Настройка SQUID proxy server

Автор shiko, 12 Августа 2008, 16:40

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

B@F

По поводу моей проблемы с невозможностью зайти на FTP:В режиме прозрачности не проксируются FTP- и HTTPS-запросы [4] - это правда так?
Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

Jah will give us everything...

B@F

Добра всем.

А кто подскажет как ограничить процессу squid доступ к оперативной памяти (какими тегами)? Читая мануал я этого не нашел, весь конфиг упирается в кешь но не память процесса.
Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

15 Августа 2011, 10:43 #283 Последнее редактирование: 15 Августа 2011, 10:48 от hedgeven
управление использованием оперативной памяти - только это:
Цитировать# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------

# TAG: cache_mem    (bytes)
#    NOTE: THIS PARAMETER DOES NOT SPECIFY THE MAXIMUM PROCESS SIZE.
#    IT ONLY PLACES A LIMIT ON HOW MUCH ADDITIONAL MEMORY SQUID WILL
#    USE AS A MEMORY CACHE OF OBJECTS. SQUID USES MEMORY FOR OTHER
#    THINGS AS WELL. SEE THE SQUID FAQ SECTION 8 FOR DETAILS.
#
#    'cache_mem' specifies the ideal amount of memory to be used
#    for:
#    * In-Transit objects
#    * Hot Objects
#    * Negative-Cached objects
#
#    Data for these objects are stored in 4 KB blocks. This
#    parameter specifies the ideal upper limit on the total size of
#    4 KB blocks allocated. In-Transit objects take the highest
#    priority.
#
#    In-transit objects have priority over the others. When
#    additional space is needed for incoming data, negative-cached
#    and hot objects will be released. In other words, the
#    negative-cached and hot objects will fill up any unused space
#    not needed for in-transit objects.
#
#    If circumstances require, this limit will be exceeded.
#    Specifically, if your incoming request rate requires more than
#    'cache_mem' of memory to hold in-transit objects, Squid will
#    exceed this limit to satisfy the new requests. When the load
#    decreases, blocks will be freed until the high-water mark is
#    reached. Thereafter, blocks will be used to store hot
#    objects.
#
#Default:
cache_mem 512 MB

# TAG: maximum_object_size_in_memory (bytes)
#    Objects greater than this size will not be attempted to kept in
#    the memory cache. This should be set high enough to keep objects
#    accessed frequently in memory to improve performance whilst low
#    enough to keep larger objects from hoarding cache_mem.
#
#Default:
maximum_object_size_in_memory 256 KB

# TAG: memory_replacement_policy
#    The memory replacement policy parameter determines which
#    objects are purged from memory when memory space is needed.
#
#    See cache_replacement_policy for details.
#
#Default:
# memory_replacement_policy lru

 

а управление непосредственным использованием оперативной памяти процессом (размер и адреса), производится таки на этапе программирования
Jah will give us everything...

B@F

Цитата: hedgeven от 15 Августа 2011, 10:43а управление непосредственным использованием оперативной памяти процессом (размер и адреса), производится таки на этапе программирования
Не знал   http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blink.gif\' class=\'bbc_emoticon\' alt=\':blink:\' />, жалко что это так.
Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

29 Сентября 2011, 12:35 #285 Последнее редактирование: 29 Сентября 2011, 12:45 от hedgeven
после новости о прекращении разработки SAMS, решил выкинуть его, сделать ручками конфиг, а переменные вынести в отдельные файлы, чтобы лишний раз не лазить в основной конфиг. с сайтами запрета/разрешения доступа все просто, пишем например так:
acl blocked url_regex -i "/etc/squid3/blocked"хотелось бы так же сделать и с юзерами. но каким тегом подключать файл со списком IP-адресов не соображу. ни url_regex, ни srcdom_regex как-то не подходят.

add
ага, туплю, оказывается все проще:
acl users src "/etc/squid3/users"
Jah will give us everything...

B@F

Squid может работать как прозрачный прокси для pop и imap? А то у меня чет не хотит.
Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

нет, и даже как непрозрачный не может
Jah will give us everything...

B@F

20 Декабря 2011, 07:55 #288 Последнее редактирование: 20 Декабря 2011, 07:57 от B@F
Цитата: hedgeven от 19 Декабря 2011, 23:36нет, и даже как непрозрачный не может

Жесть, а как тогда можно настроить почту у клиентов, если в сети тока squid?  Может нужно какой-то свой поднимать, что бы через него почту проверять?
Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

20 Декабря 2011, 13:38 #289 Последнее редактирование: 20 Декабря 2011, 13:42 от hedgeven
не претендую на авторитетное мнение, но я вижу 2 пути:
1. свой почтовый сервер, который будет собирать почту клиентов и раздавать внутри
2. форвардить эти порты

у себя на работе я пошел по второму пути, все работает, только учет почтового трафа сложно вести, можно приделать какой-нить билинг по трафу прошедшему через iptables и складывать его с трафом из статистики сквида. в целом не так это трудно, но дефицит времени самому писать такую систему
Jah will give us everything...

Zhan

У меня потовые порты идут маскарадом в iptables.
и даже если у юзера трафик в squid закончится, то почта спокойно будет работать...
А нынешние дураки ничем не хуже своих предков..:)

B@F

Цитата: Zhan от 21 Декабря 2011, 13:39У меня потовые порты идут маскарадом в iptables.
и даже если у юзера трафик в squid закончится, то почта спокойно будет работать...

У меня то же так, но это как-то некрасиво иметь прокси, а трафик пускать мимо. Через эти порты, к примеру, можно спокойно лазить в тырнете и не заморачиваться на трафик. Убытки будут шикарные, когда народ прочухает, а он прочухает рано или поздно, работать ни кому не охото.
Поправьте, если я ошибаюсь, буду тока рад.

Zhan

22 Декабря 2011, 10:50 #292 Последнее редактирование: 22 Декабря 2011, 10:53 от Zhan
Цитата: B@F от 21 Декабря 2011, 20:11У меня то же так, но это как-то некрасиво иметь прокси, а трафик пускать мимо. Через эти порты, к примеру, можно спокойно лазить в тырнете и не заморачиваться на трафик. Убытки будут шикарные, когда народ прочухает, а он прочухает рано или поздно, работать ни кому не охото.

да не...
просто в destination нужно указать удаленный почтовик и всего делов то )))

p.s. кстати подскажите как серфить в нете через 110 и 25 порты?
А нынешние дураки ничем не хуже своих предков..:)

hedgeven

22 Декабря 2011, 13:19 #293 Последнее редактирование: 22 Декабря 2011, 13:22 от hedgeven
я думаю серфить через 110 и 25 порты можно, имея на внешке прокси-сервер, слушающий на этих портах. технически такое довольно сложно организовать простому юзеру, а насчет существующих общедоступных серверов не знаю.
но как и были выше сказано destination решит проблему.
кроме того нашел такую штуку SMTP/POP3/IMAP4 прокси, надо бы попробовать.
Jah will give us everything...

B@F

Цитата: Zhan от 22 Декабря 2011, 10:50да не...
просто в destination нужно указать удаленный почтовик и всего делов то )))

А этот параметр вообще где указывается? Я думаю на почтовом клиенте, так? Тогда что туда указывать? Какой узел?
Поправьте, если я ошибаюсь, буду тока рад.

Zhan

23 Декабря 2011, 12:58 #295 Последнее редактирование: 23 Декабря 2011, 12:59 от Zhan
Цитата: B@F от 23 Декабря 2011, 12:00А этот параметр вообще где указывается? Я думаю на почтовом клиенте, так? Тогда что туда указывать? Какой узел?

Вообще то в iptables:

## mail access
-A POSTROUTING -s 10.168.0.0/24 -o eth0 -p tcp -m tcp -d ip_mail_servera -m multiport --dports 25,110 -j MASQUERADE

где eth0 - внешняя сетевая шлюза
10.168.0.0/24 - внутренняя подсеть
-d - как раз таки destination
А нынешние дураки ничем не хуже своих предков..:)

B@F

Цитата: Zhan от 23 Декабря 2011, 12:58Вообще то в iptables:

## mail access
-A POSTROUTING -s 10.168.0.0/24 -o eth0 -p tcp -m tcp -d ip_mail_servera -m multiport --dports 25,110 -j MASQUERADE

где eth0 - внешняя сетевая шлюза
10.168.0.0/24 - внутренняя подсеть
-d - как раз таки destination

Чето у меня лыжи не едут, причем тут прокси? В этом случаи трафик пойдет в обход через нат. И о никойком шейпинге и контроле трафика речи вообще не будет в этом случаи, но да зато будет работать только почта и та, которую указывается в дестаншине. А если у Васи маилру, у Пети маилкз, а у Коли яндекс?
Поправьте, если я ошибаюсь, буду тока рад.

Zhan

Цитата: B@F от 24 Декабря 2011, 00:59Чето у меня лыжи не едут, причем тут прокси? В этом случаи трафик пойдет в обход через нат. И о никойком шейпинге и контроле трафика речи вообще не будет в этом случаи, но да зато будет работать только почта и та, которую указывается в дестаншине. А если у Васи маилру, у Пети маилкз, а у Коли яндекс?

Я исхожу из принципов:
1) на работе нужно использовать корпоративную почту! а остальные пусть идут "лесом".
2) даже если закончился трафик - то почта должна работать в любом случае (связь с клиентом/подрядчиком/и тд.)
3) если ппц прижало почитать почту с mail.ru, то никто не отменял форвард писем на корпоративный ящик (уж тем более можно через браузер проверить почту)
4) мне кажется бессмысленным считать трафик с корпоративного почтовика, в настройках сделайте лимит на размер письма, чтобы фильмы не высылали по почте  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />
А нынешние дураки ничем не хуже своих предков..:)

B@F

Такой вот вопросик, может кто сталкивался или знает.

Смотрю ролики на ютубе, затем смотрю снова те же ролики, но они опять же долго долго скачиваются с нета, а из кеша не беруться. Почему? Как можно исправить?

Поправьте, если я ошибаюсь, буду тока рад.

hedgeven

15 Января 2012, 18:19 #299 Последнее редактирование: 15 Января 2012, 18:21 от hedgeven
возможно не настроено кэширование этого типа файлов. хорошо бы конфиг глянуть.
Jah will give us everything...