Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Osennij_Lis



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Коллеги, не понимаю в чем проблема. Поднял прокси с фильтрацией по https (не MITM). Работает в режимах:
Прозрачный для 80 и 443
Аутентификация ntlm для доменных пользователей
И все вроде отлично работает, за исключением одного но.
На сервере поднят Lighttp и настроен сборщик статистики Lightsquid. Если я пытаюсь зайти на прокси. посмотреть статистику с компьютера, имеющего доступ в интернет в прозрачном режиме - все ок, открывается и просматривается.
Если пытаюсь сделать тоже самое с компьютера с ntlm авторизацией (у пользователя полный доступ в интернет), сквида (даже при попытке просто стартовую страничку web сервера открыть) пишет "Доступ запрещен", как буд-то пытаюсь зайти на запрещенный http ресурс.
Уже всю голову изломал в чем может быть проблема. Надеюсь на вашу помощь
Конфиг сквиды

Всего записей: 87 | Зарегистр. 15-12-2008 | Отправлено: 10:39 16-05-2017
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Osennij_Lis Зачем голову ломать, debug в сквиде на что? Включи его на уровень побольше и смотри cache.log , увидишь какой аксель бреет.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 13:14 16-05-2017
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи.
Есть хост FreeBSD, на нем крутится Squid 3.5.23.
Внешний адрес хоста, допустим, 1.2.3.4, внутренний - 192.168.1.1
Внутри сети есть комп с адресом 192.168.1.10, на нем крутится некое веб-приложение на 80 порту.
Настроен проброс средстами сетевого экрана 1.2.3.4:8080 -> 192.168.1.10:80.
Снаружи есть сайт, допустим, mysite.com, с которого есть ссылка (http://1.2.3.4:8080/app/) на хост с веб-приложением, ссылка имнно АйПишная. Для всех ходящих снаружи не проблема попасть как на mysite.com, так и на http://1.2.3.4:8080/app/. Однако из локальной сети через Сквид на mysite.com попадаем легко, а вот  при попытке доступа на http://1.2.3.4:8080/app/ получаем ошибку.
 
в конфиге прописано так:
 
acl allowed_user 192.168.1.20
acl Urls_Tech dstdomain 1.2.3.4
acl IPs_Tech dst 1.2.3.4
http_access allow allowed_user Urls_Tech
http_access allow allowed_user IPs_Tech  
 
Где собака порылась, подскажите.
Заранее спасибо.

Всего записей: 55 | Зарегистр. 03-09-2003 | Отправлено: 15:50 22-05-2017 | Исправлено: RMGRuBoard, 15:55 22-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RMGRuBoard Чет ты сумбурно так все описал...
На http://1.2.3.4:8080/app/ не попадаешь из локальной сети. Правильно?
Уточню: траффик в данном случае идет через прокси (я думаю да), или на прямую?
Уточню: сквид и и NAT крутятся на одной машине или разных?

Цитата:
Настроен проброс средстами сетевого экрана 1.2.3.4:8080 -> 192.168.1.10:80.
Потому что вот это правило в данном случае не работает.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 16:25 22-05-2017 | Исправлено: MisHel64, 16:35 22-05-2017
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MisHel64
> На http://1.2.3.4:8080/app/ не попадаешь из локальной сети. Правильно?
 
   Да, именно в такой адресации. если иду на 192.168.1.10:80 (он же только в локалке) - все норм
   mysite.com - это сайт компании, на внешнем хостинге, а http://1.2.3.4:8080/app/ - это  
   приложение регистрации заявок. При переходе по ссылке грузится страничка уже с другого сайта,
   который находится внутри локалки.
 
>  Настроен проброс средстами сетевого экрана 1.2.3.4:8080 -> 192.168.1.10:80.  
>  Потому что вот это правило в данном случае не работает.
    Правило работает, для тех кто идет с интернета. а для тех кто зашел на mysite.com из локальной сети
    через прокси (на сам сайт без проблем) при переходе по ссылке http://1.2.3.4:8080/app/ выдается
    ошибка.

Всего записей: 55 | Зарегистр. 03-09-2003 | Отправлено: 16:39 22-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RMGRuBoard Услыш меня. Еще раз повторю.
Правило работает если трафик пришел через ВНЕШНИЙ интерфейс, если через ВНУТРЕННИЙ то НЕ РАБОТАЕТ.
По этому из локалки идя на 1.2.3.4 ты попадаешь на 192.168.1.1 (или какой у тебя там внутренний IP "сетевого экрана"), а вовсе не на 192.168.1.10. Если вообще вообще данный запрос куда-то попадает.

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 16:48 22-05-2017 | Исправлено: MisHel64, 16:50 22-05-2017
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
RMGRuBoard Услыш меня. Еще раз повторю.  
 Правило работает если трафик пришел через ВНЕШНИЙ интерфейс, если через ВНУТРЕННИЙ то НЕ РАБОТАЕТ.

Это я понимаю. Хотя тут есть момент - трафик идет через прокси, а это не совсем прямой роутинг.
Более того, в теории, должны различаться методы прохода пакетов при прямом (прокси прописан в браузерах) и прозрачном проксировании (заворот пакетов на порт прозрачного прокси).
Вопрос в том - какими средствами организовать доступ пользователям прокси из локалки дабы этот переход осуществлялся корректно...
В прямом режиме роутинг не сработает, если добавить правило роутинга, пробрасывать дополнительный порт - так снаружи юзеры все видят...

Всего записей: 55 | Зарегистр. 03-09-2003 | Отправлено: 06:15 23-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я тебя не зря спрашивал:

Цитата:
Уточню: сквид и и NAT крутятся на одной машине или разных?


Цитата:
Более того, в теории, должны различаться методы прохода пакетов при прямом (прокси прописан в браузерах) и прозрачном проксировании (заворот пакетов на порт прозрачного прокси).
Чет ты не то куришь...

Цитата:
Вопрос в том - какими средствами организовать доступ пользователям прокси из локалки дабы этот переход осуществлялся корректно...
У тебя четыре серьезных косяка сделанные рукожопами. Фиксишь любой из них и все будет корректно работать.
 
 

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 09:58 23-05-2017
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Цитата:
Уточню: сквид и и NAT крутятся на одной машине или разных?

на одной
 

Цитата:
У тебя четыре серьезных косяка сделанные рукожопами. Фиксишь любой из них и все будет корректно работать.

Какие конкретно? в чем проблема? если бы понимал - сделал бы уже
 

Всего записей: 55 | Зарегистр. 03-09-2003 | Отправлено: 13:53 23-05-2017
MisHel64



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RMGRuBoard  
1) Решение в лоб. Почитать на тему преобразования запросов средствами SQUID.
Остальные решения не относятся к данной теме. По этому обсуждать их здесь не советую, а я уж точно не буду, меня и так усиленно стараются выпилить.
2) Правильно настроить пакетный фильтр. Сейчас он у тебя судя по всему настроен только на обработку WAN->LAN трафика, а надо еще настроить OUTPUT цепочки, и проследить прохождение пакета во всем цепочкам. Возможны два варианта. Или у тебя вообще нет правила для преобразования сгенереного на этой машине трафика, или преобразование происходит, но пакет все равно уходит через WAN порт. И моя практика подсказывает, что это очень корявое решение.
3) Перенести внутренний сайт на 192.168.1.10:8080 и заменить IP на URL, с правильной настройкой DNS. Это САМОЕ ПРАВИЛЬНОЕ РЕШЕНИЕ.
4) Средствами PHP (или на чем у тебя сайт) выдавать различные адреса в зависимости от адреса спрашивающего. То есть, если запрос приходит из локалки, то есть с адреса 1.2.3.4 выдать  192.168.1.10:80. иначе 1.2.3.4:8080

Цитата:
на одной
Это очень критично. Одно дело пилить LAN->LAN преобразования, другое OUTPUT>LAN

Всего записей: 2307 | Зарегистр. 21-09-2006 | Отправлено: 21:31 23-05-2017 | Исправлено: MisHel64, 21:32 23-05-2017
RMGRuBoard

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MisHel64
Спасибо, попробую

Всего записей: 55 | Зарегистр. 03-09-2003 | Отправлено: 07:01 26-05-2017
ANZH

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто-нибудь может посоветовать нормальную замену режику, так же адаптированную по ru-зону? А то у него убрали платную подписку, а на проверку списков нет времени.

Всего записей: 3 | Зарегистр. 31-01-2014 | Отправлено: 12:29 02-10-2017
K V M

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте. Немножко отсал от мира сквид.
для http использовал squidguard и скармливал ему список из баз например shallalist.
как такое проделать для https. Просто вписать все домена в файлик - думаю будет тормозить.
Или подскажите как сделать фильтрацию сайтов на https по больших списках (тот же shallalist)

Всего записей: 52 | Зарегистр. 14-10-2009 | Отправлено: 22:04 15-10-2017
Mavrikii

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
K V M

Цитата:
Или подскажите как сделать фильтрацию сайтов на https по больших списках

сайтов или URL?
сайты то резать можно по CONNECT

Всего записей: 5229 | Зарегистр. 20-09-2014 | Отправлено: 20:24 17-10-2017
K V M

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii
Только сайт. С url заморачиваться по ssl думаю не стоит
По connect понятно. Но как он будет работать с большим списком блокировок (скажем 1000+ записей)

Всего записей: 52 | Зарегистр. 14-10-2009 | Отправлено: 09:03 18-10-2017
redson



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Часто в разных конторах подымаю, на простом конфиге прокси squid. Каналы везде разные, от 5мб до 50мб. И каждый раз думаю, а нужно ли оставлять включенным кеширование, при текущих скоростях интернета? Интересует ваше мнение. Напишите, кто как поступает и почему?

Всего записей: 1024 | Зарегистр. 23-04-2007 | Отправлено: 12:05 07-12-2017
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson Дисковый кэш давно уже отключаю, это лишние тормоза. Очень давно ранее смотрел эффективность дискового кэша - 3-4% было, это ни что!  Все ходят на разные сайты. Эффективен дисковый кэш в каких-либо учебных классах, когда работают с преподом  и заходят на одни и те же сайты скопом.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 14:05 07-12-2017 | Исправлено: ipmanyak, 14:36 07-12-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson
+1 к ipmanyak. Дисковый кэш отключил уже лет так 10 тому.
Лет 5 назад убрал и статистику логов, ибо при безлимите 100 Мбит
она перестала кого-либо интересовать. Логи пока пишутся, мало ли что...
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16426 | Зарегистр. 13-06-2007 | Отправлено: 23:41 07-12-2017
redson



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сейчас использую squid 3.5.23
 
настройки для кеша
 
cache_log /var/log/squid/cache.log
cache_dir ufs /var/spool/squid 20000 49 256
coredump_dir /var/spool/squid
 
как, полностью выключить кеш? и какие параметры из выше перечисленных можно убрать?

Всего записей: 1024 | Зарегистр. 23-04-2007 | Отправлено: 08:15 08-12-2017
ipmanyak



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
redson   Can I make Squid proxy only, without caching anything?
в 3.5 так:
cache deny all
после чего заремь дисковый кэш
#cache_dir ufs /var/spool/squid 20000 49 256  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 9321 | Зарегистр. 10-12-2003 | Отправлено: 08:44 08-12-2017 | Исправлено: ipmanyak, 08:44 08-12-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru