Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan

Цитата:
Я изучаю эти моменты и настройки в целях самообразования

поднимайте виртуальную машину и изучайте, либо через https://docs.microsoft.com/ru-ru/windows/wsl/install-win10

Цитата:
а расширения для браузера как то не доверяю я им

глупости.. к тому же код расширения открыт, можете его изучить и разобраться что делает.
 
со сквид вам придется разобраться с той частью работы с SSL, плюс браузеры будут ругаться, так как вы декодируете https для анализа и получения хоста запроса. читайте https://www.howtoforge.com/filtering-https-traffic-with-squid (можете с автопереводом в браузере - сейчас автоматический перевод приличный)
https://advsoft.info/articles/setting_up_HTTPS_inspection_in_squid.php (тут есть ссылка на виндовый сквид собранный с https поддержкой)
 

Цитата:
Ну и в целом, мой конфиг правильный?

часть по фильтрации домена (если не https) работает - проверил в вирт машине с Ubuntu. с настройкой для работы с ssl мне разбираться, если честно, не хочется. я бы поставил примочку в браузер, например https://chrome.google.com/webstore/detail/proxy-switchyomega/padekgcemlokbadohgkifijomclgjgif которая выбирает прокси по URL

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 02:10 26-12-2020 | Исправлено: Mavrikii, 02:14 26-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И еще вопрос, например просто txt список можно прикрутить?

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 02:14 26-12-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan

Цитата:
например просто txt список можно прикрутить?

acl tor_url url_regex
говорит об использовании url_regex, чтобы фильтровать можно было по URL целиком, а не просто домену. если нужен только домен, то
acl tor_url dstdomain

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 02:17 26-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо вас за помощь, попробую решить ошибку, если что напишу о результате, еще раз спс!

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 02:23 26-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, вот такой вот вопрос возник по поводу
acl NoSSLIntercept ssl :: server_name_regex "/etc/squid/url.nobump"
acl NoSSLIntercept ssl :: server_name_regex "/etc/squid/url.tor"
 
url.tor это файл со списком, который должен проходить через тор
url.nobump что это за файл, что в нем должно быть?
 
И еще, список ниже должен быть без #?
# ytimg. *
# googlevideo. *
# google. *
# googleapis. *
# googleusercontent. *

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 13:54 26-12-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan
1 - двух acl с одним и тем же именем не должно быть!
и лучше добавлять параметр -i, независимость от регистра.
acl NoSSLIntercept ssl :: server_name_regex  -i "/etc/squid/url.nobump"
иначе, если набрать урлу прописными буквами, то аксель не сработает.  
2 - в файле для этого акселя пиши имена доменов с точкой в виде:
.vodka.ru
.pivo.ru
.prastitutki.ru
3. url.nobump -  просто имя файла, можешь указать своё. В данном контексте  означает, что  сайты  этих доменов не надо бампить, то есть не ковыряться в их трафике HTTPS. При подмене сертификата на сквидовский, некоторые сайты чухают , что сертификат клиента подменен, и сообщают об этом и не пускают. Например, сайты банкингов так делают.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 14:26 26-12-2020 | Исправлено: ipmanyak, 14:29 26-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не могли бы вы глянуть мой конфиг? Не могу понять, мне нужно что бы только сайты из моего списка проходили через тор, а у меня весь трафик идет (
 
 
Добавлено:

Цитата:
2020/12/25 ***| FATAL: Invalid ACL type 'at_step'
FATAL: Bungled /etc/squid/squid.conf line 21: acl DiscoverSNIHost at_step SslBump1
Squid Cache (Version 3.5.27): Terminated abnormally.

 
Здравствуйте, ошибку вроде поборол, но весь трафик все равно идет через тор (

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 14:40 26-12-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan А какого лешего ты юзаешь TOR?  Причем тут сквид?
 Когда ставишь TOR, как сейчас не знаю, но ранее он прописывал свой прокси на своем порту в системных настройках винды, проверь кстати. Само собйо всё будет переть через его луковые сети и мосты. Деиинсталлируй TOR и не парь  нам тут мозг тором в ветке по сквиду. Или юзай TOR или SQUID одно из двух. При запуске тор прописывает свой прокси кажется на  ip 127.0.0.1 или 127.0.0.2, могу ошибаться. Давно это было.  Зачем тебе тор вообще? Хочешь  иметь  другой Ip при заходе на сайт, юзай яндекс браузер или опера, там включи VPN в их настройках и всё.    


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 18:37 26-12-2020 | Исправлено: ipmanyak, 18:44 26-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А какого лешего ты юзаешь TOR?  Причем тут сквид?

HTTPS прокси для обхода блокировок Роскомнадзора+тонкая настройка+фильтрация через привокси+обход именно нужных мне сайтов+будет отдельный сервер в общем я много плюсов увидел в этой сборке.
 
 
Добавлено:
+ не большая анонимность, знаю точно что связка работает, вот только нужно настроить )
 
Добавлено:
В принципе уже настроил, вот только трафик весь через тор идет, а мне частичный нужен, вот и прошу глянуть мой конфиг.

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 18:53 26-12-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan Если сейчас у тебя включен прокси тора, то  сквид не при делах вообще.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:58 27-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если сейчас у тебя включен прокси тора, то  сквид не при делах вообще.

 
Ну например privoxy+tor работают же, в привоксе прописываешь:
forward-socks5t  nnmclub.to/  127.0.0.1:9050  .
forward-socks5t  rutracker.net/  127.0.0.1:9050  .
forward-socks5t  vsetop.org/  127.0.0.1:9050  .
и трафик через тор идет только на эти сайты, когда подрубаешь сквид, то весь трафик идет через тор.
 
# Domains to be handled by Tor
acl tor_url url_regex "/etc/squid/url.tor"
 
# SSL bump rules
acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/etc/squid/url.tor"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all
 
# Tor access rules
never_direct allow tor_url
 
# Local Tor is cache parent
cache_peer 127.0.0.1 parent 8118 0 no-query no-digest default
 
cache_peer_access privoxy allow tor_url
cache_peer_access privoxy deny all  
 
Почему то список url.tor не работает, то ли я его не верно заполняю, то ли еще что не так в настройках.

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 11:34 27-12-2020
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan
Ты в курсе что такое SSL  BUMP и зачем он нужен?
Чтобы перенаправлять трафик SSLBUMP тебе не нужен.
Я вообще не вижу никакой необходимости в сквиде.
1 - расскажи конкретнее, что ты хочешь вообще, для чего тебе TOR и PRIVOXY
2 - затем какими методами ты собрался решать свою задачу и почему.
3 - Нарисуй схему.
 
>мне нужно что бы только сайты из моего списка проходили через тор, а у меня весь трафик идет  
 
Если судить по этой фразе, то тебе и PRIVOXY не нужен.
Ходишь в ИНет обычным образом, когда тебе нужен анонимайзер  или обход РКН , ТО запускаешь TOR  и  ходишь его браузером, и ВСЁ!  
И даже TOR тебе не нужен, запускаешь браузер OPERA в нем включаешь VPN, твоя  задача обхода запретов РКН будет решена. Есть и другие способы, плагины для браузеров и др.
Короче тебе не нужно ничего кроме браузеров опера и яндекс с функцией режима ТУРБО и VPN

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 19:14 27-12-2020 | Исправлено: ipmanyak, 19:17 27-12-2020
Denirvan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странный вы, в общем закрываю вопрос, сам буду разбираться. Я задаю вопрос о том как я хотел бы сделать, так же про мой конфиг, а вы мне зачем, тебе это не нужно и т.д., вопрос был не в этом, если я спрашиваю значит мне это нужно и именно так, как я это вижу. Без обид, всем всех благ и с наступающим!
 
Добавлено:
Если в двух слова: хочу организовать не большой сервер для себя и пользователей, будет много различных правил для пользователей, отслеживание и ограничения трафика, привокси для фильтрации и просмотра что да как, тор для анонимизации посещения некоторых сайтов, так же для доступа к заблокированным сайтам, правила для тора по списку нужны что бы весь трафик не гнать через него.

Всего записей: 80 | Зарегистр. 19-08-2018 | Отправлено: 20:40 27-12-2020
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denirvan

Цитата:
# SSL bump rules
acl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex -i "/etc/squid/url.tor"
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all

закомментируйте, зайдите, к примеру, сюда http://2ip.kz/
потом добавьте его в список и снова проверьте какой будет IP.
сайт такой, потому что сейчас мало кто работает без https ) если найдете другой, который покажет ваш IP, проверьте на нем.
 
если все работает - значит нужно только разобраться с раскодированием https запросов.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 03:43 28-12-2020 | Исправлено: Mavrikii, 03:44 28-12-2020
ForAdun



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ubuntu18 в облаке, понадобилось через него прокси орагнизовать.  
 
Установил squid 3.5.27, прописал парольную авторизацию  
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd    
auth_param basic children 5
auth_param basic credentialsttl 3 hours
auth_param basic casesensitive off
 
 
тестирую дома  с браузера ввожу пароль, снова просит ввести и тд
сомтрю в /var/log/squid/access.log там запись TCP_DENIED/407  
 
в cache.log появляются такие записи:
2021/02/01 16:22:08 kid1| WARNING: basicauthenticator #Hlpr92404 exited
2021/02/01 16:22:08 kid1| Too few basicauthenticator processes are running (need 1/5)
2021/02/01 16:22:08 kid1| Starting new helpers
2021/02/01 16:22:08 kid1| helperOpenServers: Starting 1/5 'basic_ncsa_auth' processes
FATAL: cannot stat /etc/squid/passwd
 
вайл /etc/squid/passwd существует, доступ 644 (пробовал менять на 777 - не помогает)
 
если в консоле проверить логин пароль, то пишет ОК
/usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
 
 
Провобовал passwd пересоздавать, пробовал squid переустанавлить - не помогает.
 
Есть похожая тестовая машина дома на ней повторяю тот же путь  - все ок
 
Подскажите как вылечить?
 

Всего записей: 66 | Зарегистр. 14-07-2006 | Отправлено: 16:59 01-02-2021 | Исправлено: ForAdun, 17:07 01-02-2021
Mavrikii

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ForAdun

Цитата:
вайл /etc/squid/passwd существует, доступ 644 (пробовал менять на 777 - не помогает)

Stat - получение инфы о файле, без его чтения. Папка с файлом (и выше) хочет +x доступ для юзверя, под которым бегает аутентификатор.
 

Цитата:
These functions return information about a file, in the buffer pointed to by statbuf. No permissions are required on the file itself, but—in the case of stat(), fstatat(), and lstat()—execute (search) permission is required on all of the directories in pathname that lead to the file.

Всего записей: 15040 | Зарегистр. 20-09-2014 | Отправлено: 17:24 01-02-2021 | Исправлено: Mavrikii, 17:37 01-02-2021
ForAdun



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо
 

Всего записей: 66 | Зарегистр. 14-07-2006 | Отправлено: 18:22 01-02-2021
mithridat1



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Релизы Squid 5.1 и 5.2

Всего записей: 4924 | Зарегистр. 05-01-2006 | Отправлено: 17:07 06-10-2021
Yura12

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Просьба проконсультировать по настройке кэширующего прокси-сервера Squid.
 
Вот основные настройки Squid
 
cache_mem 768 MB
maximum_object_size_in_memory 9512 KB
maximum_object_size 544 MB
cache_dir ufs /var/spool/squid 12000 16 256
 
Версия системы: Linux linux4 5.4.0-107-generic #121-Ubuntu SMP
Версия Squid Cache: Version 4.10
 
Так вот, кэширование на локальный диск работает практически для всех сайтов которые ещё работают по http протоколу, в /var/spool/squid уже достаточно большой локальный дисковый кэш.
 
Но вот именно .UPO файлы оперативных обновлений систем Кодекс / Техэксперт почему-то не хотят записываться в локальный дисковый кэш, и при обновлении разных установок Кодекс / Техэксперт каждый раз скачиваться напрямую с интернета.
 
С чем это может быть связано? Ведь протокол у раздатчика http
 
Есть ли какая-то возможность заставить принудительно кэшировать все .UPO файлы или принудительно заставить кэшировать всё, что качается с адреса update.kodeks.ru ?
 

Всего записей: 253 | Зарегистр. 06-01-2010 | Отправлено: 11:07 22-04-2022
fscpsd



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yura12

Цитата:
протокол у раздатчика http

А это совершенно точно? Вы прямо проверили, откуда загрузка идёт?  
Потому что просто надпись http в ссылке ещё ни о чём не говорит — там ведь дальше и редиректы могут быть.
 

Цитата:
cache_mem 768 MB
maximum_object_size_in_memory 9512 KB
maximum_object_size 544 MB
cache_dir ufs /var/spool/squid 12000 16 256

Это прямо точно цитата из вашего сквид.конф? Порядок в точности такой? Потому что директива maximum_object_size должна стоять директивой cache_dir, иначе значение maximum_object_size будет приниматься по умолчанию, что-то в районе 4Мб, что ли. По крайней мере, в версиях 3.х так было.

Всего записей: 1731 | Зарегистр. 16-09-2010 | Отправлено: 12:02 22-04-2022
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru