The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Настройка Squid, Tor и прокси серверов
Squid + Wccp + Cisco, !*! Ninjatrasher, (Прозрачный proxy) 09-Июл-14, 11:00  [ | | | ] [линейный вид] [смотреть все]
Добрый день. Моя борьба со сквидом подошла к финалу. Пытаюсь сделать сквид "прозрачным". Для этого при через gre тунель соеденияю сквид и циску и при помощи wccp хочу весь трафик циски передать сквиду.

Конфиг тунеля:

auto gre1
iface gre1 inet static
address 172.18.0.54
netmask 255.255.255.252
modprobe ip_gre
up ifconfig gre1 multicast
pre-up iptunnel add gre1 mode gre local 172.18.1.49 remote 172.18.1.1 ttl 255
pointopoint 172.18.0.53
post-down iptunnel del gre1

НА этом этапе все замечательно работает. Машина где сквид пингует адрес 0.53, циска пингует адрес 0.54.

Часть конфига сквида:

http_port  3128 transparent
wccp_address 172.18.1.49:3128
wccp2_router 172.18.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco

Часть конфига циски:

ip wccp version 2
!
ip wccp web-cache group-list 10
!
access-list 10 remark **** Defining SQUID Proxy Servers ****
access-list 10 permit 172.18.1.49
access-list 10 permit 172.18.1.47
!
!
!
ip access-list extended SQUID_PROXY
    deny ip 172.18.0.0 0.0.255.255 any
    deny ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255
    deny ip 172.18.0.0 0.0.255.255 10.7.0.0 0.0.255.255
    permit ip 172.18.2.32 0.0.0.7 any
Remark **** Deny squid server access WCCP ****
    deny ip host 172.18.1.49 any
!
ip wccp web-cache redirect-list SQUID_PROXY
!
!
int bvi1
ip wccp web-cache redirect in

На этом этапе весь трафик от циски вроде идет к сквиду, но такое чувство, что все таки не идет. Так как ни одно правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что не так сделал.

Ответить | Сообщить модератору
  • gt оверквотинг удален добавил еще в сквид новый порт 3127, для которого указал, !*! Ninjatrasher (ok), 14:51 , 09-Июл-14 (1)
    >[оверквотинг удален]
    > !
    > ip wccp web-cache redirect-list SQUID_PROXY
    > !
    > !
    > int bvi1
    > ip wccp web-cache redirect in
    > На этом этапе весь трафик от циски вроде идет к сквиду, но
    > такое чувство, что все таки не идет. Так как ни одно
    > правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что
    > не так сделал.

    добавил еще в сквид новый порт 3127, для которого указал transparent, конфиг выглядит теперь вот так.

    http_port 3128
    http_port  3127 transparent
    wccp2_router 172.18.1.1
    wccp2_forwarding_method gre
    wccp2_return_method gre
    wccp2_service standard 0 password=cisco

    в iptables добавил вот такую запись
    iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.1.49:3127

    реакции нет. смотрю по wireshark пакеты не приходят на gre1.

    В чем может быть проблема и куда следуюет копать?

    сообщить модератору +/ответить
Проблема с запуском Squid, !*! Mayers, (Squid) 02-Июл-14, 08:38  [ | | | ] [линейный вид] [смотреть все]
Добрый день!
Помогите решить возникшую проблему.

При запуске squid показывает вот такую ошибку:
squid ERROR: Could not send signal to process 1534: (3) No such process

Присутствует также ошибка при вводе команды fsck:
e2fsck: cannot continue, aborting

Ответить | Сообщить модератору
Не могу где прописан ресурс, который блокируется squid 2.6, !*! Рихард, (ACL, блокировки) 19-Май-14, 14:05  [ | | | ] [линейный вид] [смотреть все]
Достался мне в наследство сервер со Squid 2.6.
Раньше имел с ним только пару раз сталкивался, и ограничивался самыми простыми настройками.
Проблема в следующем: Блокируется страница страница.ру из одной из подсетей(на экран браузера выводится соответствующее сообщение от squid). Причем только от некоторых адресов. Не могу понять где прописан запрет на этот адрес. Ни в одном файле acl данногго ресурса нет.  
Где еще нужно посмотреть?
Ответить | Сообщить модератору
squid и lync2013, !*! Ninjatrasher, (Squid) 04-Июн-14, 15:44  [ | | | ] [линейный вид] [смотреть все]
Добрый день.

Возникла еще одна проблема со сквидом.

В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается и все работает ок. Но если пользоваться выходит в сеть через squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести учетные данные для связи Lync сервера.

В acl squid добавлены ip адреса lync серверов, но все равно окно появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как убрать это окно, что бы не раздражало и какие еще нужно внести настройки в squid что бы пропускал lync

Ответить | Сообщить модератору
  • Почитай предпоследний пост http social technet microsoft com Forums lync en-US, !*! ipmanyak (ok), 15:59 , 04-Июн-14 (1)
    > Добрый день.
    > Возникла еще одна проблема со сквидом.
    > В нашей организации используется lync2013. Если пользователь выходит минуя squid линк подключается
    > и все работает ок. Но если пользоваться выходит в сеть через
    > squid, линк подключается, все работает, возникает окно авторизации с просьбой ввести
    > учетные данные для связи Lync сервера.
    > В acl squid добавлены ip адреса lync серверов, но все равно окно
    > появляется. Может кто нибудь настраивал связку lync через squid. Подскажите как
    > убрать это окно, что бы не раздражало и какие еще нужно
    > внести настройки в squid что бы пропускал lync

    Почитай предпоследний пост
    http://social.technet.microsoft.com/Forums/lync/en-US/0c9d70...
    возможно твой случай.

    сообщить модератору +/ответить


squid reverse proxy , !*! Ninjatrasher, (Squid) 16-Июн-14, 10:54  [ | | | ] [линейный вид] [смотреть все]
Добрый день.

Задача следующая использовать сквид, как реверс прокси для пропуска Lync2013 в облако.

Вот мой кусок конфига, подскажите, где я сделал ошибки.

#### Reverse proxy for lync2013########
#http_port 3128 accel defaultsite=squid.domain.com vhost
#cache_peer sipdir.online.lync.com parent 443 0 no-query originserver name=lync2013
#acl lync2013_users dstdomain sipdir.online.lync.com
#http_access allow lync2013_users
#cache_peer_access lync2013 allow lync2013_users
#cache_peer_access lync2013 allow all

Сам сквид запускает, но когда линк запускается требуется пароль для доступа к серверу Localhost

Спасибо за помощь за ранее

Ответить | Сообщить модератору
  • gt оверквотинг удален в логах пишется, вот такая жуть 1402903327 909 0 17, !*! Ninjatrasher (ok), 11:26 , 16-Июн-14 (1)
    >[оверквотинг удален]
    > #### Reverse proxy for lync2013########
    > #http_port 3128 accel defaultsite=squid.domain.com vhost
    > #cache_peer sipdir.online.lync.com parent 443 0 no-query originserver name=lync2013
    > #acl lync2013_users dstdomain sipdir.online.lync.com
    > #http_access allow lync2013_users
    > #cache_peer_access lync2013 allow lync2013_users
    > #cache_peer_access lync2013 allow all
    > Сам сквид запускает, но когда линк запускается требуется пароль для доступа к
    > серверу Localhost
    > Спасибо за помощь за ранее

    в логах пишется, вот такая жуть:

    1402903327.909      0 172.18.2.76 NONE/400 4213 CONNECT error:method-not-allowed - NONE/- text/html [] [HTTP/1.0 400 Bad Request\r\nServer: squid/3.1.20\r\nMime-Version: 1.0\r\nDate: Mon, 16 Jun 2014 07:22:07 GMT\r\nContent-Type: text/html\r\nContent-Length: 3855\r\nX-Squid-Error: ERR_INVALID_REQ 0\r\nVary: Accept-Language\r\nContent-Language: en\r\n\r]

