Настройка SQUID proxy server

Автор shiko, 12 Августа 2008, 16:40

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

hedgeven

ЦитироватьВерсия 4.0.х находится в состоянии "альфа-версии" и свободно доступна для скачивания всем желающим. Цель ее выкладывания здесь, бесплатно, состоит в оценке общей заинтересованности сообщества к такому продукту, определении путей дальшейшего развития, и интенсивного ее тестирования в различных окружениях. Со временем бесплатная версия будет убрана, а пользователи получат возможность купить платную версию, и ее поддержку, за небольшие деньги. Конкретная ценовая модель определится позже, но сразу скажем - будет дешевле, чем у конкурентов.
[/size][/font]
[font="Verdana, Helvetica, sans-serif"][size="2"]и эти туда же...[/size][/font]
Jah will give us everything...

B@F

12 Января 2011, 08:12 #261 Последнее редактирование: 12 Января 2011, 08:14 от B@F
Здраствуйте.

Помогите разобраться с аутенфикацией squid3.

Проблема, такая: не синхронизируется Opera link. Аутенфикацию проходит, но синхронизироваться при выходе не может. Покопавшись в логах выяснил вот

Authentication Failures

01/12/2011-08:02:09    205.188.0.137:5190


01/12/2011-08:02:07 205.188.3.240:5190
01/12/2011-07:44:19 auth.opera.com:443
01/12/2011-07:44:33 http://ad.adriver.ru/cgi-bin/erle.cgi?
01/12/2011-08:02:26 http://ad.adriver.ru/cgi-bin/erle.cgi?
01/12/2011-07:44:33 http://ad.adriver.ru/cgi-bin/merle.cgi?
01/12/2011-08:02:26 http://ad.adriver.ru/cgi-bin/merle.cgi?
01/12/2011-08:02:26 http://clients1.google.ru/generate_204
01/12/2011-07:44:33 http://counter.yadro.ru/hit?
01/12/2011-08:02:26 http://counter.yadro.ru/hit?

При этом аська и xmpp работают исправно, вообще все полностью работает, за исключением Opera Link.

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl My_NET src 192.8.140.80/29
acl ASUS_M50Vc arp 00:22:43:8c:8e:ca
acl Webmin_auth proxy_auth REQUIRED
acl Safe_ports port 5222-5223
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PORT port 5190 443

acl ICQ_PROTO proto HTTPS
acl ICQ_DOMAIN dstdomain icq.com aol.com
acl SSL_ports port 5190

http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow ICQ_ADDR ICQ_PORT ICQ_PROTO ICQ_DOMAIN
http_access allow Webmin_auth
http_access deny all

icp_access deny all

htcp_access deny all

Думаю что нужно поменять последовательность правил, но как я только не делал у меня не получилось. Вся надежна на Вас.
Поправьте, если я ошибаюсь, буду тока рад.

Vicpo


acl SSL_ports port 443
....
acl Safe_ports port 443 # https
...

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

acl Safe_ports port 443 # https - удалите

B@F

Цитата: Vicpo от 12 Января 2011, 12:41acl Safe_ports port 443 # https - удалите

Удалил, но нет, все равно не может синхронизироваться. Я пошел следующим путем: убрал аутентификацию webmin и поставил по маку. Теперь все работает. Странно, мне почему-то кажется, что это был косяк в опере. Она при синхронизации не отправляла данные о пользователи/пароле на сквид, при этом при серфинге эти данные передавались. Можно было бы запустить снифер, но т.к. это для себя, то меня вполне устроит и по маку, только в статистике вместо имени будет айпишник, но учитывая, что у меня в сети 6 компов максимум и я помню кто что то это совсем не страшно. Пока спасибо.
Поправьте, если я ошибаюсь, буду тока рад.

B@F

У меня при работе через squid3 тормозит инет. Щелкаю на маил.ру пишет: Ожидание подключения (192.168.1.1) Это может быть долго и более 1 минуты. Или еще так: Ожидание подключения #№37 номер потихоньку уменьшается, затем первый случай и тока потом загружается страничка. При работе без прокси все летает. Явно тупит сквид. Что подскажете сделать?
Поправьте, если я ошибаюсь, буду тока рад.

Vicpo

а в логах сквида что пишет?

B@F

Цитата: Vicpo от 18 Января 2011, 21:14а в логах сквида что пишет?

Я сравнивал логи со своими и с той машиной на ктр тормоза, в итоге ничего необычного. Далее обновил браузер и тормоза ушли, по крайней мере теперь человек не жалуется. Получается, что опера 10.60 тормознуто работает с проксей. Не берусь утверждать, но это было именно так.
Поправьте, если я ошибаюсь, буду тока рад.

vlvasya

Господа, подскажите плиз как пользоваться no_cache,
у меня задача не кэшировать несколько сайтов, спасибо





B@F

Цитата: vlvasya от 24 Марта 2011, 09:54Господа, подскажите плиз как пользоваться no_cache,
у меня задача не кэшировать несколько сайтов, спасибо

TAG: cache

     Этот тэг позволяет определить объекты, которые НЕ(!) будут кэшироватся.
     Объекты задаются через ACL. При совпадении с ACL, объект будет братся
     напрямую.

     Другими словами, используйте этот тэг для объектов, которые не должны
     кэшироватся.

     Вы должны использовать слово 'DENY' для указания того, что объекты
     совпадающие с этим ACL НЕ(!) должны кэшироватся.
 
     По умолчанию, разрешено кэшировать ВСЕ объекты.

Мы рекомендуем использовать следующие две строчки:

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY


вот ссылка где я это взял, приду домой буду это же пилить, если у тебя получится опиши свое решение, буду признателен.
Поправьте, если я ошибаюсь, буду тока рад.

vlvasya

28 Марта 2011, 19:01 #269 Последнее редактирование: 28 Марта 2011, 19:02 от vlvasya
Цитата: B@F от 24 Марта 2011, 13:51TAG: cache

     Этот тэг позволяет определить объекты, которые НЕ(!) будут кэшироватся.
     Объекты задаются через ACL. При совпадении с ACL, объект будет братся
     напрямую.

     Другими словами, используйте этот тэг для объектов, которые не должны
     кэшироватся.

     Вы должны использовать слово 'DENY' для указания того, что объекты
     совпадающие с этим ACL НЕ(!) должны кэшироватся.
 
     По умолчанию, разрешено кэшировать ВСЕ объекты.

Мы рекомендуем использовать следующие две строчки:

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY


вот ссылка где я это взял, приду домой буду это же пилить, если у тебя получится опиши свое решение, буду признателен.

я не совсем понимаю как это работает... не кэширует все или нет... ?
может есть еще какая инфа, поискал по ключевым словам cache deny, нахожу тоже самое, а оно не понятно пока.





vlvasya

28 Марта 2011, 19:08 #270 Последнее редактирование: 28 Марта 2011, 19:09 от vlvasya





B@F

28 Марта 2011, 19:24 #271 Последнее редактирование: 28 Марта 2011, 19:37 от B@F
Цитата: vlvasya от 28 Марта 2011, 19:08Эврика!

acl someserver dstdomain .someserver.com
cache deny someserver
Все верно, именно так и сказано в руководстве, которое я тебе давал + разобраться с синтаксисом аксесс листов. Я дома так же настроил tankionline.com иначе управление не работало зараза   http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

П.С. поделюсь своим опытом: использую webmin - довольно удобно работает. Создал аксесс лист, добавил его в запрещенные и не парился с синтаксисом. Как-то так.
Поправьте, если я ошибаюсь, буду тока рад.

B@F

Нашел глюк в моей проксе: через нее не качается http://dl.google.com/android/android-sdk_r10-linux_x86.tgz , программы пишут что отправлен запрос и все на этом. А без прокси все качается. Что интересно в логах ни слова об этом запросе

wget http://dl.google.com/android/android-sdk_r10-linux_x86.tgz
--2011-04-18 22:49:57--  http://dl.google.com/android/android-sdk_r10-linux_x86.tgz
Устанавливается соединение с 127.0.0.1:3128... соединились.
Запрос Proxy послан, ожидание ответа...

Кто знает куда копать?
Поправьте, если я ошибаюсь, буду тока рад.

Valter

Всем привет! Не знаю конечно, у меня почти всё работает, и авторизация проходит и контроль и учет трафика работает, но сцуко, почту по outlooky либо по другому почтовику пропускать сервак не хочет. Пробовал поднять через iptables мост специально для 110 и 25 порта, не работает, может кто подскажет идею??

hedgeven

05 Мая 2011, 10:32 #274 Последнее редактирование: 05 Мая 2011, 10:34 от hedgeven
как бы сквид и не умеет smtp, pop, imap и пр... придется или форвардить запросы клиентов по этим портам(если по всем, то iptables -P FORWARD ACCEPT), или какой-нить персыльщик подымать.
Jah will give us everything...

hedgeven

Цитата: B@F от 18 Апреля 2011, 22:50Кто знает куда копать?
а можно глянуть ваш конфиг сквида?
egrep -v '^[[:blank:]]*(;|#|$)' /etc/squid/squid.conf
Jah will give us everything...

