Zmey Strangled by Lynx Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я думаю удобнее сделать будет один топик по Squid и все вопросы касательно него постить сюда. :) У меня вопрос такого характера: как настроить резку трафика squid и как настроить замену баннеров или просто их вырезку. SQUID - HTTP/HTTPS прокси под *nix   В первом посте собираем полезные ссылки, преимущественно на русском по Squid.   Официальный сайт: www.squid-cache.org Squid (кеширующий прокси для http): установка, настройка и использование Squid Web Proxy Cache: получение, компилляция, настройка (архивная версия) Squid Proxy Server 3.1 Beginners Guide,  Packtpub, 2011, PDF (см. также и другие источники)   About Squid Web Proxy Cache (архивная версия) Зона особого внимания: Squid (архивная версия) Как не получать рекламы через Internet   FAQ по Squid (архивная версия) Авторизация squid в домене Windows 2003 Server Статьи по Squid на Opennet.ru   Как заставить Squid быть только прокси, без кэширования чего-либо?   Также смотрите фильтр по squid   В отдельных темах обсуждается Squid и ограничение доступа по времени Squid: ограничить трафик для отдельного юзера: ширина канала Squid и вырезание баннеров Анализаторы логов для Squid   // текущий бэкап шапки.. Всего записей: 303 | Зарегистр. 07-12-2001 | Отправлено: 14:56 10-05-2002 | Исправлено: TheBarmaley TMP, 15:33 23-03-2016

rain87 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору да смотреть то особо нечего. если на локалхосте явно указать прокси сквида, то всё работает с локалхоста   но попробую ещё Цитата: http_port 192.168.0.1:3128 transparent в принципе локалхост непринципиален, главное не светить сквид наружу. в сетку не страшно ---------- матрица - это система. она и есть наш враг everyone's first vi session. ^C^C^X^X^X^XquitqQ!qdammit[esc]qwertyuiopasdfghjkl;:xwhat Всего записей: 1744 | Зарегистр. 21-06-2006 | Отправлено: 16:11 05-04-2008

Eric Lazzy Главный мент Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ребяты, поначитался я докух всяких, но толи читал диагонально, то ли таки в них не было.. вобщем не нашёл подскажите, как группировать зверей и запреты в группы   т.е. (грубый пример):   192.168.1.3 и 192.168.1.15 / группа1 192.168.1.7 и 192.168.1.32 / группа2   группа1 - запрет1 группа2 - запрет1 и запрет2 ---------- лень - двигатель прогресса © Всего записей: 7953 | Зарегистр. 01-11-2003 | Отправлено: 15:39 09-04-2008

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Eric Lazzy acl aclname acltype "file" в файле - построчно перечисляешь юзеров acl restriction1 ..... acl restriction2 ..... http_access allow group1 restriction1 http_access allow group2 restriction1 restriction2 Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 11:18 10-04-2008

Eric Lazzy Главный мент Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Teo расширений какой-нить определёный файлику давать или обойдётся? и по запретам - их тоже можно отдельными файлами прописать? ---------- лень - двигатель прогресса © Всего записей: 7953 | Зарегистр. 01-11-2003 | Отправлено: 16:09 10-04-2008

Yuki2003 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Teo Путь к файлу относительно чего задается? (Или только полный?) Всего записей: 1077 | Зарегистр. 10-07-2003 | Отправлено: 16:34 10-04-2008

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Yuki2003 Полный. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 12060 | Зарегистр. 10-12-2003 | Отправлено: 20:20 10-04-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Eric Lazzy Цитата: расширений какой-нить определёный файлику давать или обойдётся? Обойдётся Цитата: и по запретам - их тоже можно отдельными файлами прописать? Смотря что ты хочеш... Т.к. не все запреты описываются в файлах.   Yuki2003 Цитата: Путь к файлу относительно чего задается? Относительно корневого каталога Да ещё и права надо проверить. ---------- Fools rush in where angels fear to tread. Всего записей: 5480 | Зарегистр. 10-09-2003 | Отправлено: 08:00 11-04-2008

Eric Lazzy Главный мент Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Teo Ruza спасибо ---------- лень - двигатель прогресса © Всего записей: 7953 | Зарегистр. 01-11-2003 | Отправлено: 18:50 11-04-2008

Doompilot Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Налаживаю авторизацию в домене windows server 2003. Базовая авторизация работает. При включении в squid.conf строчки для включения "небазовой" ntlm-аутентификации     auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ИМЯЛОКАЛЬНОГОДОМЕНА"     происходит следующее:   Браузер выдает окошко "введите логин и пароль", как при базовой, только без предупреждения про "нешифрованность и открытотекстость". Ввожу имя и пароль. Получаю снова то же окошко, только в нем мой логин прописан уже в виде ИМЯЛОКАЛЬНОГОДОМЕНА\юзер - и никакого дальнейшего эффекта. Самое интересное начинается в логах.   access.log : 172.16.0.83 TCP_DENIED/407 1840 GET http://go.microsoft.com/fwlink/? - NONE/- text/html   вполне стандартно   cache.log (а вот тут самое интересное!)   [2008/04/21 10:43:39, 0] utils/ntlm_auth.c:get_require_membership_sid(236)   Could not parse ИМЯЛОКАЛЬНОГОДОМЕНА into seperate domain/name parts!   Подчеркну: ИМЯЛОКАЛЬНОГОДОМЕНА - односложное, т.е, состоит из одного слова, домен никуда не делегируется, единственный в лесу и тд.     Часть конфигов:   krb5.conf     [libdefaults]     default_realm = ИМЯЛОКАЛЬНОГОДОМЕНА     clockskew = 300   [realms]     ИМЯЛОКАЛЬНОГОДОМЕНА = {         kdc = dc2.имялокальногодомена         default_domain = имялокальногодомена         admin_server = dc2.имялокальногодомена     }   [logging]     kdc = FILE:/var/log/krb5/krb5kdc.log     admin_server = FILE:/var/log/krb5/kadmind.log     default = SYSLOG:NOTICE:DAEMON [domain_realm]     имялокальногодомена = ИМЯЛОКАЛЬНОГОДОМЕНА     .имялокальногодомена = ИМЯЛОКАЛЬНОГОДОМЕНА [appdefaults]     pam = {         ticket_lifetime = 1d         renew_lifetime = 1d         forwardable = true         proxiable = false         retain_after_close = false         minimum_uid = 1         use_shmem = sshd     }   --------------------   wbinfo -u, -g , авторизация плейнтекстом wbinfo -a юзер%пароль - все ок. id юзер - ок. Еще раз: БАЗОВАЯ авторизация доменного пользователя (squid.conf: auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic ) проходит на-ура!   внутрисетевые айпишники обоих контроллеров домена и самой прокси в hosts прописаны. ----------------------------   Прям не знаю, где и копать. Пытался искать в инете поиском по ошибке - ни-фи-га.   Есть мысли хоть какие-нибудь у почтеннейшего All'a? Я в курсе, что дядя Билли не рекомендует даже локальным доменам давать односложные имена, но так уж сложилось. Ну, у меня-то с доменом пытается работать, в данном случае, не биллино творение, а пингвин. Но, тем не менее - неужто такое имя может быть виновато? Поднимать еще один тестовый домен, честно говоря, очень не хочется. Всего записей: 19 | Зарегистр. 09-08-2005 | Отправлено: 11:33 21-04-2008 | Исправлено: Doompilot, 11:34 21-04-2008

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору у меня так (делал не я, очень толково сделано): Код: auth_param basic children 5 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic realm Company Proxy-server auth_param basic credentialsttl 1 hours     external_acl_type HS_ea %LOGIN /usr/libexec/squid/wbinfo_group.pl   acl HSpeed external HS_ea "/etc/squid/groups/HS"     в /etc/squid/groups/HS находится одна строка - имя группы в домене домен на базе W2K Adv server   скрипт /usr/libexec/squid/wbinfo_group.pl можно вызывать с ключом -t - для теста, и тогда в логи попадают все нужные для отладки данные   далее с acl HSpeed можно делать что угодно, например, добавить в delay_pool Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 13:22 22-04-2008

Doompilot Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня уже новая итерация. Скармливать единственно имя домена в --require-membership-of в принципе, бессмысленно - и я стал ставить сразу с группой, узнав, кстати, правильный синтаксис - и здесь, как и иногда для wbinfo, нужно ставить разделитель "\\", т.е. ИМЯЛОКАЛЬНОГОДОМЕНА\\группа   Теперь получаю в cache.log более распространенную ошибку:   Winbindd lookupname failed to resolve ИМЯЛОКАЛЬНОГОДОМЕНА\группа into a SID!   При скармливании вместо имени группы в вышеозначенном виде собственно SIDa, авторизация проходит успешно.   wbinfo_group.pl из комплекта сквида 2.6.STABLE14 & 2.6.STABLE19 не имеет ключа -t.   ПРи запуске >echo имяюзера имягруппы | /usr/sbin/wbinfo_group.pl выдает   Could not lookup name Имягруппы   ну и дальше логично   Could no convert sid to gid Could not get groups for user имяюзера     Логично потому, что wbinfo -n имягруппы выдает тот же Could not lookup... Права на запись в winbindd_privileged squid имеет (не имел бы - даже по SIDy не пустил бы).     Пока просвета нету. ПРодолжаю гуглить и яндексить, но толку пока чуть.     Завтра попробую пойти конем и дать винбинду права юзера администратора домена (wbinfo --set-user-auth-user%password). Уродливо, но, может, хоть к пониманию проблемы позволит приблизиться -смутно чувствую, что у винбинда не хватает каких-то прав.. ПРавда, тогда непонятно почему пользовательские сиды ему отдаются, а пролукапить группы он не в состоянии... Всего записей: 19 | Зарегистр. 09-08-2005 | Отправлено: 16:58 22-04-2008

Doompilot Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Продолжение хроник падающего веника: При подстановке полученного при помощи виндовой утилиты SIDа нужной группы напрямую (--require-membership-of="SID требуемой группы") все работает.     Напоминаю, что wbinfo -n имяюзера -> SID работает исправно.     Напоминает мне это былую проблему, когда не проходила авторизация открытым текстом (wbinfo -a юзер%пароль) при том, что challenge/response auth была ок. Вылечилось сперва синтаксисом вида ИМЯДОМЕНА\\имяюзера (до того говорила, что "нет такого юзера"), а в процессе всяческих танцев с бубном стала работать и без доменного префикса.   Продолжаю фтыкать. Если у кого появятся мысли, куда еще копать, буду КРАЙНЕ признателен.   С подстановкой сидов в squid.conf оно, конечно, работает, но выглядит такой способ просто тошнотворно - при манипуляции группами лезть в ВИНДУ чтобы получить нужный СИД? Бррр.. Всего записей: 19 | Зарегистр. 09-08-2005 | Отправлено: 09:25 24-04-2008

SAV83 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Doompilot Однажды была проблема с тем, что у меня фигурировало несколько групп с одинаковым именем и разными гидами. Всего записей: 66 | Зарегистр. 17-01-2007 | Отправлено: 18:38 12-05-2008

genultrovich Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте уважаемые эксперты! помогите разобраться! Пытаюсь поставить squid-2.6.STABLE20 с поддержкой NCSA_AUTH   $ ./configure --enable-auth=ncsa_auth   после чего получаю ответ:   make[3]: Leaving directory `/usr/local/src_squid/squid-2.6.STABLE20/src/repl' Making all in auth make[3]: Entering directory `/usr/local/src_squid/squid-2.6.STABLE20/src/auth' make[3]: *** No rule to make target `libncsa_auth.a', needed by `all-am'.  Stop. make[3]: Leaving directory `/usr/local/src_squid/squid-2.6.STABLE20/src/auth' make[2]: *** [all-recursive] Error 1 make[2]: Leaving directory `/usr/local/src_squid/squid-2.6.STABLE20/src' make[1]: *** [all] Error 2 make[1]: Leaving directory `/usr/local/src_squid/squid-2.6.STABLE20/src' make: *** [all-recursive] Error 1   Я так понял здесь не хватает этого файла "libncsa_auth.a", подскажите где его взять? И если я ошибаюсь в чем-то подскажите в чем, и как тогда можно правильно скомпилировать squid с поддержкой  NCSA_AUTH. Если можно поподробней! Всего записей: 34 | Зарегистр. 28-01-2008 | Отправлено: 15:46 13-05-2008

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Doompilot wbinfo_group.pl довольно просто устроен он манипулирует выводом wbinfo так что последовательно выполняя все команды, можно довольно неплохо отладить и выяснить причину затыка а в перле придется разобраться =) без него - никуда Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 11:46 20-05-2008

violant Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору помогите у меня на фре стоит сквид, является транзитным прокси. Парент прокси в другой подсети и их несколько.     cache_peer 192.168.1.11 parent 3128 3130 round-robin no-query cache_peer 192.168.1.12 parent 3228 3130 round-robin no-query Интернет раздают по айпишникам. Причем ничего прописывать не надо (не через прокси). Появился айпишник в моей подсети с интернетом. Я сделал виртуальный интерфейс для него. Как его прописать в сквиде? Всего записей: 364 | Зарегистр. 08-11-2006 | Отправлено: 16:42 20-05-2008

SAV83 Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору прошу извинить что повторяюсь, уже писал в одной теме свою проблему в одной старой теме, мож не видели. к сути...   написал я подобие биллинга для сквида. скрипт считает сколько юзер использовал трафика по access.log   столкнулся с фактом, что в access.log пишется инфа о скачаном после того как она скачалась, тоесть если одной сессией качается 1 гиг, то в access.log попадут данные после того как этот гиг скачают.   Я посредством ulogd хочу считать, чтоб пользователь превысивший лимит рубанулся правилом в iptables и не продолжил качать. Натыкался на подобное в инете, но никто не расписывал решение.   в iptables настроил чтоб все пакеты идущие от прокси к пользователям попадали в базу ulogd. -A OUTPUT -s 192.168.2.147 -d 192.168.0.0/255.255.0.0 -o eth0 -p tcp -m tcp --sport 3128 -j ULOG --ulog-prefix "SQUID_OUT" --ulog-cprange 48 --ulog-qthreshold 50   нашел метод как вычислить запросом сколько трафика взял определенный ip. результат совпадает с данными access.log   КАК Я ПОНЯЛ по эксперементам, что через squid некешированные(squidом) данные попадают в ulogd 2 раза.   ток не знаю как отбросить вторичное попадание пакета в ulogd! подсобите ПЛЗ! понимаю что можно не использовать кеш, но это не выход!   прокся стоит внутри сети, машина с 1 интерфейсом Всего записей: 66 | Зарегистр. 17-01-2007 | Отправлено: 09:38 02-06-2008

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: КАК Я ПОНЯЛ по эксперементам, что через squid некешированные(squidом) данные попадают в ulogd 2 раза. хорошо бы пояснить..... сквид тут ни при чем.... считается траф с порта и по протоколу, остальное - твое личное субъективное отношение к качественной принадлежности потока данных =)     Добавлено: genultrovich а что за система? это очзначает, что в Makefile в каталоге   make[3]: Entering directory `/usr/local/src_squid/squid-2.6.STABLE20/src/auth' отсутствует правило для создания файла Цитата: libncsa_auth.a это БСД насколько я понял?     Добавлено: Цитата: помогите   у меня на фре стоит сквид, является транзитным прокси. Парент прокси в другой подсети и их несколько.     cache_peer 192.168.1.11 parent 3128 3130 round-robin no-query   cache_peer 192.168.1.12 parent 3228 3130 round-robin no-query   Интернет раздают по айпишникам. Причем ничего прописывать не надо (не через прокси). Появился айпишник в моей подсети с интернетом. Я сделал виртуальный интерфейс для него. Как его прописать в сквиде? я думаю, это один из тех вопросов, которые легко решаются чтением документации =) тем более, что суть проблемы совсем не понятна (по крайней мере мне) возми бумажку и нарисуй, а потом рисунок словами сюда запости, а то неясно, что ты хочешь этим сказать Цитата: Причем ничего прописывать не надо (не через прокси). Появился айпишник в моей подсети с интернетом Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 10:44 04-06-2008

Teo Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору BONDBIG можно а все написано в документации там есть параметр redirector примеры тут bog.pp.ru Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 16:25 09-06-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » SQUID (только под *nix)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование