.195/32
acl allow_urls_test url_regex "/etc/squid/test_white_list.txt"
http_access allow test CONNECT
http_access deny !allow_urls_test test
 
А вот для https-траффика не могу настроить. На данный момент есть только кусок конфига который пускает випов без фильтрации, а всех остальных пускает только на сайты из white-lista общего.
 
acl allowed_urls_ssl_test ssl::server_name_regex "/etc/squid/test_white_list.txt"
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice extended_access_group
ssl_bump terminate !allowed_urls_ssl_test
ssl_bump terminate all
 
Когда пытаюсь прописать
ssl_bump terminate !allowed_urls_ssl_test test
 
то вообще ничего не пропускает squid. Есть у кого то мысли по этому поводу?
 

Всего записей: 6 | Зарегистр. 17-08-2010 | Отправлено: 16:20 14-02-2017
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
drsmoll
большое спасибо за наводку !
 
KUSA
вроде как проблема решена
 
с момента обращения на форум в конциг были внесены следующие изменения:
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?[0-9a-f:]+)?[0-9a-f]+|0-9\.]+)?\])):443
acl Skype_Dom dstdomain .skype.com .microsoft.com .live.com.
acl Skype_UAgent browser ^skype^
ssl_bump none Skype_Uagent
ssl_bump none Skype_Dom
 
сегодня были конференции через скайп, итог
- squid не выедает процессор;
- видеоконференция через скайп у коллег работает.
 
часть конфига изменена согласно
http://wiki.squid-cache.org/ConfigExamples/Chat/Skype
 
Добавлено:
дополнительно в конфиг сквида увеличил кол-во дескрипторов max_filedescriptors

Всего записей: 909 | Зарегистр. 23-06-2003 | Отправлено: 16:30 16-02-2017
drsmoll



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slaj1 у меня только сомнения на счет:
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?[0-9a-f:]+)?[0-9a-f]+|0-9\.]+)?\])):443  
потому, что все обращения по https по числовым адресам не будут бампиться, поэтому я не привел эту строчку в ответе. По уму, надо добавить вместо нее пул айпишников серверов-нод скайпа.
ЗЫ: еще желательно отключить кэширование для этих acl, что-то вроде:
cache deny Skype_Dom
no_cache Skype_Dom
always_direct allow Skype_Dom
 

Всего записей: 224 | Зарегистр. 13-04-2006 | Отправлено: 17:18 16-02-2017 | Исправлено: drsmoll, 17:25 16-02-2017
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
drsmoll
век живи, век учись
большое спасибо !!!
значит еще буду курить
 
Добавлено:
drsmoll
хотя у меня ведь строка  
acl numeric_IPs dstdom_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[([0-9a-f]+)?[0-9a-f:]+)?[0-9a-f]+|0-9\.]+)?\])):443  
 
не работает !!!
она сейчас не привязана ни к какому правилу запрета или разрешения  
а сама по себе она работаеть не будет
получается, что работают вот эти строчки:
 
acl Skype_Dom dstdomain .skype.com .microsoft.com .live.com.
acl Skype_UAgent browser ^skype^
ssl_bump none Skype_Uagent
ssl_bump none Skype_Dom  
 
по кэшам покурю, ну и в общем тож
спасибо !
 
завтра еще одна конфа, посмотрю будут ли у ребят глюки

Всего записей: 909 | Зарегистр. 23-06-2003 | Отправлено: 18:02 16-02-2017
TRECT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет. Кто нибудь настраивал Squid в режиме прозрачной фильтрации HTTPS трафика без подмены сертификатов? Я настроил, все работает, но в логах https сайты отображаются только по айпи, а хотелось бы чтобы было доменное имя. В тоже время http сайты в логах пишутся по имени. Кто знает как допилить чтобы домен отображался у https сайтов?  

Всего записей: 205 | Зарегистр. 26-11-2006 | Отправлено: 14:26 11-04-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru