Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Открыть новую тему     Написать ответ в эту тему

Zmey



Strangled by Lynx
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :)
У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку.


SQUID - HTTP/HTTPS прокси под *nix

 
В первом посте собираем полезные ссылки, преимущественно на русском по Squid.
 
Официальный сайт: www.squid-cache.org
Squid (кеширующий прокси для http): установка, настройка и использование
Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия)
Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)
 
About Squid Web Proxy Cache (архивная версия)
Зона особого внимания: Squid (архивная версия)
Как не получать рекламы через Internet  
FAQ по Squid (архивная версия)
Авторизация squid в домене Windows 2003 Server
Статьи по Squid на Opennet.ru  
Как заставить Squid быть только прокси, без кэширования чего-либо?
 
Также смотрите фильтр по squid
 
В отдельных темах обсуждается

Squid и ограничение доступа по времени
Squid: ограничить трафик для отдельного юзера: ширина канала
Squid и вырезание баннеров
Анализаторы логов для Squid
 

// текущий бэкап шапки..

Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016
DukeArtem

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak, на самом деле всё сложнее и легче одновременно, я почти разобрался, кстати в этом мне помогла ссылка http://squid.h12.ru/FAQ/FAQ.html , там глава про редиректы и авторизацию, очень позновательны, а вообще это всё работает, как:
Squid передаёт редиректору ссылку, а он возвращает или пустую строку или замену, но кроме ссылки squid передаёт дополнительные параметры, один из них является ident (имя параметра, почитайте про него в ссылки), он содержит в себе имя пользователя и если ридиректор умеет такое обрабатывать (например у SquidGuard, параметр userlist или user), то на него и накладываешь правила, у меня сейчас чуть другая проблема у меня пароль при проверки не проходит, кодирую с помощью htpasswd, у меня шёл вместе с Аpach2 , вопрос-в какой именно надо кодировать: md5, sha1, или там есть какой то ещё один, забыл, как он называется В форумах нашёл что мол надо прописать в master.passwd и passwd    
( http://www.opennet.ru/base/net/squid_userauth.txt.html ), но хочу спросить у знатоков так ли это? И вообще у кого, какие мысли!?
Плииз помогите, а?!
З.Ы. ipmanyak, у меня Squid 2.5stable9 , там это вроде бы уже исправленно!

Всего записей: 9 | Зарегистр. 19-06-2005 | Отправлено: 21:23 20-06-2005
DukeArtem

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И с этим разобрался!
Там используется, метод шифрации, который по умолчанию (опция -d). Как всегда вопрос! На этот раз последний!  
Ну работает у меня эта бадяга в связке (Squid + SquidGuard + Apache), как мне сделать логическое условие в конфиге SquidGuard, так что бы пароль спрашивало не всё время, а только тогда, когда кто-то патается скачать, допустим mp3: мне надо что-то типа этого
src user {
ip 192.168.8.99/24
}
src super {
userlist /usr/local/squid/passwd #(в нём имена зареганных пользователей, без пароля - имя-строка)
}
 
dest porno {
domainlist porn/domains
urllist porn/urls
log porn
}
rewrite mp3 {
s@.*\.mp3$@http://192.168.8.99/replace/my.mp3@r
log rewr_mp3
 
acl {
#И вот тут бы очень хотелось, что-то типа логического условия, мол если пользователь просто с ip, без имени, то тогда он идёт поэтому....
user {
pass !porno all
rewrite mp3
}  
иначе если ident не пуст то...
good {
pass all
}
НО КАК???? НУ ПОМОГИТЕ, НУ ПЛИИЗ!   ....
 

Всего записей: 9 | Зарегистр. 19-06-2005 | Отправлено: 21:13 21-06-2005
EndoR



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем привет!
Есть локалка и внешняя сеть. Выход с хттп через прокси, на котором стоит сквид.
Возникла проблема - есть веб-сервер, который стоит внутри и виден извне (redirect). Изнутри он тоже должен быть виден по доменному имени, но оно указывает на внешний интерфейс прокси. Можно ли средствами сквида заменить адрес,чтобы он указывал на внутренний? Вроде решается внешними редиректами. Нет ли у кого-нить примеров?
Заранне благодарен.

----------
Fear is an efficient tool of management.

Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 15:25 23-06-2005
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EndoR, сразу в голову приходит не редирект, а запись на внутреннем DNS сервере, которая указывает на интернал IP этого веб сервера.

----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 17:48 23-06-2005
EndoR



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hoochie
а как тогда будут внешние обращаться?  днс тут один. на нём прописан внешний адрес.

----------
Fear is an efficient tool of management.

Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 17:58 23-06-2005
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
EndoR, ну я ж не знал, что у тебя он "авторитетный". Тогда вторая простая мысль - подредактировать /etc/hosts на локальных машинах.

----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 23:34 23-06-2005
EndoR



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
hoochie
тоже думал.  но в сети более 200 машин. и имхо слишком прямолинейный путь.
есть мысль, что сквид при обращении к конкретному адресу заменял бы сам адрес с помощью редиректа, но как это реализовать - не знаю.
с помощью packet filter тоже пока не знаю, как реализовать задуманное.

----------
Fear is an efficient tool of management.

Всего записей: 1159 | Зарегистр. 24-01-2002 | Отправлено: 01:09 24-06-2005
guess



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в сквиде - через простейший редиректор на perl
можно даже указать сквиду использовать редиретотор для данного домена, так на него нагрузка будет меньше.
 
оффтопик
 в Bind 9.* есть views,  для 8 повесть 2 копии на разных интерйесах

Всего записей: 73 | Зарегистр. 07-12-2003 | Отправлено: 04:27 24-06-2005
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну, если для PF, то можно вот так. Это малость посложнее.
TCP Proxying
A generic TCP proxy can be setup on the firewall, either listening on the port to be forwarded or getting connections on the internal interface redirected to the port it's listening on. When a local client connects to the firewall, the proxy accepts the connection, establishes a second connection to the internal server, and forwards data between those two connections.  
Simple proxies can be created using inetd(8) and nc(1). The following /etc/inetd.conf entry creates a listening socket bound to the loopback address (127.0.0.1) and port 5000. Connections are forwarded to port 80 on server 192.168.1.10.  
127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w \
   20 192.168.1.10 80  
The following redirection rule forwards port 80 on the internal interface to the proxy:  
rdr on $int_if proto tcp from $int_net to $ext_if port 80 -> \
   127.0.0.1 port 5000


----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 10:54 24-06-2005
beyonder

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ!!!  
плз ХЕЛП!!!
 
хочу запретить скачку файлов типа mp3.
 

Код:
 
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl server src 10.0.0.1/255.255.255.255
acl sobolev src 10.0.0.117/255.255.255.255
acl LocalNET src 10.0.0.11-10.0.0.116/255.255.255.255 10.0.0.118-10.0.0.254/255.255.255.255
acl Safe_ports port 20 # ftpdata
acl Safe_ports port 53 #DNS
acl multimedia url_regex -i \.mp3$ \.wma$ \.mpeg$ \.avi$ \.mpg$ \.wav$ \.wm$ \.wmx$
acl ICQ dstdomain icq.com aol.com
acl ICQ_port port 5190
acl ICQ_proto proto HTTPS
acl media rep_mime_type audio/mpeg
no_cache deny QUERY
 
 
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow server
http_access allow sobolev
http_access deny LocalNET multimedia
http_access deny LocalNET media
http_access allow LocalNET !multimedia
http_access allow CONNECT LocalNET ICQ ICQ_port ICQ_proto
http_access deny all
 
 

 
если с http то все запрещается. а если с ftp - все, преспокойненько качается!
нифига не могу понять!!!!
 
 

Всего записей: 94 | Зарегистр. 16-12-2002 | Отправлено: 19:30 25-06-2005
beyonder

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И еще, почемуто аська периодически отрубается...
приходится реконнектиться.

Всего записей: 94 | Зарегистр. 16-12-2002 | Отправлено: 15:03 26-06-2005
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возможно по ftp у тебя стоят манагеры закачек, которые ходят мимо сквида  
в аське укажи птицу - kepp connection alive

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 12:15 27-06-2005
beyonder

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
менеджеры закачек кстати выдают ошибку...

Код:
 
Wed Jun 29 15:22:09 2005 HTTP/1.0 206 Partial Content
Wed Jun 29 15:22:09 2005 Content-Type: application/octet-stream
Wed Jun 29 15:22:09 2005 Last-Modified: Thu, 19 Dec 2002 08:49:20 GMT
Wed Jun 29 15:22:09 2005 Accept-Ranges: bytes
Wed Jun 29 15:22:09 2005 Server: Microsoft-IIS/6.0
Wed Jun 29 15:22:09 2005 X-Powered-By: ASP.NET
Wed Jun 29 15:22:09 2005 Date: Wed, 29 Jun 2005 11:22:58 GMT
Wed Jun 29 15:22:09 2005 Content-Range: bytes 44168249-233197111/233197112
Wed Jun 29 15:22:09 2005 Content-Length: 189028863
Wed Jun 29 15:22:09 2005 X-Cache: MISS from myproxy.mydomain
Wed Jun 29 15:22:09 2005 Connection: close
Wed Jun 29 15:22:09 2005 переход в состояние [закачка]
Wed Jun 29 15:22:09 2005 ошибка создания или открытия файла
 

 
с фтп так и не разобрался, пока...

Всего записей: 94 | Зарегистр. 16-12-2002 | Отправлено: 16:27 29-06-2005 | Исправлено: beyonder, 16:31 29-06-2005
digital422

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Имеется Squid, на этой же машине запущен Web сервер на Apache по 8080 порту. Через iptables сделан редирект, чтобы все пакеты, адресованные к web на 80 порт преобразовывались в 8080 порт.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Если обратится к машине напрямую по 80 порту, все хорошо, но если через Squid, то он не видит внутренний Web сервер на 80 порту, только 8080 (http://server:8080). Подскажите, как решить проблему, заставить Squid видеть внутренний Web сервер по 80 порту?

Всего записей: 351 | Зарегистр. 19-04-2003 | Отправлено: 22:25 02-07-2005
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
digital422  в принципе порты для вэб которые не 80, это отклонение от RFC, почему бы тебе не повесить апач на 80 порт ?  а сквиду сказать  слушать на порту например 3128 ?  
eth0 это внешний интерфейс или внутренний ? судя по всему внешний!  а сервер у тебя слушает на локальном ip на порту 8080 !  так что ты тогда хочешь от с квида коли апач на 80 порту на локальном ip не слушает, а сквид скорее всего с локального ip на локальный и лезет ?!  решение  - или скажи апачу слушать еще и на 80 порту или убирай порт 8080 и вешай на 80 порт , есть еще варианты но ты уже понял куда копать ! более правильно сделать как положено и повесить апач на порт 80 .  

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:43 04-07-2005
terrapin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
какой ужас
digital422
Если вы обращаетесь к своему веб-серверу напрямую, то в этом случае и срабатывает ваш редирект, если он корректно настроен, то есть проброс с 80 порта на порт 8080.
В случае же обращения через прокси, к примеру через ваш сквид, обращение идет в этом случае по порту прокси-сервера (в сквиде по умолчанию он 3128), а уже прокси сам обращается к запрашиваемым ресурсам. Поэтому правило и не срабатывает

Всего записей: 272 | Зарегистр. 14-06-2002 | Отправлено: 08:15 04-07-2005
digital422

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
1. eth0 - это единственный интерфейс на машине, которая стоит во внутренней сети.
2. Повесить на 80 порт можно, сейчас так и сделанно, просто я хочу понять, как можно сделать редирект в Squid на локальные приложения.
3. в принципе порты для вэб которые не 80, это отклонение от RFC
На входе 80 порт, который перебрасывается внутри на 8080, так что все нормально.
 
terrapin
Можете подсказать правило iptables для внутреннего редиректа, я пока новичек в *nix системах ?

Всего записей: 351 | Зарегистр. 19-04-2003 | Отправлено: 08:23 04-07-2005 | Исправлено: digital422, 08:26 04-07-2005
hoochie



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
digital422
  Тут получается, что iptables редиректит только входящие соединения, которые приходят извне. А сквид не попадает под это правило, так как находися на этой же машине.

----------
Раньше у нас было время
Теперь у нас есть дела...

Всего записей: 434 | Зарегистр. 30-03-2003 | Отправлено: 11:15 04-07-2005 | Исправлено: hoochie, 11:20 04-07-2005
digital422

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hoochie
Получается либо Web на честном 80 порту, либо ставить его на другую машину?

Всего записей: 351 | Зарегистр. 19-04-2003 | Отправлено: 15:20 04-07-2005 | Исправлено: digital422, 15:21 04-07-2005
digital422

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. В каком месте прописать переменную %t, чтобы в ошибках сообщений отображалось локальное время, прописывал непосредственно в файлах ERR_*, время появляется, но не там, где надо, внизу, где строка:
Generated Tue, 05 Jul 2005 05:57:28 GMT by localhost.localhost.ru (squid/2.5.STABLE7)
время не изменяется.
2. Как заставить squid вести логи на локальном времени?

Всего записей: 351 | Зарегистр. 19-04-2003 | Отправлено: 10:48 05-07-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru