Настройка SQUID proxy server

[B@F]

По поводу моей проблемы с невозможностью зайти на FTP:В режиме прозрачности не проксируются FTP- и HTTPS-запросы [4] - это правда так?

[hedgeven]

сурьезно

[B@F]

Добра всем.

А кто подскажет как ограничить процессу squid доступ к оперативной памяти (какими тегами)? Читая мануал я этого не нашел, весь конфиг упирается в кешь но не память процесса.

[hedgeven]

управление использованием оперативной памяти - только это:

# MEMORY CACHE OPTIONS
# -----------------------------------------------------------------------------

# TAG: cache_mem    (bytes)
#    NOTE: THIS PARAMETER DOES NOT SPECIFY THE MAXIMUM PROCESS SIZE.
#    IT ONLY PLACES A LIMIT ON HOW MUCH ADDITIONAL MEMORY SQUID WILL
#    USE AS A MEMORY CACHE OF OBJECTS. SQUID USES MEMORY FOR OTHER
#    THINGS AS WELL. SEE THE SQUID FAQ SECTION 8 FOR DETAILS.
#
#    'cache_mem' specifies the ideal amount of memory to be used
#    for:
#    * In-Transit objects
#    * Hot Objects
#    * Negative-Cached objects
#
#    Data for these objects are stored in 4 KB blocks. This
#    parameter specifies the ideal upper limit on the total size of
#    4 KB blocks allocated. In-Transit objects take the highest
#    priority.
#
#    In-transit objects have priority over the others. When
#    additional space is needed for incoming data, negative-cached
#    and hot objects will be released. In other words, the
#    negative-cached and hot objects will fill up any unused space
#    not needed for in-transit objects.
#
#    If circumstances require, this limit will be exceeded.
#    Specifically, if your incoming request rate requires more than
#    'cache_mem' of memory to hold in-transit objects, Squid will
#    exceed this limit to satisfy the new requests. When the load
#    decreases, blocks will be freed until the high-water mark is
#    reached. Thereafter, blocks will be used to store hot
#    objects.
#
#Default:
cache_mem 512 MB

# TAG: maximum_object_size_in_memory (bytes)
#    Objects greater than this size will not be attempted to kept in
#    the memory cache. This should be set high enough to keep objects
#    accessed frequently in memory to improve performance whilst low
#    enough to keep larger objects from hoarding cache_mem.
#
#Default:
maximum_object_size_in_memory 256 KB

# TAG: memory_replacement_policy
#    The memory replacement policy parameter determines which
#    objects are purged from memory when memory space is needed.
#
#    See cache_replacement_policy for details.
#
#Default:
# memory_replacement_policy lru

 

а управление непосредственным использованием оперативной памяти процессом (размер и адреса), производится таки на этапе программирования

[B@F]

а управление непосредственным использованием оперативной памяти процессом (размер и адреса), производится таки на этапе программирования

Не знал   http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blink.gif\' class=\'bbc_emoticon\' alt=\':blink:\' />, жалко что это так.

[hedgeven]

после новости о прекращении разработки SAMS, решил выкинуть его, сделать ручками конфиг, а переменные вынести в отдельные файлы, чтобы лишний раз не лазить в основной конфиг. с сайтами запрета/разрешения доступа все просто, пишем например так:

Код [Выделить] Expand

acl blocked url_regex -i "/etc/squid3/blocked"хотелось бы так же сделать и с юзерами. но каким тегом подключать файл со списком IP-адресов не соображу. ни url_regex, ни srcdom_regex как-то не подходят.

add
ага, туплю, оказывается все проще:

Код [Выделить] Expand

acl users src "/etc/squid3/users"

[B@F]

Squid может работать как прозрачный прокси для pop и imap? А то у меня чет не хотит.

[hedgeven]

нет, и даже как непрозрачный не может

[B@F]

нет, и даже как непрозрачный не может

Жесть, а как тогда можно настроить почту у клиентов, если в сети тока squid?  Может нужно какой-то свой поднимать, что бы через него почту проверять?

[hedgeven]

не претендую на авторитетное мнение, но я вижу 2 пути:
1. свой почтовый сервер, который будет собирать почту клиентов и раздавать внутри
2. форвардить эти порты

у себя на работе я пошел по второму пути, все работает, только учет почтового трафа сложно вести, можно приделать какой-нить билинг по трафу прошедшему через iptables и складывать его с трафом из статистики сквида. в целом не так это трудно, но дефицит времени самому писать такую систему

[Zhan]

У меня потовые порты идут маскарадом в iptables.
и даже если у юзера трафик в squid закончится, то почта спокойно будет работать...

[B@F]

У меня потовые порты идут маскарадом в iptables.
и даже если у юзера трафик в squid закончится, то почта спокойно будет работать...

У меня то же так, но это как-то некрасиво иметь прокси, а трафик пускать мимо. Через эти порты, к примеру, можно спокойно лазить в тырнете и не заморачиваться на трафик. Убытки будут шикарные, когда народ прочухает, а он прочухает рано или поздно, работать ни кому не охото.

[Zhan]

У меня то же так, но это как-то некрасиво иметь прокси, а трафик пускать мимо. Через эти порты, к примеру, можно спокойно лазить в тырнете и не заморачиваться на трафик. Убытки будут шикарные, когда народ прочухает, а он прочухает рано или поздно, работать ни кому не охото.

да не...
просто в destination нужно указать удаленный почтовик и всего делов то )))

p.s. кстати подскажите как серфить в нете через 110 и 25 порты?

[hedgeven]

я думаю серфить через 110 и 25 порты можно, имея на внешке прокси-сервер, слушающий на этих портах. технически такое довольно сложно организовать простому юзеру, а насчет существующих общедоступных серверов не знаю.
но как и были выше сказано destination решит проблему.
кроме того нашел такую штуку SMTP/POP3/IMAP4 прокси, надо бы попробовать.

[B@F]

да не...
просто в destination нужно указать удаленный почтовик и всего делов то )))

А этот параметр вообще где указывается? Я думаю на почтовом клиенте, так? Тогда что туда указывать? Какой узел?

[Zhan]

А этот параметр вообще где указывается? Я думаю на почтовом клиенте, так? Тогда что туда указывать? Какой узел?

Вообще то в iptables:

Код [Выделить] Expand

## mail access
-A POSTROUTING -s 10.168.0.0/24 -o eth0 -p tcp -m tcp -d ip_mail_servera -m multiport --dports 25,110 -j MASQUERADE
где eth0 - внешняя сетевая шлюза
10.168.0.0/24 - внутренняя подсеть
-d - как раз таки destination

[B@F]

Вообще то в iptables:

Код [Выделить] Expand

## mail access
-A POSTROUTING -s 10.168.0.0/24 -o eth0 -p tcp -m tcp -d ip_mail_servera -m multiport --dports 25,110 -j MASQUERADE
где eth0 - внешняя сетевая шлюза
10.168.0.0/24 - внутренняя подсеть
-d - как раз таки destination

Чето у меня лыжи не едут, причем тут прокси? В этом случаи трафик пойдет в обход через нат. И о никойком шейпинге и контроле трафика речи вообще не будет в этом случаи, но да зато будет работать только почта и та, которую указывается в дестаншине. А если у Васи маилру, у Пети маилкз, а у Коли яндекс?

[Zhan]

Чето у меня лыжи не едут, причем тут прокси? В этом случаи трафик пойдет в обход через нат. И о никойком шейпинге и контроле трафика речи вообще не будет в этом случаи, но да зато будет работать только почта и та, которую указывается в дестаншине. А если у Васи маилру, у Пети маилкз, а у Коли яндекс?

Я исхожу из принципов:
1) на работе нужно использовать корпоративную почту! а остальные пусть идут "лесом".
2) даже если закончился трафик - то почта должна работать в любом случае (связь с клиентом/подрядчиком/и тд.)
3) если ппц прижало почитать почту с mail.ru, то никто не отменял форвард писем на корпоративный ящик (уж тем более можно через браузер проверить почту)
4) мне кажется бессмысленным считать трафик с корпоративного почтовика, в настройках сделайте лимит на размер письма, чтобы фильмы не высылали по почте  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

[B@F]

Такой вот вопросик, может кто сталкивался или знает.

Смотрю ролики на ютубе, затем смотрю снова те же ролики, но они опять же долго долго скачиваются с нета, а из кеша не беруться. Почему? Как можно исправить?

[hedgeven]

возможно не настроено кэширование этого типа файлов. хорошо бы конфиг глянуть.