forum.opennet.ru


Форум Настройка Squid, Tor и прокси серверов

Squid + Wccp + Cisco,

Ninjatrasher, (Прозрачный proxy) 09-Июл-14, 11:00 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален добавил еще в сквид новый порт 3127, для которого указал, Ninjatrasher (ok), 14:51 , 09-Июл-14 (1)
>[оверквотинг удален]
> !
> ip wccp web-cache redirect-list SQUID_PROXY
> !
> !
> int bvi1
> ip wccp web-cache redirect in
> На этом этапе весь трафик от циски вроде идет к сквиду, но
> такое чувство, что все таки не идет. Так как ни одно
> правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что
> не так сделал.
добавил еще в сквид новый порт 3127, для которого указал transparent, конфиг выглядит теперь вот так.
http_port 3128
http_port 3127 transparent
wccp2_router 172.18.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco
в iptables добавил вот такую запись
iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.1.49:3127
реакции нет. смотрю по wireshark пакеты не приходят на gre1.
В чем может быть проблема и куда следуюет копать?
сообщить модератору +/– ответить

gt оверквотинг удален Сквид какой версии у вас И он собран с опцией --enable, ipmanyak (ok), 15:35 , 15-Июл-14 (2)
>[оверквотинг удален]
> http_port  3127 transparent
> wccp2_router 172.18.1.1
> wccp2_forwarding_method gre
> wccp2_return_method gre
> wccp2_service standard 0 password=cisco
> в iptables добавил вот такую запись
>  iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp
> --dport 80 -j DNAT --to-destination 172.18.1.49:3127
> реакции нет. смотрю по wireshark пакеты не приходят на gre1.
> В чем может быть проблема и куда следуюет копать?
Сквид какой версии у вас?  И он собран с опцией --enable-wccpv2 ?
два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables -t nat -A PREROUTING  - уберите.  в iptables вы просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить, он же у вас в локали.
сообщить модератору +/– ответить

gt оверквотинг удален покурил мануал http networklessons com network-service, Ninjatrasher (ok), 13:25 , 16-Июл-14 (3)
>[оверквотинг удален]
>>  iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp
>> --dport 80 -j DNAT --to-destination 172.18.1.49:3127
>> реакции нет. смотрю по wireshark пакеты не приходят на gre1.
>> В чем может быть проблема и куда следуюет копать?
> Сквид какой версии у вас?  И он собран с опцией --enable-wccpv2
> ?
> два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables
> -t nat -A PREROUTING  - уберите.  в iptables вы
> просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить,
> он же у вас в локали.
покурил мануал http://networklessons.com/network-services/cisco-wccp-squid-...и все получилось, теперь возник другой вопрос, как я понимаю при такой связке ntlm аунтефикация не работает, в логах сквида показывается только ip адрес клиента, но не показывается username. это как я понимаю победить нельзя
сообщить модератору +/– ответить

Проблема с запуском Squid,

Mayers, (Squid) 02-Июл-14, 08:38 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Также присутствует проблема при запуске MC Невозможно создать временный каталог , Mayers (ok), 09:37 , 02-Июл-14 (1)
Также присутствует проблема при запуске MC:
Невозможно создать временный каталог /tmp/mc-root: На устройстве кончилось место (28)
Возможно все это как то взаимосвязано.
сообщить модератору +/– ответить

Вам же по-русски написано что закончилось место Проверьте и почистите разделы, , КуКу (ok), 10:14 , 02-Июл-14 (2)
> Также присутствует проблема при запуске MC:
> Невозможно создать временный каталог /tmp/mc-root: На устройстве кончилось место (28)
> Возможно все это как то взаимосвязано.
Вам же по-русски написано что закончилось место. Проверьте и почистите разделы, возможно логи того же сквида и заняли все место
сообщить модератору +/– ответить

Проблема в том что имеется еще 42 свободного пространства , Mayers (ok), 10:32 , 02-Июл-14 (3)
Проблема в том что имеется еще 42% свободного пространства.
сообщить модератору +/– ответить

Проверьте свободные i-node df -i, КуКу (ok), 10:47 , 02-Июл-14 (4)
> Проблема в том что имеется еще 42% свободного пространства.
Проверьте свободные i-node.

df -i
сообщить модератору +/– ответить

df -iFilesystem Inodes IUsed IFree IUse Mounted on dev mapper Vol, Mayers (ok), 10:59 , 02-Июл-14 (5)
df -i
Filesystem            Inodes   IUsed  IFree IUse% Mounted on
/dev/mapper/VolGroup-lv_root
                     2285568 2285568      0  100% /
tmpfs                 223941       1 223940    1% /dev/shm
/dev/sda1             128016      44 127972    1% /boot

Как его очистить и как этого избежать впоследствии?
сообщить модератору +/– ответить

Удалите временные файлы, ненужные логи и т д сделайте fsck, так как это корневой, КуКу (ok), 11:19 , 02-Июл-14 (6)
Удалите временные файлы, ненужные логи и т.д.
сделайте fsck, так как это корневой раздел, возможно потребуется перезагрука.
как рекомендация, вынесите на отдельные разделы var и tmp разделы.
как вариант для этих разделов использовать raiserfs (если мне память не изменяет, то в этой ФС нет понятия inode + с мелкими файлами работает прекрасно)
сообщить модератору +/– ответить

я видать удалил немного лишнего root localhost service squid startinit_cache, Mayers (ok), 11:51 , 02-Июл-14 (7)
я видать удалил немного лишнего
[root@localhost ~]# service squid start
init_cache_dir /var/spool/squid... /etc/init.d/squid: line 74: /var/log/squid/squid.out: Нет такого файла или каталога
Запускается squid: /etc/init.d/squid: line 78: /var/log/squid/squid.out: Нет такого файла или каталога
[СБОЙ ]
как восстановить теперь данный файл?
сообщить модератору +/– ответить

попробуй просто service squid restartну или touch var log squid squid out , КуКу (ok), 12:01 , 02-Июл-14 (8)
попробуй просто
service squid restart
ну или touch /var/log/squid/squid.out :)
сообщить модератору +/– ответить

Спасибо за помощь , Mayers (ok), 12:40 , 02-Июл-14 (9)
Спасибо за помощь!
сообщить модератору +/– ответить

Не могу где прописан ресурс, который блокируется squid 2.6,

Рихард, (ACL, блокировки) 19-Май-14, 14:05 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Для начала, во всех http_access в squid conf , Andrey Mitrofanov (?), 14:12 , 19-Май-14 (1)
> Где еще нужно посмотреть?
Для начала, во всех http_access в squid.conf.
сообщить модератору +/– ответить

да уже все просмотрел, нет в http_access запрета этого ресурса, в списках acl-ов, Рихард (ok), 14:37 , 19-Май-14 (2)
>> Где еще нужно посмотреть?
> Для начала, во всех http_access в squid.conf.
да уже все просмотрел, нет в http_access запрета этого ресурса, в списках acl-ов тоже не имени сайта ни адреса.

сообщить модератору +/– ответить

А во что разрешается, страница ру с этих ПК Может проблема в DNS Или маршрутиза, izyk (ok), 22:21 , 19-Май-14 (3)
> Достался мне в наследство сервер со Squid 2.6.
> Раньше имел с ним только пару раз сталкивался, и ограничивался самыми простыми
> настройками.
> Проблема в следующем: Блокируется страница страница.ру из одной из подсетей(на экран браузера
> выводится соответствующее сообщение от squid). Причем только от некоторых адресов.
А во что разрешается, страница.ру с этих ПК. Может проблема в DNS?
Или маршрутизация т.к. "из одной из подсетей".
соответствующее сообщение от squid - А точнее.
сообщить модератору +/– ответить
Покажи сюда твой конфиг, жмакни grep -v squid conf 124 uniq squid conf, ipmanyak (ok), 09:10 , 30-Июн-14 (5)
> Достался мне в наследство сервер со Squid 2.6.
> Раньше имел с ним только пару раз сталкивался, и ограничивался самыми простыми
> настройками.
> Проблема в следующем: Блокируется страница страница.ру из одной из подсетей(на экран браузера
> выводится соответствующее сообщение от squid). Причем только от некоторых адресов. Не
> могу понять где прописан запрет на этот адрес. Ни в одном
> файле acl данногго ресурса нет.
> Где еще нужно посмотреть?
Покажи сюда твой конфиг, жмакни
grep -v "^#" squid.conf | uniq > squid.conf.txt
содержимое squid.conf.txt сюда.
p.s.
можешь включить debug в конфиге сквида на больший уровень (например 9, сделать reconfigure и смотреть потом cache_log
сообщить модератору +/– ответить

squid и lync2013,

Ninjatrasher, (Squid) 04-Июн-14, 15:44 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Почитай предпоследний пост http social technet microsoft com Forums lync en-US, ipmanyak (ok), 15:59 , 04-Июн-14 (1)

gt оверквотинг удален Не надо подключаться к своему линку через прокси с локал, Golub Mikhail (ok), 10:45 , 06-Июн-14 (2)

gt оверквотинг удален хм м м а можно ли как нибудь настроить так что бы сквид , Ninjatrasher (ok), 09:42 , 09-Июн-14 (3)
gt оверквотинг удален Так подключаемся мы к облачному серверу линка, а не к ло, Ninjatrasher (ok), 14:04 , 10-Июн-14 (4)

Lync подключается по имени Посмотрите логи access logТам будет написано, куда н, Golub Mikhail (ok), 19:01 , 10-Июн-14 (5)

gt оверквотинг удален из логов выяснил , что линк ломиться к lyncdiscoverinter, Ninjatrasher (ok), 10:24 , 16-Июн-14 (6)

gt оверквотинг удален Что касается линка, то посмотрите http technet microso, Golub Mikhail (ok), 22:57 , 16-Июн-14 (7)

gt оверквотинг удален Авторизация в сквиде NTLM Есть специальная группа acl, в, Ninjatrasher (ok), 08:59 , 17-Июн-14 (8)

gt оверквотинг удален Выпустите линк без авторизации Не проверял, но наверняка, Golub Mikhail (ok), 10:22 , 17-Июн-14 (9)

gt оверквотинг удален а как это сделать в сквиде , Ninjatrasher (ok), 11:25 , 17-Июн-14 (10)

gt оверквотинг удален Мда Кроме линка у вас будет и другое ПО, которое н, Golub Mikhail (ok), 11:32 , 17-Июн-14 (11)
>[оверквотинг удален]
>>>> Авторизации на сквиде нет?
>>> Авторизация в сквиде NTLM.
>>> Есть специальная группа acl, в которых прописаны все ip адреса облачных серверов
>>> линка.
>>> так же сейчас заметил, если в самом линке указать напрямую, что конектиться
>>> к sipdir.online.lync.com:443, линк конектиться и все работает, но это идиотская табличка
>>> с авторизацией на локалхост все равно выскакивает.
>> Выпустите линк без авторизации.
>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
> а как это сделать в сквиде?
Мда ... :(
Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
Многие клиент-банки, например.
А есть еще ПО, которое вообще в принципе не может работать с прокси. Придется такое ПО через NAT выпускать.
Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.
сообщить модератору +/– ответить

gt оверквотинг удален Михаил, то Вы предлагает на уровне сетевого оборудования, Ninjatrasher (ok), 11:43 , 17-Июн-14 (12) –1
>[оверквотинг удален]
>>>> с авторизацией на локалхост все равно выскакивает.
>>> Выпустите линк без авторизации.
>>> Не проверял, но наверняка он не умеет авторизироваться на прокси.
>> а как это сделать в сквиде?
> Мда ... :(
> Кроме линка у вас будет и другое ПО, которое не сможет авторизироваться.
> Многие клиент-банки, например.
> А есть еще ПО, которое вообще в принципе не может работать с
> прокси. Придется такое ПО через NAT выпускать.
> Поэтому советую вникнуть немного в изучение вопроса. Ничего сложного там нет.
Михаил, то Вы предлагает на уровне сетевого оборудования это делать?
сообщить модератору –1 +/– ответить
[.... слишком большой тред, остальное см. в режиме смотреть все |+ ] (13) !!!!!!!!

проблема со squid на FreeBSD,

ramadan, (Squid) 08-Июн-14, 02:26 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Необходимо понять какая программа отсылает запросы Какие запросы отсылаются , Алесандр (?), 14:19 , 09-Июн-14 (2)
Необходимо понять какая программа отсылает запросы. Какие запросы отсылаются?
сообщить модератору +/– ответить
смотри access log от кого прут запросы Можешь для начала забанить google com и , ipmanyak (ok), 15:12 , 09-Июн-14 (3)
> Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как
> только запускаю его - он сразу начинает посылать кучу запросов на
> google.com и тот банит мою сеть. Сквид собирал из портов.
смотри access.log от кого прут запросы.
Можешь для начала забанить google.com и снова смотреть access.log
acl google dstdomain .google.com
http_access deny google
Только правила поставь повыше других, разрешающих.
сообщить модератору +/– ответить

Парни с гуглом решил проблему Но возникла другая - перевел в прозрачный режим п, ramadan (ok), 02:08 , 12-Июн-14 (4)
>> Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как
>> только запускаю его - он сразу начинает посылать кучу запросов на
>> google.com и тот банит мою сеть. Сквид собирал из портов.
> смотри access.log от кого прут запросы.
> Можешь для начала забанить  google.com и снова смотреть access.log
> acl google dstdomain .google.com
> http_access deny google
> Только правила поставь повыше других, разрешающих.
Парни с гуглом решил проблему. Но возникла другая - перевел в прозрачный режим проксю и она банит все сайты:
"При получении URL http://putty.org/ произошла следующая ошибка
Доступ запрещён.
Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.
Администратор Вашего кэша: webmaster."
Перевожу в обычный режим - все в норме.
Сквида 3,3,11
вот конфиг:

acl localnet src 192.168.0.0/24    # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
acl AdminsIP src "/usr/local/etc/squid/AccessLists/AdminsIP.txt"
acl RestrictedDomains dstdomain "/usr/local/etc/squid/AccessLists/RestrictedDomains.txt"
acl ad_group_rassh urlpath_regex -i "/usr/local/etc/squid/AccessLists/rasshirenie.txt"
http_access allow localhost
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access allow AdminsIP
http_access deny RestrictedDomains
http_access deny ad_group_rassh
http_access allow localnet

http_access deny all

icp_access allow localnet
icp_access deny all

htcp_access allow localnet
htcp_access deny all

http_port 192.168.0.97:3128
http_port 127.0.0.1:3129 intercept

cache deny all
access_log /var/log/squid/access.log squid
сообщить модератору +/– ответить

Админ всё смотрит в логах, в частности смотреть access log сквида Смотри от како, ipmanyak (ok), 08:01 , 16-Июн-14 (5)

> Парни с гуглом решил проблему. Но возникла другая - перевел в прозрачный
> режим проксю и она банит все сайты:
> "При получении URL http://putty.org/ произошла следующая ошибка
> Доступ запрещён.
> Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему
> администратору.
> Администратор Вашего кэша: webmaster."
> Перевожу в обычный режим - все в норме.
> Сквида 3,3,11
> вот конфиг:
Админ всё смотрит в логах, в частности смотреть access.log сквида.
Смотри от какого IP запрос, и есть ли он в списке разрешенных. На худой конец включай в конфиге свида debug на уровень 9 и снова смотреть access.log.
сообщить модератору +/– ответить

squid и проблема tcp_miss/302,

djeg, (Учет работы пользователей, логи) 05-Июн-14, 16:05 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален хм а если попробовать указать сквиду acl hh dest hh k, Ninjatrasher (ok), 16:39 , 05-Июн-14 (1)
>[оверквотинг удален]
> 1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118
> text/html
> 1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/
> just_user DIRECT/94.124.200.81 text/plain
> пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит
> и обрывается. что странно у меня доступ есть, хотя как видно
> из конфига, он у меня такой же как у всех юзеров.
> кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий.
> Может быть настройки браузера?
> уже не знаю что делать, помогите разобраться с проблемой.
хм... а если попробовать указать сквиду acl hh dest hh.kz
и потом прописать http_access allow hh?
сообщить модератору +/– ответить
хмм но разница то на лице попробовать убрать acl auth proxy_auth REQUIREDacl pro, asavah (ok), 23:23 , 05-Июн-14 (2)
>хотя как видно из конфига, он у меня такой же как у всех юзеров
хмм но разница то на лице.
попробовать убрать
acl auth proxy_auth REQUIRED
acl proxy_ldap external ldapg proxyldap
http_access allow proxy_ldap
http_access allow proxy_ldap CONNECT SSL_ports
и сделать для проверки
http_access allow localnet
http_access allow localnet CONNECT SSL_ports
если проблема исчезнет - пинать LDAP итд.
так же может помочь:
cache deny all
так же стоит обратить внимание на антитвари/брандмауеры/прочую прелесть.
разница между super_user и just_user где то есть, убивайте/исключайте звенья по одному.
сообщить модератору +/– ответить
root proxy07 squid squid -N -d92014 06 06 10 13 10 124 Starting Squid Cache, djeg (ok), 08:24 , 06-Июн-14 (3)
[root@proxy07 squid]# squid -N -d9
2014/06/06 10:13:10| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
2014/06/06 10:13:10| Process ID 1935
2014/06/06 10:13:10| With 1024 file descriptors available
2014/06/06 10:13:10| Initializing IP Cache...
2014/06/06 10:13:10| DNS Socket created at [::], FD 5
2014/06/06 10:13:10| DNS Socket created at 0.0.0.0, FD 6
2014/06/06 10:13:10| Adding domain tsb.kz from /etc/resolv.conf
2014/06/06 10:13:10| Adding nameserver 10.159.7.34 from /etc/resolv.conf
2014/06/06 10:13:10| Adding nameserver 10.159.4.2 from /etc/resolv.conf
2014/06/06 10:13:10| User-Agent logging is disabled.
2014/06/06 10:13:10| Referer logging is disabled.
2014/06/06 10:13:10| Unlinkd pipe opened on FD 11
2014/06/06 10:13:10| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/06/06 10:13:10| Store logging disabled
2014/06/06 10:13:10| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/06/06 10:13:10| Target number of buckets: 1008
2014/06/06 10:13:10| Using 8192 Store buckets
2014/06/06 10:13:10| Max Mem  size: 262144 KB
2014/06/06 10:13:10| Max Swap size: 0 KB
2014/06/06 10:13:10| Using Least Load store dir selection
2014/06/06 10:13:10| Set Current Directory to /var/spool/squid
2014/06/06 10:13:10| Loaded Icons.
2014/06/06 10:13:10| Accepting  HTTP connections at [::]:3128, FD 12.
2014/06/06 10:13:10| HTCP Disabled.
2014/06/06 10:13:10| Squid plugin modules loaded: 0
2014/06/06 10:13:10| Adaptation support is off.
2014/06/06 10:13:10| Ready to serve requests.
2014/06/06 10:13:11| storeLateRelease: released 0 objects

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443 60001 8180 8643 8888
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 60001 8180 8643 8888 # NUC
acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
acl hh dst 178.88.114.118
acl hhid dst 94.124.200.81
acl hhcdn dst 94.124.200.82
acl hhid_url url_regex -i hhid\.ru
acl hh_url url_regex -i hh\.kz
acl hhcdn_url url_regex -i hhcdn\.ru
http_access allow manager localhost
http_access deny manager
http_access allow hh_url
http_access allow hh
http_access allow hhid_url
http_access allow hhid
http_access allow hhcdn
http_access allow hhid_url
http_access allow all
http_access allow hh_url hh hhid_url hhid hhcdn hhid_url CONNECT SSL_ports
http_access allow hh_url hh hhid_url hhid hhcdn hhid_url POST Safe_ports
http_access allow hh_url hh hhid_url hhid hhcdn hhid_url  GET Safe_ports
http_access allow all CONNECT SSL_ports
http_access allow localhost
cache deny hh
cache deny hh_url
cache deny hhid
cache deny hhid_url
cache deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

это то, что осталось от конфига теперь
так же пробовались следующие варианты:
1.
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443 60001 8180 8643 8888
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 60001 8180 8643 8888 # NUC
acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
http_access allow manager localhost
http_access deny manager
http_access allow all
http_access allow all CONNECT SSL_ports
http_access allow localhost
cache deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
2.
http_access allow manager localhost
http_access deny manager
http_access allow all
http_access allow all CONNECT SSL_ports
http_access allow localhost
3.
acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
acl hh dst 178.88.114.118
acl hhid dst 94.124.200.81
acl hhcdn dst 94.124.200.82

http_access allow manager localhost
http_access deny manager
http_access allow hh
http_access allow hhid
http_access allow hhcdn
http_access allow all CONNECT SSL_ports
http_access allow localhost
cache deny hh
cache deny hhid
cache deny hhcdn
etc.......
[root@proxy07 squid]# cat /etc/resolv.conf
search xxx.kz
nameserver 10.159.7.34
nameserver 10.159.4.2
nslookup hh.kz
Server:         10.159.7.34
Address:        10.159.7.34#53
Non-authoritative answer:
Name:   hh.kz
Address: 178.88.114.118

логи:
мои:
1402028008.497    726  TCP_MISS/200 53058 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
1402028008.838    178  TCP_MISS/200 435 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
1402028008.946    114  TCP_MISS/200 436 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
1402028009.055    132 1 TCP_MISS/200 1096 GET http://go.youlamedia.com/sjs.php? - DIRECT/95.213.130.123 text/javascript
1402028009.074    119  TCP_MISS/200 390 GET http://counter.yadro.ru/hit;HH_KZ? - DIRECT/88.212.196.103 image/gif
1402028009.077    145  TCP_MISS/304 341 GET http://stats.g.doubleclick.net/dc.js - DIRECT/173.194.71.154 -
1402028009.126     65  TCP_MISS/200 1096 GET http://go.youlamedia.com/sjs.php? - DIRECT/95.213.130.123 text/javascript
1402028009.132    164  TCP_MISS/200 1205 GET http://dc.cb.b4.a0.top.mail.ru/counter? - DIRECT/217.69.133.145 image/gif
1402028009.240    107  TCP_MISS/302 685 GET http://www.tns-counter.ru/V13a***R%3E*hh_ru/ru/UTF-8/tmsec=hh_total/359842899 - DIRECT/217.73.200.221 image/gif
1402028009.256    170  TCP_MISS/200 2737 GET http://counter.rambler.ru/top100.scn? - DIRECT/81.19.88.80 image/gif
1402028009.317     71  TCP_MISS/200 1823 GET http://go.youlamedia.com/ajs.php? - DIRECT/95.213.130.123 text/javascript
1402028009.362    118  TCP_MISS/200 390 GET http://counter.yadro.ru/hit;HeadHunter? - DIRECT/88.212.196.103 image/gif
1402028009.414    168 1 TCP_MISS/200 661 GET http://a.adwolf.ru/getCode? - DIRECT/109.235.208.56 text/html
1402028009.429    166  TCP_MISS/200 1825 GET http://go.youlamedia.com/ajs.php? - DIRECT/95.213.130.123 text/javascript
1402028009.452    112  TCP_MISS/200 510 GET http://www.tns-counter.ru/V13b***R%3E*hh_ru/ru/UTF-8/tmsec=hh_total/359842899 - DIRECT/217.73.200.221 image/gif
1402028009.554    120  TCP_MISS/304 309 GET http://www.google-analytics.com/plugins/ga/inpage_linkid.js - DIRECT/89.218.72.114 -
1402028009.633     57  TCP_MISS/200 640 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
1402028009.704     56  TCP_MISS/200 683 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
1402028009.776    201  TCP_MISS/302 506 GET http://mygpuid.com/? - DIRECT/78.140.152.178 text/html
1402028009.821     71  TCP_MISS/200 550 GET http://stats.g.doubleclick.net/__utm.gif? - DIRECT/173.194.71.154 image/gif
1402028009.857    284  TCP_MISS/200 20575 GET http://pagead2.googlesyndication.com/pagead/show_ads.js - DIRECT/173.194.32.173 text/javascript
1402028009.906     57  TCP_MISS/200 457 GET http://go.youlamedia.com/? - DIRECT/95.213.130.123 image/gif
1402028009.926    143  TCP_MISS/200 550 GET http://stats.g.doubleclick.net/__utm.gif? - DIRECT/173.194.71.154 image/gif
1402028010.600    395  TCP_MISS/302 1213 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.32.185 text/html
1402028010.604    347  TCP_MISS/302 1213 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.32.185 text/html
1402028010.812     57  TCP_MISS/200 1286 GET http://go.youlamedia.com/ac.php? - DIRECT/95.213.130.123 text/html
1402028010.823     68  TCP_MISS/200 1286 GET http://go.youlamedia.com/ac.php? - DIRECT/95.213.130.123 text/html
1402028010.909     57  TCP_MISS/200 480 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
1402028010.931     57  TCP_MISS/200 435 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
1402028011.002     71  TCP_MISS/200 703 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
1402028011.027     59  TCP_MISS/200 703 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif

пользователя:
1402027540.784    117  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
1402027547.822    166  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
1402027554.829    161 TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
1402027561.718     55  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
1402027568.861    150  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
1402027575.815    156  TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
1402027582.762     55  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
1402027589.820    150  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
1402027596.925    208  TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
1402027603.735     56  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
сообщить модератору +/– ответить

нашла решение добавила эту строчку и доступ появился, теперь нужно определить ко, djeg (ok), 08:35 , 06-Июн-14 (4)
нашла решение!
>http_access allow all CONNECT Safe_ports
добавила эту строчку и доступ появился, теперь нужно определить конкретный порт из всех Safe_ports
найду порт, отпишу сюда.
сообщить модератору +/– ответить

нашли все таки решениеоказывается веб шилд блочил сайт, djeg (ok), 15:17 , 12-Июн-14 (5)
нашли все таки решение
оказывается веб шилд блочил сайт

сообщить модератору +/– ответить

а настройки сквида вернула на прежние т е убрала дырку с сэйф портами, djeg (ok), 15:18 , 12-Июн-14 (6)
> нашли все таки решение
> оказывается веб шилд блочил сайт
а настройки сквида вернула на прежние. т.е. убрала дырку с сэйф портами
сообщить модератору +/– ответить

web-интерфейс к delay_pools,

mitay2, (Ограничение трафика) 22-Май-14, 14:37 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Не пользовался SAMS, но если я правильно понял задачу, то нужно чтобы SAMS перез, Etch (?), 01:40 , 23-Май-14 (1)
> Кто-то знает более изящное решение чем каждый раз редактировать конфиг вручную?
Не пользовался SAMS, но если я правильно понял задачу, то нужно чтобы SAMS перезаписывал не основной конфиг, а вспомогательный, который можно подключать из основного с помощью опции include.
сообщить модератору +/– ответить

Тут просто подключать не проканает, тут править надо после самса Самс делает так, mitay2 (ok), 06:13 , 23-Май-14 (2)
> Не пользовался SAMS, но если я правильно понял задачу, то нужно чтобы
> SAMS перезаписывал не основной конфиг, а вспомогательный, который можно подключать из
> основного с помощью опции include.
Тут просто подключать не проканает, тут править надо после самса:
Самс делает так:
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_513e944207c4b
delay_access 1 deny all
delay_parameters 1 5000000/5000000 1000000/1000000
После него переделывать приходится так(первый пул должен быть другой):
delay_pools 2
delay_class 1 2
delay_class 2 2

delay_access 1 allow socseti _sams_513e944207c4b
delay_access 1 deny all
delay_parameters 1 800/800 100/100

delay_access 2 allow _sams_513e944207c4b
delay_access 2 deny all
delay_parameters 2 5000000/5000000 1000000/1000000

Где:
acl socseti dstdom_regex -i "/etc/squid/513db8512a5de.sams"
acl _sams_513e944207c4b proxy_auth "/etc/squid/513e944207c4b.sams"
Где:
513db8512a5de.sams - файл с тормозящимися URL
513e944207c4b.sams - файл с пользователями для которых тормозятся эти url
(частный случай когда тормозится для всех пользователей, т.е. в обоих пулах acl _sams_513e944207c4b, но м.б. разные)
Не хочу изобретать велосипед, проблема избитая, решения не нагуглил, наверняка кто-то чем-то решает такую задачу, поделитесь своим опытом?
сообщить модератору +/– ответить

У сквида должен быть приоритет параметров в зависимости от их порядка в конфиге , Etch (?), 15:55 , 23-Май-14 (3)
> Тут просто подключать не проканает, тут править надо после самса:
У сквида должен быть приоритет параметров в зависимости от их порядка в конфиге (первый или последний). Т.е. вам нужно просто переопределить delay_pools и добавить ещё один пул - достаточно вставить include либо до либо после своего определения, поэксперементируйте.
сообщить модератору +/– ответить