B@F

Цитата: hedgeven от 05 Мая 2011, 10:38а можно глянуть ваш конфиг сквида?
egrep -v '^[[:blank:]]*(;|#|$)' /etc/squid/squid.conf

Конечно, сразу хочу заметить wget через проксю с тругих ссылок замечательно качает.


egrep -v '^[[:blank:]]*(;|#|$)' /etc/squid3/squid.conf
auth_param basic realm Proxi server test104s for squid3
auth_param basic program /etc/webmin/squid/squid-auth.pl /etc/webmin/squid/users
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl My_NET src 192.8.140.80/29
acl ASUS_M50Vc arp 00:22:43:8c:8e:ca
acl Webmin_auth proxy_auth REQUIRED
acl Safe_ports port 5222-5223
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16
acl ICQ_PROTO proto HTTPS
acl ICQ_DOMAIN dstdomain icq.com aol.com
acl SSL_ports port 5190
acl ICQ_PORT port 443 5190
acl SAMSI arp 00:26:b6:20:1f:85
acl N900 arp 0c:dd:ef:dd:ff:e1
acl Virt_Test104dvd arp 08:00:27:b1:83:c7
acl VirtualBox_net src 192.168.56.100-192.168.56.150/24
acl Test_debian arp 00:15:f2:45:2e:59
acl tankionline dstdomain tankionline.com
acl banner url_regex ad*
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access allow VirtualBox_net
http_access allow ASUS_M50Vc
http_access allow SAMSI
http_access allow N900
http_access allow Test_debian
http_access allow ICQ_ADDR ICQ_PROTO ICQ_DOMAIN ICQ_PORT
http_access deny banner
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 50 MB
cache_dir ufs /var/spool/squid3 3000 24 256
maximum_object_size 150 MB
access_log /var/log/squid3/access.log squid
logfile_rotate 10
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
deny_info http://picoguide.appspot.com/www.mplayerhq.hu/images/linuxtag.png banner
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
coredump_dir /var/spool/squid3
Поправьте, если я ошибаюсь, буду тока рад.

Valter

Цитата: hedgeven от 05 Мая 2011, 10:32как бы сквид и не умеет smtp, pop, imap и пр... придется или форвардить запросы клиентов по этим портам(если по всем, то iptables -P FORWARD ACCEPT), или какой-нить персыльщик подымать.

вот вот, это самое оказалось непонятное, поднимая форвардинг, вообще уронил шлюз. Где ошибка так и не понял, хотя все делал по мануалам.

hedgeven

05 Мая 2011, 11:53 #278 Последнее редактирование: 05 Мая 2011, 11:59 от hedgeven
Valter, от настройки iptables шлюзы не падают, покажите sudo iptables-save

BAF, вот странно, у меня сейчас тоже не качает этот файл из за прозрачной прокси, а до этого вроде качало... буду думать
add: другие закачки, с этого сервера тоже не идут http://dl.google.com/ из-за прокси.
add2: если в ссылке http://dl.google.com/ заменить на https://dl-ssl.google.com/ то все идет
Jah will give us everything...

B@F

Еще раз всем привет.

Решил сделать на шлюзе прозрачный прокси. Для этого завернул порты на проксю. и в кофиге добавил transparent.

Сначала все ништяк. Но вдруг обнаружилось непонятное. При подключении по FTP на эту машину с проксе соединение пишет

ftp 192.8.140.84
Connected to 192.8.140.84.
421 Service not available, remote server has closed connection

На клиенте:

tcp        0      0 192.8.140.82:45560      192.8.140.84:21         ESTABLISHED 2343/ftp
На сервере:

tcp        0      0 192.8.140.84:3128       192.8.140.82:45560      ESTABLISHED 2851/(squid)
В логах /var/log/squid3/access.log ничего про этот запрос не увидел.


На веб сервер пускает, не пускает только на FTP. При этом с локального хоста заходит спокойно.

Для информации: proftpd в режиме xenited, пользуюсь arno-iptables-firewall + Transparent Proxy plugin v1.02
Поправьте, если я ошибаюсь, буду тока рад.