Спасибо за наводку, заинклюдил свои пулы после самсовых - все завелось, старые п, mitay2 (ok), 08:31 , 27-Май-14 (4)
> У сквида должен быть приоритет параметров в зависимости от их порядка в
> конфиге (первый или последний). Т.е. вам нужно просто переопределить delay_pools и
> добавить ещё один пул - достаточно вставить include либо до либо
> после своего определения, поэксперементируйте.
Спасибо за наводку, заинклюдил свои пулы после самсовых - все завелось, старые пулы он игнорит: multiple delay_pools lines, aborting all previous delay_pools config
Комментарий для нуждающихся:
Таким образом мы используем все приемущества САМС - управление пользователями, шаблонами, списками ресурсов из веб-морды и гибкость сквида, которую самс немного ограничивает.
Для того чтобы списки формировать в веб-морде(чтоб файл формировал самс) и при этом не привязывать эти списки к шаблонам пользователей(вообще блок ресурса) я создал пустой шаблон, где подключил этот список. ACL создает самс, я его только использую в pools.conf, который инклюдится в основной конфиг после самсовых пулов.
сообщить модератору +/– ответить

Как открыть порты tcp/udp 1930-1940 на squid,

Leks3412, (Прозрачный proxy) 16-Май-14, 14:34 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

http_port 192 168 0 1 3128, Алесандр (?), 15:40 , 16-Май-14 (1)
http_port 192.168.0.1:3128
сообщить модератору +/– ответить

Поподробнее опишу задачу Мне нужно, чтобы через прокси-сервер шли вебинары Тех , Leks3412 (ok), 17:17 , 16-Май-14 (2)
Поподробнее опишу задачу.Мне нужно, чтобы через прокси-сервер шли вебинары. Тех поддержка вебинаров говорит нужно открыть порты 1930-1940. У меня они открыты, результата нет. Тогда они говорят, что нужно открыть порты tcp/udp 1930-1940.
И вторая проблема, я думаю они связаны, не идёт трансляция на сайт ustream.tv из локалки.
Вот часть файла сквида
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.75-192.168.0.254
acl localnet src 192.168.1.0/24
acl SSL_ports port 443        # https
acl SSL_ports port 80           # https torrent
acl SSL_ports port 1930-1940   #torrent icq
acl SSL_ports port 563        # snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 9000-9020   # turbobit
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 563        # snews
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 631        # cups
acl Safe_ports port 873        # rsync
acl Safe_ports port 901        # SWAT
acl CONNECT method CONNECT
http_access allow CONNECT SSL_ports
http_access allow CONNECT Safe_ports
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !Jabber_ports !Rsync_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 192.168.0.104:3128
hierarchy_stoplist cgi-bin ?
cache_mem 50 MB
access_log /var/log/squid/access.log squid
сообщить модератору +/– ответить

мля, чукчаписатель, ты хоть разберись какой протокол тебе нужен для трансляций н, asavah (ok), 02:59 , 17-Май-14 (4)
мля, чукчаписатель, ты хоть разберись какой протокол тебе нужен для трансляций.
на правах гадалки - 1930-1940 - трахтибидохтибидох = RTMP (port 1935).
а теперь загугли как пропустить RTMP через скид - ответ НИКАК, не умеет он.
если у провайдера нет RTMPT - то ты в пролёте.
курим man iptables и выпускаем юзверей куда надо натом.
сообщить модератору +/– ответить

если в iptables выход на них будет закрыт, squid тоже не сможет на них обратится, reader (ok), 17:40 , 16-Май-14 (3)
> Весь Интернет идет через squid. Можно ли не настраивая iptables открыть порты
> tcp/udp 1930-1940? Заранее спасибо за помощь!
если в iptables выход на них будет закрыт, squid тоже не сможет на них обратится.
сообщить модератору +/– ответить

ldapsearch блоикровка,

Ninjatrasher, (ACL, блокировки) 12-Май-14, 15:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вот что пишется в логах SquidGard 2014-05-12 18 54 35 10213 New setting dbhom, Ninjatrasher (ok), 18:58 , 12-Май-14 (1)
Вот что пишется в логах SquidGard:
2014-05-12 18:54:35 [10213] New setting: dbhome: /usr/local/squidGuard/db
2014-05-12 18:54:35 [10213] New setting: logdir: /usr/local/squidGuard/log
2014-05-12 18:54:35 [10213] New setting: ldapbinddn: CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-12 18:54:35 [10213] New setting: ldapbindpass: пароль
2014-05-12 18:54:35 [10213] New setting: ldapcachetime: 300
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10213] squidGuard 1.4 started (1399906475.758)
2014-05-12 18:54:35 [10213] squidGuard ready for requests (1399906475.776)
2014-05-12 18:54:35 [10214] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10214] squidGuard 1.4 started (1399906475.762)
2014-05-12 18:54:35 [10214] squidGuard ready for requests (1399906475.782)
2014-05-12 18:54:35 [10212] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10212] squidGuard 1.4 started (1399906475.759)
2014-05-12 18:54:35 [10212] squidGuard ready for requests (1399906475.783)
2014-05-12 18:54:36 [10009] Added LDAP source: esovetov
2014-05-12 18:55:00 [10009] Added LDAP source: stryuk
Хотя в группе, которая указана в ldapusersearch по факту только esovetov.
Не понимаю в чем. Очень прошу указания в какую сторону капать или указание на фактическую ошибку в конфиге.
>[оверквотинг удален]
> acl  {
>     socialnet_allowed {
>        pass  !porn socialnetwork
>        redirect http://www.foo.bar/allblocked.html
>     }
>  default {
>   pass !porn !socialnetwork
>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>  }
> }
сообщить модератору +/– ответить

Путем проб и ошибок, докопался, что не срабатывает механизм ldapsearch и все сва, Ninjatrasher (ok), 22:02 , 13-Май-14 (2)
Путем проб и ошибок, докопался, что не срабатывает механизм ldapsearch и все сваливается на дефолтный acl.
Если у кого нибудь есть информация или линк где почитать как правильно настроить slapd и ldap.conf буду очень признателен.
>[оверквотинг удален]
>> acl  {
>>     socialnet_allowed {
>>        pass  !porn socialnetwork
>>        redirect http://www.foo.bar/allblocked.html
>>     }
>>  default {
>>   pass !porn !socialnetwork
>>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>>  }
>> }
сообщить модератору +/– ответить

Может не в тему, но возможно поможет прояснить проблемыhttp samag ru archive a, ipmanyak (ok), 14:43 , 14-Май-14 (3)
Может не в тему, но возможно поможет прояснить проблемы
http://samag.ru/archive/article/204
http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
http://system-administrators.info/?p=3299
сообщить модератору +/– ответить

спасибо за ссылки сейчас проблема перешла в другую стадию через Webmin настроил, Ninjatrasher (ok), 18:28 , 14-Май-14 (4)
спасибо за ссылки.
сейчас проблема перешла в другую стадию. через Webmin настроил Ldap client к основной базе AD на Windows Server2008 r2. Через Webmin показывается весь каталог. Но Ldapsearch по прежнему не работает. Не понимаю в чем дело, вот конфиг ldap.conf
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE    dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT    12
#TIMELIMIT    15
#DEREF        never
# TLS certificates (needed for GnuTLS)
TLS_CACERT    /etc/ssl/certs/ca-certificates.crt
host s-msk00-gdc01.ylrus.com
uri  ldap://s-msk00-gdc01.ylrus.com
binddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
bindpw Passw0rd
base DC=ylrus,DC=com
ldap_version 3
То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно запустить slapd, запускаю, ситуация не меняется.
Есть идеи как это побороть?
> Может не в тему, но возможно поможет прояснить проблемы
> http://samag.ru/archive/article/204
> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
> http://system-administrators.info/?p=3299
сообщить модератору +/– ответить

Проблема перешла в новую стадию Настроил Sladp proxy к AD, ldap search отрабаты, Ninjatrasher (ok), 18:10 , 15-Май-14 (5)
Проблема перешла в новую стадию. Настроил Sladp proxy к AD, ldap search отрабатывает хорошо, ищет пользователей.
Но СквидГард пишет следующиее:

manager@vs-msk00-prx02:~$ squidGuard -d
2014-05-15 18:02:59 [58152] New setting: dbhome: /usr/local/squidGuard/db
2014-05-15 18:02:59 [58152] New setting: logdir: /usr/local/squidGuard/log
2014-05-15 18:02:59 [58152] New setting: ldapbinddn: CN=svcsquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-15 18:02:59 [58152] New setting: ldapbindpass: Passw0rd
2014-05-15 18:02:59 [58152] New setting: ldapcachetime: 300
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/urls.db
2014-05-15 18:02:59 [58152] squidGuard 1.4 started (1400162579.157)
2014-05-15 18:02:59 [58152] squidGuard ready for requests (1400162579.160)
http://www.yandex.ru 172.18.2.76- esovetov@ylrus.com GET
2014-05-15 18:03:30 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov@ylrus.com)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:03:30 [58152] Added LDAP source: esovetov@ylrus.com
2014-05-15 18:03:30 [58152] source not found
2014-05-15 18:03:30 [58152] no ACL matching source, using default
http://www.yandex.ru 172.18.2.76- esovetov GET
2014-05-15 18:04:00 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:04:00 [58152] Added LDAP source: esovetov
2014-05-15 18:04:00 [58152] source not found
2014-05-15 18:04:00 [58152] no ACL matching source, using default
Причем если я в SCR пишут user esovetov, все отрабатывает как надо. Подскажите в чем проблема? понимаю, что где не правильно составлен запрос. Уже перепробовал около 7-10 вариантов запроса, результат 0.

>[оверквотинг удален]
> base DC=ylrus,DC=com
> ldap_version 3
> То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
> А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно
> запустить slapd, запускаю, ситуация не меняется.
> Есть идеи как это побороть?
>> Может не в тему, но возможно поможет прояснить проблемы
>> http://samag.ru/archive/article/204
>> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
>> http://system-administrators.info/?p=3299
сообщить модератору +/– ответить

Как логировать названия запрошенных сайтов,

Siegfried1, (Учет работы пользователей, логи) 06-Май-14, 08:22 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Сквид пишет в лог подробнейшую информацию об активности пользователей Задачу пре, Александр (??), 10:36 , 06-Май-14 (1)
> Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.
> Есть задача в своей конторе смотреть кто на какие сайты лазиет.
> На винде в керио фаерволе есть такая закладка www куда записывается конкретная
> страница, которую запросил пользователь с русским заголовком даже. Можно ли так
> сделать в сквиде, или какой нибудь другой Unix программе?
Сквид пишет в лог подробнейшую информацию об активности пользователей.
Задачу представления этой информации в удобном для вас виде сквид не решает.
Для этого есть другие программные продукты. Sarg, LightSquid и еще много других.
Посмотрите например тут www.opennet.ru/prog/sml/100.shtml
Или у Гугла спросите.
сообщить модератору +/– ответить

Эти проги выводят весь тот же мусор, только в профиль, с суммами Не подходят, п, Siegfried1 (ok), 11:23 , 06-Май-14 (2)
>> Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.
>> Есть задача в своей конторе смотреть кто на какие сайты лазиет.
>> На винде в керио фаерволе есть такая закладка www куда записывается конкретная
>> страница, которую запросил пользователь с русским заголовком даже. Можно ли так
>> сделать в сквиде, или какой нибудь другой Unix программе?
> Сквид пишет в лог подробнейшую информацию об активности пользователей.
> Задачу представления этой информации в удобном для вас виде сквид не решает.
> Для этого есть другие программные продукты. Sarg, LightSquid и еще много других.
> Посмотрите например тут www.opennet.ru/prog/sml/100.shtml
> Или у Гугла спросите.
Эти проги выводят весь тот же мусор, только в профиль, с суммами. Не подходят, проверено
сообщить модератору +/– ответить

Смею предположить, что вы хотите знать, кто, на какую ссылку нажал В общем случа, izyk (ok), 13:09 , 06-Май-14 (3)
> Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.
> Есть задача в своей конторе смотреть кто на какие сайты лазиет. Поставил
> сквид. Но ассеss лог неинформативен (вернее избыточно информативен), т.к. зашёл я
> допустим на ньюслэнд, а тот прицепом подгрузил картинки и фрэймы с
> других сайтов, в итоге в логе 10-20 записей вместо просто одной
> - newsland - новости. Задачи считать веб-трафик у меня нет, нужна
> только информация о реально запрошенных страницах
> На винде в керио фаерволе есть такая закладка www куда записывается конкретная
> страница, которую запросил пользователь с русским заголовком даже. Можно ли так
> сделать в сквиде, или какой нибудь другой Unix программе?
Смею предположить, что вы хотите знать, кто, на какую ссылку нажал.
В общем случае, "squid", не может решить вашу задачу.
Без помощи доп. ПО на клиетском ПК, нельзя сказать по какой причине,
идет http трафик.
сообщить модератору +/– ответить

gt оверквотинг удален Однако керио умеет И я так полагаю, керио под линуксом , Siegfried1 (ok), 14:24 , 06-Май-14 (4)
>[оверквотинг удален]
>> других сайтов, в итоге в логе 10-20 записей вместо просто одной
>> - newsland - новости. Задачи считать веб-трафик у меня нет, нужна
>> только информация о реально запрошенных страницах
>> На винде в керио фаерволе есть такая закладка www куда записывается конкретная
>> страница, которую запросил пользователь с русским заголовком даже. Можно ли так
>> сделать в сквиде, или какой нибудь другой Unix программе?
> Смею предположить, что вы хотите знать, кто, на какую ссылку нажал.
> В общем случае, "squid", не может решить вашу задачу.
> Без помощи доп. ПО на клиетском ПК, нельзя сказать по какой причине,
> идет http трафик.
Однако керио умеет. И я так полагаю, керио под линуксом тоже
сообщить модератору +/– ответить

Хоть и с большой, но все-же, не 100 достоверностью,и это является, побочным эфф, izyk (ok), 22:36 , 06-Май-14 (5)

> Однако керио умеет. И я так полагаю, керио под линуксом тоже
Хоть и с большой, но все-же, не 100% достоверностью,
и это является, побочным эффектом, их основной задачи - фильтрации.
Решите свою задачу, поймете, за что, они деньги берут.
сообщить модератору +/– ответить

Squid splash page только для браузеров.,

kabanaus, (Разное) 22-Апр-14, 17:58 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

http www opennet ru openforum vsluhforumID12 6778 html, reader (ok), 21:23 , 22-Апр-14 (1)
http://www.opennet.dev/openforum/vsluhforumID12/6778.html
сообщить модератору +/– ответить

Спасиб читал эту тему Сделал так-же, в результате запросы с других браузеров по, kabanaus (ok), 21:32 , 22-Апр-14 (2)
> http://www.opennet.dev/openforum/vsluhforumID12/6778.html
Спасиб читал эту тему. Сделал так-же, в результате запросы с других браузеров полностью блокируются и вибивает стандартную страницу сквида. См конфиг выше. Мне нужно что-бы другие приложения получали полный доступ в инет без редиректа, а стандартные браузеры: Chrome, Opera, Mozilla, Safari редирект на мою splash page.
Это можно сделать конфигурацией сквида?
сообщить модератору +/– ответить

gt оверквотинг удален http_access allow new_users br - увеличте уровень ло, reader (ok), 11:11 , 23-Апр-14 (3)
>[оверквотинг удален]
> acl Safe_ports port 777
> acl SSL_ports port 443
> acl CONNECT method CONNECT
> http_access allow to_localhost
> http_access allow CONNECT SSL_ports
> acl br browser Chrome
> external_acl_type session ttl=60 negative_ttl=0 children=1 concurrency=200 %SRC /usr/lib/squid/squid_session
> -t 900
> acl new_users external session
> acl splash dstdomain 10.0.4.1
http_access allow new_users ! br -?
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> #http_access deny CONNECT !SSL_ports
> http_access deny !new_users br
> deny_info http://10.0.4.1/?url=%s new_users br
> http_access allow new_users
> http_access allow localhost
увеличте уровень логирования, там будет видно по каким правилам прошли и не прошли проверки
> Как сделать так что-бы браузеры из списка попадали в сессию а другие
> клиенты типа Skype Viber итд нет. Читал так-же про активный режим
> конфы для редиректа но я так понимаю там доступ будет ограничен
> пока клиент не попадет на страницу, а мне нужен полный доступ
> для всех приложений и лишь что-бы запросы с браузеров переадресовывались.
сообщить модератору +/– ответить

Спасибо Немного изменил конфиг помогло изменения порядка правил Теперь отраб, kabanaus (ok), 13:19 , 24-Апр-14 (4)
Спасибо! Немного изменил конфиг + помогло изменения порядка правил. Теперь отрабатывает редирект только с браузеров, те что не в списке проходят на прямую. Но осталось еще пару незначительных недостатков. Часто бывает такое http://i.piccy.info/i9/eac1279d93122f574b313196d2671fbb/1398...
В одну секунду происходит несколько редиректов не только при запросе самого сайта а и также при запросе его содержимого. (картинки, внешние скрипты).

Не успевает обновится сессия? Как можно это поправить?
Мой новый рабочий конфиг с фильтраций браузеров:
http_port 3128 transparent
acl all src 0.0.0.0/0
acl localnet src 10.0.4.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/32 10.0.4.1
acl to_localhost dst 127.0.0.0/8 10.0.4.1
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 443
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow to_localhost
http_access allow CONNECT SSL_ports
acl br browser Chrome
acl br browser Safari
acl br browser Opera
acl br browser Mozilla
http_access allow !br
external_acl_type session ttl=60 negative_ttl=0 children=1 concurrency=200 %SRC /usr/lib/squid/squid_session -t 900
acl new_users external session
acl splash dstdomain 10.0.4.1
http_access allow new_users br
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
http_access deny !new_users
deny_info http://10.0.4.1/?url=%s new_users br
http_access allow new_users
http_access allow localhost
http_access allow br
сообщить модератору +/– ответить

запрошенную страничку рисует ваш http сервер а если не делать редирект для карти, reader (ok), 16:42 , 28-Апр-14 (5)
> Спасибо! Немного изменил конфиг + помогло изменения порядка правил. Теперь отрабатывает
> редирект только с браузеров, те что не в списке проходят на
> прямую. Но осталось еще пару незначительных недостатков. Часто бывает такое http://i.piccy.info/i9/eac1279d93122f574b313196d2671fbb/1398...
> В одну секунду происходит несколько редиректов не только при запросе самого сайта
> а и также при запросе его содержимого. (картинки, внешние скрипты).
запрошенную страничку рисует ваш http сервер?
а если не делать редирект для картиной?
>[оверквотинг удален]
> http_access allow new_users br
> http_access allow manager localhost
> http_access deny manager
> http_access deny !Safe_ports
> #http_access deny CONNECT !SSL_ports
> http_access deny !new_users
> deny_info http://10.0.4.1/?url=%s new_users br
> http_access allow new_users
> http_access allow localhost
> http_access allow br
сообщить модератору +/– ответить

squid 3.3.8 аутентификация через sasl,

kosikdr, (Аутентификация) 21-Апр-14, 10:55 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Подозрение что проблемма в настройках sasla некто не занимался его настройкой , kosikdr (ok), 09:18 , 22-Апр-14 (1)
Подозрение что проблемма в настройках sasla некто не занимался его настройкой?

сообщить модератору +/– ответить

1 запускаю сервис etc init d saslauthd start в процессах висит так usr sbi, kosikdr (ok), 11:01 , 22-Апр-14 (2)
> Подозрение что проблемма в настройках sasla некто не занимался его настройкой?
1. запускаю сервис "/etc/init.d/saslauthd start"
в процессах висит так
(/usr/sbin/saslauthd -a pam -n 5)
2. создаю пользователя " saslpasswd2 -c test"
3. смотрю пользователя в базе " sasldblistusers2 "
4. получаю ответ " test@server-v: userPassword " пока все нормально
5. проверяю " testsaslauthd -u test -p 123456 "
6. получаю ответ " 0: NO "authentication failed" "
7. проверяю " testsaslauthd -u test -r server-v -p 123456 "
получаю ответ " 0: NO "authentication failed" "
соответственно и
1. /usr/sbin/basic_sasl_auth /etc/sasldb2
после ввода логин пароля ошибка
как сделать чоб хотябы тестовая проверка логин пароля заработала? Куда копать??
сообщить модератору +/– ответить

Плохо висит так Надо в сасловой базе аутентифицироватьсяНадо чтобы висело так us, Ingoa (?), 17:02 , 22-Апр-14 (3)
Плохо висит так.
Надо в сасловой базе аутентифицироваться
Надо чтобы висело так
/usr/sbin/saslauthd -a sasldb -n 5
>[оверквотинг удален]
> 3. смотрю пользователя в базе " sasldblistusers2 "
> 4. получаю ответ " test@server-v: userPassword " пока все нормально
> 5. проверяю " testsaslauthd -u test -p 123456 "
> 6. получаю ответ " 0: NO "authentication failed" "
> 7. проверяю " testsaslauthd -u test -r server-v -p 123456 "
> получаю ответ " 0: NO "authentication failed" "
> соответственно и
> 1. /usr/sbin/basic_sasl_auth /etc/sasldb2
> после ввода логин пароля ошибка
> как сделать чоб хотябы тестовая проверка логин пароля заработала? Куда копать??
сообщить модератору +/– ответить

SQUID и HTTPS,

sasiska, (Прозрачный proxy) 18-Мрт-14, 09:57 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

X WARNING X HTTPS was designed to give users an expectation of privacy an, Andrey Mitrofanov (?), 10:33 , 18-Мрт-14 (1)
""{X} WARNING: {X} HTTPS was designed to give users an expectation of privacy and security. Decrypting HTTPS tunnels without user consent or knowledge may violate ethical norms and may be illegal in your jurisdiction.
http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...
сообщить модератору +/– ответить

единственный путь, это найти серверный сертификат и приватный ключ А самый прос, sasiska (ok), 11:00 , 18-Мрт-14 (2)
> ""{X} WARNING: {X} HTTPS was designed to give users an expectation of
> privacy and security. Decrypting HTTPS tunnels without user consent or knowledge
> may violate ethical norms and may be illegal in your jurisdiction.
> http://wiki.squid-cache.org/Features/HTTPS#Intercepting_dire...
> http://wiki.squid-cache.org/Features/HTTPS#Bumping_direct_SS...
единственный путь, это найти серверный сертификат и приватный ключ? А самый простой способ - купить

Или блочить ресурс через IPFW, и отдельно правилом выше добавить пользователей которые могут посещать данные сайты?
И блочить я так понимаю придется исключительно по IP
сообщить модератору +/– ответить

1 блокируете прямой трафик https2 кому он нужен, пусть в настройках браузера у, name (??), 18:14 , 18-Мрт-14 (3)
1) блокируете прямой трафик https
2) кому он нужен, пусть в настройках браузера указывает ваш прокси
3) прокси фильтрует шифрованный трафик на уровне доменов.
сообщить модератору +/– ответить

Забыл написать, но решил проблему так весь трафик лочить было нельзя, так как пе, sasiska (ok), 12:57 , 17-Апр-14 (4)
Забыл написать, но решил проблему так:
весь трафик лочить было нельзя, так как перестал бы работать гугл, а у нас google apps
решение было простым:
в верху правил для ipfw добавил
add allow ip from "ip"/"mask" to any 80......... открыл разрешение для vk на 80 порт
и вторым правилом
add deny ip from......... то есть закрыл весь трафик
так как фаерволл читает правила сверху вниз, первое разрешает трафик на 80 порт этого пулла айпи адресов, и сразу же вторым правилом трафик на этот айпи рубится полностью
собственно проблема сайтов с ssl меня не особа мучает, и таких сайтов, которые требовали блокировки только: соц сети, ютуб, пару анонимайзеров, а на остальное наплевал, если кто то нашел другие лазейки, я пока о них не знаю
Дальше уже придется все таки купить сертификат для squid'а, но пока работает
сообщить модератору +/– ответить

Как в squid отключить пользователю 80 порт?,

AleksKu, (Ограничение трафика) 11-Апр-14, 06:04 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

запретить ему доступ акселями по IP acl zapret src 10 131 2 216http_access deny, ipmanyak (ok), 06:49 , 11-Апр-14 (1)
> Здравствуйте!
> Подскажите пожалуйста как в squid можно отключить пользователю 80 порт?
> Операционка FreeBSD 9.1
> Заранее спасибо.
запретить ему доступ акселями по IP.
acl zapret src 10.131.2.216
http_access deny zapret
аксель запрета поставить выше разрешающих правил для всех юзеров.
сообщить модератору +/– ответить

Дело в том, что на одном компьютере работают несколько пользователей домена, а и, AleksKu (ok), 07:07 , 11-Апр-14 (2)
>> Здравствуйте!
>> Подскажите пожалуйста как в squid можно отключить пользователю 80 порт?
>> Операционка FreeBSD 9.1
>> Заранее спасибо.
> запретить ему доступ акселями по IP.
> acl zapret src 10.131.2.216
> http_access deny zapret
> аксель запрета поставить выше разрешающих правил для всех юзеров.
Дело в том, что на одном компьютере работают несколько пользователей домена,
а интернет запретить надо одному из них, на фрюхе этих пользователей нет,
они созданы в AD в Windows Server 2008 R2, сам понимаю бредовость этой идеи,
но решил все таки спросить.
сообщить модератору +/– ответить

http www youtube com watch v 2vjTXNeqVb8, Andrey Mitrofanov (?), 10:16 , 11-Апр-14 (3)
> они созданы в AD в Windows Server 2008 R2, сам понимаю бредовость
http://www.youtube.com/watch?v=2vjTXNeqVb8
сообщить модератору +/– ответить

В принципе, ничего в этом ролике не нашел, касаемо моей темы, может просмотрел , AleksKu (ok), 12:52 , 11-Апр-14 (4)
>> они созданы в AD в Windows Server 2008 R2, сам понимаю бредовость
> http://www.youtube.com/watch?v=2vjTXNeqVb8
В принципе, ничего в этом ролике не нашел, касаемо моей темы, может просмотрел.
сообщить модератору +/– ответить

Если у вас авторизация через AD тогда вместо IP указывайте имя юзерачто-то типаa, ipmanyak (ok), 11:59 , 14-Апр-14 (5)
> Здравствуйте!
> Подскажите пожалуйста как в squid можно отключить пользователю 80 порт?
> Операционка FreeBSD 9.1
> Заранее спасибо.
Если у вас авторизация через AD тогда вместо IP указывайте имя юзера
что-то типа
acl zapret proxy_auth -i mydomain\vasya
http_access deny
имя вашего домена возможно и не нужно, сами проверите. http_access deny нужно воткнуть в правильное место, до разрешающих акселей.
Можно пихать таких юзеров в файл
acl restrictedusers proxy_auth "/etc/squid/restrictedusers"
http_access deny restrictedusers
сообщить модератору +/– ответить

как настроить прокси, чтобы он открывал только один сайт,

lomaka, (Разное) 31-Мрт-14, 00:15 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

вырисовывается картина навальный в глубоком изгое и без понимания что человечес, parad (ok), 01:26 , 31-Мрт-14 (1)
вырисовывается картина: навальный в глубоком изгое и без понимания что человечеству на него .а..а.ь ищет способ вернуть свой дневнечок, заблакированный на теритирии рф.
сообщить модератору +/– ответить

добавьте к нику odnogo kretina если у вас жопный зуд по поводу навального, ко, lomaka (ok), 07:56 , 31-Мрт-14 (3)
> вырисовывается картина: навальный в глубоком изгое и без понимания что человечеству на
> него .а..а.ь ищет способ вернуть свой дневнечок, заблакированный на теритирии рф.
добавьте к нику "odnogo kretina". если у вас жопный зуд по поводу навального, который сужает все вопросы в жизни до размера проблем дневника леши, это еще не значит, что остальной мир тоже сузился.
сообщить модератору +/– ответить

задел однако видать если не попал, то где-то рядом , parad (ok), 14:08 , 31-Мрт-14 (5)
задел однако. видать если не попал, то где-то рядом.
сообщить модератору +/– ответить

gt оверквотинг удален FAQ сквида почитать не судьба How can I allow a single a, ipmanyak (ok), 07:44 , 31-Мрт-14 (2)
>[оверквотинг удален]
> squid, 3proxy или openvpn (сейчас стоит openvpn).
> Я хочу, чтобы мой сервер могли использовать либо как прокси сервер, либо
> как VPN сервер все, кто угодно, НО ... только чтобы через
> меня они могли попадать только на один заданный веб-сайт. Например в
> каком-нибудь Китае запретили сайт opennet.ru, я не готов пускать через свой
> сервер миллиард китайцев лазать по всему инету, но например готов дать
> всем китайцам возможность читать opennet.ru.
> Это возможно? Если да, то как? Хотелось бы услышать решения как для
> proxy серверов, так и для VPN.
> Заранее спасибо.
FAQ сквида почитать не судьба?
How can I allow a single address to access a specific URL?
http://wiki.squid-cache.org/SquidFaq/CompleteFaq#SquidFaq.2B...
сообщить модератору +/– ответить

о, то что надо спасибо большое а с openvpn можно сделать подобное , lomaka (ok), 08:02 , 31-Мрт-14 (4)
> FAQ сквида почитать не судьба?
> How can I allow a single address to access a specific URL?
о, то что надо! спасибо большое. а с openvpn можно сделать подобное?
сообщить модератору +/– ответить

сквиду плевать на OPENVPN, он про него ничего не знает и знать не должен, это чи, ipmanyak (ok), 15:52 , 31-Мрт-14 (6)
>> FAQ сквида почитать не судьба?
>> How can I allow a single address to access a specific URL?
> о, то что надо! спасибо большое. а с openvpn можно сделать подобное?
сквиду плевать на OPENVPN, он про него ничего не знает и знать не должен, это чистый HTTP прокси и больше ничего, кроме HTTP трафика ничего не знает. Всё рулится акселями по IP, добавите разрешение/запрет на IP адреса vpn сетей и всё.

сообщить модератору +/– ответить

Ротация логов squidGuard,

Alexx, (Учет работы пользователей, логи) 20-Мрт-14, 18:33 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

а че logrotate уже не феншуй , pavlinux (ok), 05:56 , 23-Мрт-14 (1)
> После ротации в newsyslog логов контроля доступа squidGuard дальнейшее логирование прекращается.
> Возобновить его можно только после squid -k reconfigure. Нигде не нашел
> инструкций как же правильно выполнить ротацию. Пока что пришел к такому
> решению (прописал pid процесса):
> /var/log/squidGuard/porno squid:squid 640 1 200 *
> JC /var/run/squid/squid.pid
> Подскажите, может это и есть правильное решение или есть другие подходы?
а че logrotate уже не феншуй?
сообщить модератору +/– ответить

Очень даже феншуй, тут даже вопрос не столько в том чем ротировать, а в том, что, Alexx (??), 14:43 , 24-Мрт-14 (2)
> а че logrotate уже не феншуй?
Очень даже феншуй, тут даже вопрос не столько в том чем ротировать, а в том, что обязательно ли требуется squidGuard-у после ротации "kill -HUP" или использовать squid.pid. В документации по squidGuard ничего не нашел. А logrotate как и ntwsyslog - не принципиально (хотя согласен, что в данном случае logrotate удобнее). Слышал, что можно ротировать средствами squid, но как - опять же нигде не указано.
сообщить модератору +/– ответить

code cat etc logrotate d squid var log squid cache log su squid nogrou,

pavlinux (ok), 15:06 , 24-Мрт-14 (3)

>> а че logrotate уже не феншуй?
> Очень даже феншуй, тут даже вопрос не столько в том чем ротировать,
> а в том, что обязательно ли требуется squidGuard-у после ротации "kill
> -HUP" или использовать squid.pid. В документации по squidGuard ничего не нашел.
> А logrotate как и ntwsyslog - не принципиально (хотя согласен, что
> в данном случае logrotate удобнее).
$ cat /etc/logrotate.d/squid /var/log/squid/cache.log {
    su squid nogroup
    compress
    dateext
    maxage 365
    rotate 99
    size=+1024k
    notifempty
    missingok
    create 640 squid root
    sharedscripts
    postrotate
     /etc/init.d/squid reload
    endscript
}
/var/log/squid/access.log {
    su squid nogroup
    compress
    dateext
    maxage 365
    rotate 99
    size=+4096k
    notifempty
    missingok
    create 640 squid root
    sharedscripts
    postrotate
     /etc/init.d/squid reload
    endscript
}
/var/log/squid/store.log {
    su squid nogroup
    compress
    dateext
    maxage 365
    rotate 99
    size=+4096k
    notifempty
    missingok
    create 640 squid root
    sharedscripts
    postrotate
     /etc/init.d/squid reload
    endscript
}
> Слышал, что можно ротировать средствами squid, но как - опять же нигде не указано.
http://www.squid-cache.org/Doc/config/logfile_daemon/

сообщить модератору +/–

ответить

Всё, pavlinux, спасибо, вопрос решен с помощью установки и настройки logrotate в, Alexx (??), 12:35 , 25-Мрт-14 (4)
Всё, pavlinux, спасибо, вопрос решен с помощью установки и настройки logrotate вместо newsyslog.
Конфигурация файла logrotate чтобы не "затирало" лог куда пишет примерно такая (главное тут - copytruncate и nocreate):
/var/log/squidGuard/* {
missingok
rotate 2
size=2048k
compress
copytruncate
delaycompress
notifempty
nocreate
noolddir
nomail
}
И никакие перезапуски squid не нужны.
сообщить модератору +/– ответить

gt оверквотинг удален etc init d squid reload - это такой лёгкий способ, без , pavlinux (ok), 23:39 , 25-Мрт-14 (5)
>[оверквотинг удален]
> size=2048k
> compress
> copytruncate
> delaycompress
> notifempty
> nocreate
> noolddir
> nomail
> }
> И никакие перезапуски squid не нужны.
/etc/init.d/squid reload - это такой лёгкий способ, без проверки кэша, а именно:
squid -k rotate; (оно же kill -USR1 $(cat /var/run/squid.pid))
sleep 2;
squid -k reconfigure; (оно же kill -HUP $(cat /var/run/squid.pid))
сообщить модератору +/– ответить

SQUID не применяет новые IP (acl),

kolinmk, (ACL, блокировки) 17-Фев-14, 14:42 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ попробуй сам поня, Andrey Mitrofanov (?), 15:19 , 17-Фев-14 (1)
> http_access allow smtp
> http_access allow mail
> http_access allow 25
> http_access allow 110
ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй сам понять, чего ты делаешь?
http://www.opennet.dev/openforum/vsluhforumID12/5363.html#1
сообщить модератору +/– ответить

Это понятно, я сначала не знал что сквид не работает с почтой, а это были попытк, kolinmk (ok), 15:26 , 17-Фев-14 (2)
>> http_access allow smtp
>> http_access allow mail
>> http_access allow 25
>> http_access allow 110
> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
> сам понять, чего ты делаешь?
> http://www.opennet.dev/openforum/vsluhforumID12/5363.html#1
Это понятно, я сначала не знал что сквид не работает с почтой, а это были попытки чтото сделать с почтовыми портами. Ну я так понимаю дело-то не в них?
сообщить модератору +/– ответить

Да Теперь вижу первый deny all должен вообще никого никуда не пкскать Откуда у, Andrey Mitrofanov (?), 15:30 , 17-Фев-14 (3)
>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>> сам понять, чего ты делаешь?
> так понимаю дело-то не в них?
Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?
сообщить модератору +/– ответить

Нет, я наверно объяснил не очень -Есть acl DFN10 src home server acl 10 0 с, kolinmk (ok), 15:36 , 17-Фев-14 (4)
>>> ПОскольку я не понимаю, чего ты делаешь, переходим к плану Бэ: попробуй
>>> сам понять, чего ты делаешь?
>> так понимаю дело-то не в них?
> Да. Теперь вижу: первый deny all должен вообще никого никуда не пкскать.
> Откуда у тя "только гугль" я, конечно могу по-предполагать, но смысл?
Нет, я наверно объяснил не очень.
-Есть acl DFN10 src "/home/server/acl/10.0" (с мною забитыми IP устройств). Все они работают через прокси хорошо.
-Сегодня я добавил еще 2 адреса в этот ацл, но они у меня не приминяются.
-С этих новых адресов браузер заходит только на google.ru (хотя должен ходить по всем адресам.) На остальных сайтах, майл.ру, яндекс.ру.... ивсе остальные пишет доступ запрещен.
deny all - ставил в конец уже, не помогает

сейчас вот так:
http_access allow DFN10
http_access allow FN103
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
# And finally deny all other access to this proxy
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access deny all
сообщить модератору +/– ответить

если уже добавленный ранее ip прописываю на новом устройстве, то все работает , kolinmk (ok), 09:02 , 18-Фев-14 (5)
если уже добавленный ранее ip прописываю на новом устройстве, то все работает.
сообщить модератору +/– ответить

С новых IP заходит на сайты с HTTPS 443 1392812867 443 108 192 168 10 12 TCP_, kolinmk (ok), 16:33 , 19-Фев-14 (6)
С новых IP заходит на сайты с HTTPS(443)
1392812867.443    108 192.168.10.12 TCP_MISS/200 3088 CONNECT id.google.ru:443 - HIER_DIRECT/178.45.253.29 -
На остальные глухо
1392812748.871      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/news/? - HIER_NONE/- text/html
1392812748.872      0 192.168.10.12 TCP_DENIED/403 3018 GET http://informers.rambler.ru/mail/? - HIER_NONE/- text/html
сообщить модератору +/– ответить

gt оверквотинг удален Точно ли именно и только squid ведает доступом Нет ли на, Anonymous1 (?), 21:31 , 17-Мрт-14 (7)
>[оверквотинг удален]
> 192.168.10.32/32
> 192.168.10.33/32
> 192.168.10.34/32
> 192.168.10.4/32
> 192.168.10.44/32
> 192.168.10.5/32
> 192.168.10.6/32
> #эти два новых никак не хотят.
> 192.168.10.7/32
> 192.168.10.9/32
Точно ли именно и только squid ведает доступом?
Нет ли набора правил, например, iptables, разрешающего доступ со старых адресов напрямую (мимо прокси)?
iptables -nL | grep 192.168.10.5
iptables -nL | grep 192.168.10.7
что дают?
сообщить модератору +/– ответить

просмотр логов dansguardian,

DethKlok, (Squid) 12-Мрт-14, 10:58 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Лентяй, хоть бы в вики данса глянул If you nevertheless find it necessary to ana, tonys (??), 14:29 , 12-Мрт-14 (1)
> Посоветуйте анализатор лог-файла dansguardian или можно как нибудь настроить sarg для просмотра?
> просто я настроил связку squid+dansguardian+sarg, анализатор лог-файла в данный момент
> настроен на логи кальмара, и в логах я получаю лишь 127.0.0.1
> а хотелось бы вместо этого реальные айпишники пользователей
Лентяй, хоть бы в вики данса глянул
If you nevertheless find it necessary to analyze the Squid stub logs, the first issue that will occupy your attention will probably be that everything in the Squid log appears to originate from the same address, 127.0.0.1 (“localhost” or “loopback”). This makes sense as in this environment all requests to Squid come from DansGuardian. You may desire to instead have the Squid logs point at the “real” originating IP rather than at DansGuardian.
To do this, you'll need to both 1) have DansGuardian forward the information to Squid (which would otherwise not even have the information and so of course not be able to display it), and 2) have Squid include the information in its logs.
To make 1) happen, set forwardedfor = on in dansguardian.conf. This will cause DansGuardian to add an X-Forwarded-For: header containing the IP address of the real originator to every web request it passes to Squid.
To make 2) happen is different for different releases of Squid, and will usually (but not always) happen by default. For Squid 2.5 and before, you must apply a source code patch and rebuild Squid. The source code patch is available on the DansGuardian website by clicking on “Extras and Add-Ons” and under the “3rd Party plugins and patches for squid” heading fetching “Patch for squid that makes it log the X-Forwarded-For IP”. For Squid 2.6 and 2.7, set log_uses_indirect_client on (which in turn requires something like follow_x_forwarded_for allow localhost) in squid.conf. (This is the default Squid configuration, so it may work without explicit settings.) For Squid 3.0, set forwarded_for on in squid.conf. (This is the default Squid configuration, so it may work without explicit settings.)
сообщить модератору +/– ответить
Ну, что же ты, друг Ну напрягись немного Всего чуть-чуть Конфигурационные файл, михалыч (ok), 17:40 , 12-Мрт-14 (2)
> Посоветуйте анализатор лог-файла dansguardian или можно как нибудь настроить sarg для просмотра?
> просто я настроил связку squid+dansguardian+sarg, анализатор лог-файла в данный момент
> настроен на логи кальмара, и в логах я получаю лишь 127.0.0.1
> а хотелось бы вместо этого реальные айпишники пользователей
Ну, что же ты, друг? Ну напрягись немного! Всего чуть-чуть!
Конфигурационные файлы как squid, так и самого dansguardian очень хорошо прокомментированы.
Итак, смотрим:
в dansguardian.conf
# Если включено (on), то это добавляет X-Forwarded-For: <clientip> в заголовке
# запроса HTTP. Это решение может помочь на некоторых проблемных участках,
# на которых необходимо знать IP-источника.
# on | off
forwardedfor = on
в squid.conf (если нет - добавить, если есть - проверить, включено ли)
#  TAG: follow_x_forwarded_for
#       Разрешить или запретить заголовок X-Forwarded-For для отслеживания
#       и поиска оригинального источника запроса.
#
#       Запросы могут пройти через цепочку из нескольких прокси до того,
#       как достигнут нас. Заголовок X-Forwarded-For будет содержать
#       разделенный запятыми список IP-адресов, последний адрес в цепи
#       справа будет самым последним.
#
#       Если запрос доходит до нас от источника, в котором разрешен этот элемент
#       конфигурации, то мы обращаемся к заголовку X-Forwarded-For, чтобы увидеть,
#       от кого этот узел получил запрос. Если заголовок X-Forwarded-For содержит
#       несколько адресов, мы продолжаем поиск с возвратом до тех пор, пока не
#       достигнем адресов, у которых мы не можем отслеживатть заголовок
#       X-Forwarded-For, или до тех пор, пока мы не достигнем первого адреса в
#       списке. Для списков ACL, используемых в директиве follow_x_forwarded_for,
#       тип директивы src ACL всегда совпадает с адресами, которые мы проверяем и
#       srcdomain соответствует его rDNS.
#
#       Конечным результатом этого процесса является IP-адрес, на который мы
#       будем ссылаться в качестве косвенного адреса клиента. Этот адрес можно
#       рассматривать как адрес клиента для контроля доступа, ICAP, пулов задержки
#       и регистрации, в зависимости от параметров acl_uses_indirect_client,
#       icap_uses_indirect_client, delay_pool_uses_indirect_client и
#       log_uses_indirect_client.
#
#       ВОПРОСЫ БЕЗОПАСНОСТИ:
#
#               Любой узел, у которого мы отслеживаем заголовок X-Forwarded-For
#               может поместить неверные сведения в заголовке, и Squid будет
#               использовать неверную информацию, как будто это адрес источника
#               запроса. Это может позволить удаленным хостам обойти любые
#               ограничения контроля доступа, основанные на исходном адресе клиента.
#
#       Например:
#
#               acl localhost src 127.0.0.1
#               acl my_other_proxy srcdomain .proxy.example.com
#               follow_x_forwarded_for allow localhost
#               follow_x_forwarded_for allow my_other_proxy
follow_x_forwarded_for allow localhost
сообщить модератору +/– ответить

все намного проще в настройках данса указывается что он пишет логи в формате кал, maslonax (?), 06:29 , 13-Мрт-14 (3)
все намного проще в настройках данса указывается что он пишет логи в формате кальмара, а в сарге уже указываем что он логи берет от данса ввсе это дело сохраняем перезапускаем и радуемся жизни.
сообщить модератору +/– ответить

нет, не проще и не радуемсяещё раз внимательно смотримт е у ТС нет проблем с фор, михалыч (ok), 07:09 , 13-Мрт-14 (4)
> все намного проще в настройках данса указывается что он пишет логи в
> формате кальмара, а в сарге уже указываем что он логи берет
> от данса ввсе это дело сохраняем перезапускаем и радуемся жизни.
нет, не проще и не радуемся
ещё раз внимательно смотрим
> в логах я получаю лишь 127.0.0.1 а хотелось бы вместо этого реальные айпишники пользователей
т.е у ТС нет проблем с форматом лог-файла, у него проблема с получением IP-адреса пользователя
сообщить модератору +/– ответить

кешивать ютуб на сквиде ?,

smsm, (Прозрачный proxy) 20-Дек-13, 00:52 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

А у кальмара харя не треснет Обожрётся кешем и лопнет http cachevideos com, михалыч (ok), 07:07 , 20-Дек-13 (1)

В нашей сети гугл поставил свои кэширующие ютьюб серваки в нашу стойку на одно, Дядя_Федор (?), 11:39 , 20-Дек-13 (2)

Круто Хотел было сюморить про кэширование айпи телефонии, а вот оно как оказывае, wiseman (ok), 20:11 , 20-Дек-13 (3)

Зеркала ютьюб в локальной для нас сети и кэширование - совсем не одно и то же, Дядя_Федор (?), 21:48 , 20-Дек-13 (4)
Речь идет о программе Гугля GGC Google Global Cache Вот о ней - https peeri, Дядя_Федор (?), 22:05 , 20-Дек-13 (5)

нинада их кеш хочу на сквиде кешивать можно нет , smsm (?), 01:02 , 20-Янв-14 (6) –1
нинада их кеш. хочу на сквиде кешивать.
можно/нет ?
сообщить модератору –1 +/– ответить

Чукча - не читатель Напрягаем извилины и пробуем прочитать первый же ответ , Дядя_Федор (?), 08:31 , 20-Янв-14 (7)
> нинада их кеш. хочу на сквиде кешивать.
> можно/нет ?
Чукча - не читатель? Напрягаем извилины и пробуем прочитать первый же ответ.

сообщить модератору +/– ответить

посомтрелвот еще такое естьhttp alter org ua ru docs net local_proxy попробова, smsm (?), 00:13 , 24-Янв-14 (8)
> Чукча - не читатель? Напрягаем извилины и пробуем прочитать первый же ответ.
посомтрел
вот еще такое есть
http://alter.org.ua/ru/docs/net/local_proxy/
попробовал под винду. как-то странно кеширует.. не всё. но общий смысл уловил

сообщить модератору +/– ответить

Не мелочитесь Кэшируйте уж сразу весь интернет , Дядя_Федор (?), 10:56 , 24-Янв-14 (9)
Не мелочитесь. Кэшируйте уж сразу весь интернет. :)
сообщить модератору +/– ответить

а по теме что-нить предложить можете , smsm (?), 01:47 , 26-Янв-14 (11) –1
> Не мелочитесь. Кэшируйте уж сразу весь интернет. :)
а по теме что-нить предложить можете ?
сообщить модератору –1 +/– ответить

Шо Опять Дали же уже кучу ссылок Изучайте Лично у меня такой глупой идеи к, Дядя_Федор (?), 08:51 , 27-Янв-14 (12)
> а по теме что-нить предложить можете ?
Шо? Опять? Дали же уже кучу ссылок. Изучайте. Лично у меня такой глупой идеи (кэшировать ютьюб) вообще не возникало. Он, как я написал выше - у меня кэшируется в сети более простым и более правильным способом. Вы себе объем дискового пространства для "кэширования" представляете?

сообщить модератору +/– ответить

ну давайте прикинемчтоб поставить сервера гугля к нам, нужно много времени, дого, smsm (?), 17:47 , 25-Фев-14 (13)
> Вы себе объем дискового пространства для "кэширования" представляете?
ну давайте прикинем
чтоб поставить сервера гугля к нам, нужно много времени, договор, участие руководства..
да и нет столько трафика
чтоб расширить канал - тож самое + бабло
а железка с десятком 2Т винтов УЖЕ есть. и проставивает в данный момент.. ну как простаивает.. торренты качает.
всё-равно в конторе смотрят одно и то-же практически
и получается что нужно или запрещать контакт с ютубом, или кешить

сообщить модератору +/– ответить
[.... слишком большой тред, остальное см. в режиме смотреть все |+ ] (14) !!

почитайте тутhttp www squid-cache org mail-archive squid-users 201307 0140 htm, Vyacheslav (??), 09:06 , 25-Янв-14 (10) +1
> кешировать ютуб возможно на сквиде ?
> есть где почитать ?
почитайте тут
http://www.squid-cache.org/mail-archive/squid-users/201307/0...
http://wiki.squid-cache.org/ConfigExamples/DynamicContent/Yo...
http://wiki.squid-cache.org/ConfigExamples/DynamicContent/Co...
сообщить модератору +1 +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