    сообщить модератору +/ответить
проблема со squid на FreeBSD, !*! ramadan, (Squid) 08-Июн-14, 02:26  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как только запускаю его - он сразу начинает посылать кучу запросов на google.com и тот банит мою сеть. Сквид собирал из портов.
Ответить | Сообщить модератору
  • Необходимо понять какая программа отсылает запросы Какие запросы отсылаются , !*! Алесандр (?), 14:19 , 09-Июн-14 (2)
    Необходимо понять какая программа отсылает запросы. Какие запросы отсылаются?
    сообщить модератору +/ответить
  • смотри access log от кого прут запросы Можешь для начала забанить google com и , !*! ipmanyak (ok), 15:12 , 09-Июн-14 (3)
    > Доброго времени суток. Имеется шлюз на FreeBSD 9.1 и squid 3.3. Как
    > только запускаю его - он сразу начинает посылать кучу запросов на
    > google.com и тот банит мою сеть. Сквид собирал из портов.

    смотри access.log от кого прут запросы.
    Можешь для начала забанить  google.com и снова смотреть access.log
    acl google dstdomain .google.com
    http_access deny google
    Только правила поставь повыше других, разрешающих.

    сообщить модератору +/ответить
squid и проблема tcp_miss/302, !*! djeg, (Учет работы пользователей, логи) 05-Июн-14, 16:05  [ | | | ] [линейный вид] [смотреть все]
ОС RHEL 6
Squid Cache: Version 3.1.10 configure options: '--build=x86_64-redhat-linux-gnu' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib64' '--libexecdir=/usr/libexec' '--sharedstatedir=/var/lib' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--enable-internal-dns' '--disable-strict-error-checking' '--exec_prefix=/usr' '--libexecdir=/usr/lib64/squid' '--localstatedir=/var' '--datadir=/usr/share/squid' '--sysconfdir=/etc/squid' '--with-logdir=$(localstatedir)/log/squid' '--with-pidfile=$(localstatedir)/run/squid.pid' '--disable-dependency-tracking' '--enable-arp-acl' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL,DB,POP3,squid_radius_auth' '--enable-ntlm-auth-helpers=smb_lm,no_check,fakeauth' '--enable-digest-auth-helpers=password,ldap,eDirectory' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-cache-digests' '--enable-cachemgr-hostname=localhost' '--enable-delay-pools' '--enable-epoll' '--enable-icap-client' '--enable-ident-lookups' '--enable-linux-netfilter' '--enable-referer-log' '--enable-removal-policies=heap,lru' '--enable-snmp' '--enable-ssl' '--enable-storeio=aufs,diskd,ufs' '--enable-useragent-log' '--enable-wccpv2' '--enable-esi' '--with-aio' '--with-default-user=squid' '--with-filedescriptors=16384' '--with-dl' '--with-openssl' '--with-pthreads' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'target_alias=x86_64-redhat-linux-gnu' 'CFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' 'LDFLAGS=-pie' 'CXXFLAGS=-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic -fpie' --with-squid=/builddir/build/BUILD/squid-3.1.10

[root@xxx squid]# cat squid.conf
auth_param basic program /usr/lib64/squid/squid_ldap_auth -d -R -D xxx@xxx.kz -w xxx -b «dc=xxx,dc=kz» -f sAMAccountName=%s -d xxx.xxx.kz xxx.xxx.kz
auth_param basic children 5
auth_param basic realm xxx.KZ

external_acl_type ldapg children=5 %LOGIN /usr/lib64/squid/squid_ldap_group -d -R -b «dc=xxx,dc=kz» -f "(&(sAMAccountName=%v)(memberOf=CN=%a,OU=Service-DIT,DC=xxx,DC=kz))" -D xxx@xxx.kz -w xxx -K -h xxx.xxx.kz xxx.xxx.kz

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443 60001 8180 8643 8888
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt a
cl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
cl Safe_ports port 777 # multiling http
acl Safe_ports port 60001 8180 8643 8888 # NUC

acl CONNECT method CONNECT
acl POST method POST
acl GET method GET
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
acl auth proxy_auth REQUIRED
acl proxy_ldap external ldapg proxyldap
http_access allow proxy_ldap
http_access allow proxy_ldap CONNECT SSL_ports
#http_access allow localnet
#http_access allow localnet CONNECT SSL_ports
http_access allow localhost
http_access deny !auth all
#http_access allow auth
http_access deny all

http_port 3128
hierarchy_stoplist cgi-bin ?
#cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

как видно из конфига сквид работает с авторизацией керберос в АД.

прокся тестовая, но на продуктивах в отличие от тестового есть еще ACL с блокировкой по сайтам.

проблема в том что и на тестовом и продуктивном прокси у многих пользователей не открывается сайт http://hh.kz

вот что пишет в логах когда на этот сайт подключаюсь я:
1401966755.556 491 xxx.xxx.xxx.xxx TCP_MISS/200 53041 GET http://hh.kz/ super_user DIRECT/178.88.114.118 text/html
1401966755.922 125 xxx.xxx.xxx.xxx TCP_MISS/200 435 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript
1401966756.035 58 xxx.xxx.xxx.xxx TCP_MISS/200 436 GET http://hhcdn.ru/pv super_user DIRECT/94.124.200.82 text/javascript

вот что пишет когда подключается пользователь: 1401966979.350 170 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401966986.242 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain
1401966993.306 164 ууу.ууу.ууу.ууу TCP_MISS/302 374 GET http://hh.kz/hhid/bind just_user DIRECT/178.88.114.118 text/plain
1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118 text/html
1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ just_user DIRECT/94.124.200.81 text/plain

пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит и обрывается. что странно у меня доступ есть, хотя как видно из конфига, он у меня такой же как у всех юзеров. кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий. Может быть настройки браузера?

уже не знаю что делать, помогите разобраться с проблемой.

Ответить | Сообщить модератору
  • gt оверквотинг удален хм а если попробовать указать сквиду acl hh dest hh k, !*! Ninjatrasher (ok), 16:39 , 05-Июн-14 (1)
    >[оверквотинг удален]
    > 1401967000.300 149 ууу.ууу.ууу.ууу TCP_MISS/302 561 GET http://hh.kz/ just_user DIRECT/178.88.114.118
    > text/html
    > 1401967007.222 57 ууу.ууу.ууу.ууу TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/
    > just_user DIRECT/94.124.200.81 text/plain
    > пробовали у разных юзеров в разных браузерах, проблема везде одинаковая. загрузка висит
    > и обрывается. что странно у меня доступ есть, хотя как видно
    > из конфига, он у меня такой же как у всех юзеров.
    > кеш у себя и пользователей чистился неоднократно. Сам прокси не кеширующий.
    > Может быть настройки браузера?
    > уже не знаю что делать, помогите разобраться с проблемой.

    хм... а если попробовать указать сквиду acl hh dest hh.kz
    и потом прописать http_access allow hh?

    сообщить модератору +/ответить
  • хмм но разница то на лице попробовать убрать acl auth proxy_auth REQUIREDacl pro, !*! asavah (ok), 23:23 , 05-Июн-14 (2)
    >хотя как видно из конфига, он у меня такой же как у всех юзеров

    хмм но разница то на лице.

    попробовать убрать
    acl auth proxy_auth REQUIRED
    acl proxy_ldap external ldapg proxyldap
    http_access allow proxy_ldap
    http_access allow proxy_ldap CONNECT SSL_ports

    и сделать для проверки
    http_access allow localnet
    http_access allow localnet CONNECT SSL_ports

    если проблема исчезнет - пинать LDAP итд.
    так же может помочь:
    cache deny all

    так же стоит обратить внимание на антитвари/брандмауеры/прочую прелесть.

    разница между super_user и just_user где то есть, убивайте/исключайте звенья по одному.

    сообщить модератору +/ответить
  • root proxy07 squid squid -N -d92014 06 06 10 13 10 124 Starting Squid Cache, !*! djeg (ok), 08:24 , 06-Июн-14 (3)
    [root@proxy07 squid]# squid -N -d9
    2014/06/06 10:13:10| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
    2014/06/06 10:13:10| Process ID 1935
    2014/06/06 10:13:10| With 1024 file descriptors available
    2014/06/06 10:13:10| Initializing IP Cache...
    2014/06/06 10:13:10| DNS Socket created at [::], FD 5
    2014/06/06 10:13:10| DNS Socket created at 0.0.0.0, FD 6
    2014/06/06 10:13:10| Adding domain tsb.kz from /etc/resolv.conf
    2014/06/06 10:13:10| Adding nameserver 10.159.7.34 from /etc/resolv.conf
    2014/06/06 10:13:10| Adding nameserver 10.159.4.2 from /etc/resolv.conf
    2014/06/06 10:13:10| User-Agent logging is disabled.
    2014/06/06 10:13:10| Referer logging is disabled.
    2014/06/06 10:13:10| Unlinkd pipe opened on FD 11
    2014/06/06 10:13:10| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
    2014/06/06 10:13:10| Store logging disabled
    2014/06/06 10:13:10| Swap maxSize 0 + 262144 KB, estimated 20164 objects
    2014/06/06 10:13:10| Target number of buckets: 1008
    2014/06/06 10:13:10| Using 8192 Store buckets
    2014/06/06 10:13:10| Max Mem  size: 262144 KB
    2014/06/06 10:13:10| Max Swap size: 0 KB
    2014/06/06 10:13:10| Using Least Load store dir selection
    2014/06/06 10:13:10| Set Current Directory to /var/spool/squid
    2014/06/06 10:13:10| Loaded Icons.
    2014/06/06 10:13:10| Accepting  HTTP connections at [::]:3128, FD 12.
    2014/06/06 10:13:10| HTCP Disabled.
    2014/06/06 10:13:10| Squid plugin modules loaded: 0
    2014/06/06 10:13:10| Adaptation support is off.
    2014/06/06 10:13:10| Ready to serve requests.
    2014/06/06 10:13:11| storeLateRelease: released 0 objects


    acl manager proto cache_object
    acl localhost src 127.0.0.1/32 ::1
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

    acl SSL_ports port 443 60001 8180 8643 8888
    acl Safe_ports port 80          # http
    acl Safe_ports port 21          # ftp
    acl Safe_ports port 443         # https
    acl Safe_ports port 70          # gopher
    acl Safe_ports port 210         # wais
    acl Safe_ports port 1025-65535  # unregistered ports
    acl Safe_ports port 280         # http-mgmt
    acl Safe_ports port 488         # gss-http
    acl Safe_ports port 591         # filemaker
    acl Safe_ports port 777         # multiling http
    acl Safe_ports port 60001 8180 8643 8888 # NUC
    acl CONNECT method CONNECT
    acl POST method POST
    acl GET method GET
    acl hh dst 178.88.114.118
    acl hhid dst 94.124.200.81
    acl hhcdn dst 94.124.200.82
    acl hhid_url url_regex -i hhid\.ru
    acl hh_url url_regex -i hh\.kz
    acl hhcdn_url url_regex -i hhcdn\.ru

    http_access allow manager localhost
    http_access deny manager
    http_access allow hh_url
    http_access allow hh
    http_access allow hhid_url
    http_access allow hhid
    http_access allow hhcdn
    http_access allow hhid_url
    http_access allow all
    http_access allow hh_url hh hhid_url hhid hhcdn hhid_url CONNECT SSL_ports
    http_access allow hh_url hh hhid_url hhid hhcdn hhid_url POST Safe_ports
    http_access allow hh_url hh hhid_url hhid hhcdn hhid_url  GET Safe_ports
    http_access allow all CONNECT SSL_ports
    http_access allow localhost
    cache deny hh
    cache deny hh_url
    cache deny hhid
    cache deny hhid_url
    cache deny all
    http_port 3128
    hierarchy_stoplist cgi-bin ?
    coredump_dir /var/spool/squid
    refresh_pattern ^ftp:         &n... 1440    20%     10080
    refresh_pattern ^gopher:        1440    0%      1440
    refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    refresh_pattern .               0       20%     4320


    это то, что осталось от конфига теперь

    так же пробовались следующие варианты:
    1.
    acl manager proto cache_object
    acl localhost src 127.0.0.1/32 ::1
    acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

    acl SSL_ports port 443 60001 8180 8643 8888
    acl Safe_ports port 80          # http
    acl Safe_ports port 21          # ftp
    acl Safe_ports port 443         # https
    acl Safe_ports port 70          # gopher
    acl Safe_ports port 210         # wais
    acl Safe_ports port 1025-65535  # unregistered ports
    acl Safe_ports port 280         # http-mgmt
    acl Safe_ports port 488         # gss-http
    acl Safe_ports port 591         # filemaker
    acl Safe_ports port 777         # multiling http
    acl Safe_ports port 60001 8180 8643 8888 # NUC
    acl CONNECT method CONNECT
    acl POST method POST
    acl GET method GET

    http_access allow manager localhost
    http_access deny manager
    http_access allow all
    http_access allow all CONNECT SSL_ports
    http_access allow localhost
    cache deny all

    http_port 3128
    hierarchy_stoplist cgi-bin ?
    coredump_dir /var/spool/squid
    refresh_pattern ^ftp:         &n... 1440    20%     10080
    refresh_pattern ^gopher:        1440    0%      1440
    refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
    refresh_pattern .               0       20%     4320

    2.
    http_access allow manager localhost
    http_access deny manager
    http_access allow all
    http_access allow all CONNECT SSL_ports
    http_access allow localhost

    3.
    acl CONNECT method CONNECT
    acl POST method POST
    acl GET method GET
    acl hh dst 178.88.114.118
    acl hhid dst 94.124.200.81
    acl hhcdn dst 94.124.200.82


    http_access allow manager localhost
    http_access deny manager
    http_access allow hh
    http_access allow hhid
    http_access allow hhcdn
    http_access allow all CONNECT SSL_ports
    http_access allow localhost
    cache deny hh
    cache deny hhid
    cache deny hhcdn

    etc.......

    [root@proxy07 squid]# cat /etc/resolv.conf
    search xxx.kz
    nameserver 10.159.7.34
    nameserver 10.159.4.2

    nslookup hh.kz
    Server:         10.159.7.34
    Address:        10.159.7.34#53

    Non-authoritative answer:
    Name:   hh.kz
    Address: 178.88.114.118


    логи:
    мои:
    1402028008.497    726  TCP_MISS/200 53058 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
    1402028008.838    178  TCP_MISS/200 435 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
    1402028008.946    114  TCP_MISS/200 436 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
    1402028009.055    132 1 TCP_MISS/200 1096 GET http://go.youlamedia.com/sjs.php? - DIRECT/95.213.130.123 text/javascript
    1402028009.074    119  TCP_MISS/200 390 GET http://counter.yadro.ru/hit;HH_KZ? - DIRECT/88.212.196.103 image/gif
    1402028009.077    145  TCP_MISS/304 341 GET http://stats.g.doubleclick.net/dc.js - DIRECT/173.194.71.154 -
    1402028009.126     65  TCP_MISS/200 1096 GET http://go.youlamedia.com/sjs.php? - DIRECT/95.213.130.123 text/javascript
    1402028009.132    164  TCP_MISS/200 1205 GET http://dc.cb.b4.a0.top.mail.ru/counter? - DIRECT/217.69.133.145 image/gif
    1402028009.240    107  TCP_MISS/302 685 GET http://www.tns-counter.ru/V13a***R%3E*hh_ru/ru/UTF-8/tmsec=hh_total/359842899 - DIRECT/217.73.200.221 image/gif
    1402028009.256    170  TCP_MISS/200 2737 GET http://counter.rambler.ru/top100.scn? - DIRECT/81.19.88.80 image/gif
    1402028009.317     71  TCP_MISS/200 1823 GET http://go.youlamedia.com/ajs.php? - DIRECT/95.213.130.123 text/javascript
    1402028009.362    118  TCP_MISS/200 390 GET http://counter.yadro.ru/hit;HeadHunter? - DIRECT/88.212.196.103 image/gif
    1402028009.414    168 1 TCP_MISS/200 661 GET http://a.adwolf.ru/getCode? - DIRECT/109.235.208.56 text/html
    1402028009.429    166  TCP_MISS/200 1825 GET http://go.youlamedia.com/ajs.php? - DIRECT/95.213.130.123 text/javascript
    1402028009.452    112  TCP_MISS/200 510 GET http://www.tns-counter.ru/V13b***R%3E*hh_ru/ru/UTF-8/tmsec=hh_total/359842899 - DIRECT/217.73.200.221 image/gif
    1402028009.554    120  TCP_MISS/304 309 GET http://www.google-analytics.com/plugins/ga/inpage_linkid.js - DIRECT/89.218.72.114 -
    1402028009.633     57  TCP_MISS/200 640 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
    1402028009.704     56  TCP_MISS/200 683 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
    1402028009.776    201  TCP_MISS/302 506 GET http://mygpuid.com/? - DIRECT/78.140.152.178 text/html
    1402028009.821     71  TCP_MISS/200 550 GET http://stats.g.doubleclick.net/__utm.gif? - DIRECT/173.194.71.154 image/gif
    1402028009.857    284  TCP_MISS/200 20575 GET http://pagead2.googlesyndication.com/pagead/show_ads.js - DIRECT/173.194.32.173 text/javascript
    1402028009.906     57  TCP_MISS/200 457 GET http://go.youlamedia.com/? - DIRECT/95.213.130.123 image/gif
    1402028009.926    143  TCP_MISS/200 550 GET http://stats.g.doubleclick.net/__utm.gif? - DIRECT/173.194.71.154 image/gif
    1402028010.600    395  TCP_MISS/302 1213 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.32.185 text/html
    1402028010.604    347  TCP_MISS/302 1213 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/173.194.32.185 text/html
    1402028010.812     57  TCP_MISS/200 1286 GET http://go.youlamedia.com/ac.php? - DIRECT/95.213.130.123 text/html
    1402028010.823     68  TCP_MISS/200 1286 GET http://go.youlamedia.com/ac.php? - DIRECT/95.213.130.123 text/html
    1402028010.909     57  TCP_MISS/200 480 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
    1402028010.931     57  TCP_MISS/200 435 GET http://hhcdn.ru/pv? - DIRECT/94.124.200.82 text/javascript
    1402028011.002     71  TCP_MISS/200 703 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif
    1402028011.027     59  TCP_MISS/200 703 GET http://go.youlamedia.com/lg.php? - DIRECT/95.213.130.123 image/gif


    пользователя:

    1402027540.784    117  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
    1402027547.822    166  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
    1402027554.829    161 TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
    1402027561.718     55  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
    1402027568.861    150  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
    1402027575.815    156  TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
    1402027582.762     55  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain
    1402027589.820    150  TCP_MISS/302 374 GET http://hh.kz/hhid/bind? - DIRECT/178.88.114.118 text/plain
    1402027596.925    208  TCP_MISS/302 561 GET http://hh.kz/ - DIRECT/178.88.114.118 text/html
    1402027603.735     56  TCP_MISS/302 533 GET http://hhid.ru/validate/;http;hh.kz;80;/ - DIRECT/94.124.200.81 text/plain

    сообщить модератору +/ответить
расположение файлы squid.conf, !*! Ninjatrasher, (Squid) 21-Май-14, 13:13  [ | | | ] [линейный вид] [смотреть все]
Добрый день. Вопрос следующий:

можно ли сделать так, что бы Squid брал конфиг, расположенный на шаре?

Если да, то как указать сквиду, расположения файлы squid.conf?

Аналогичный вопрос про сквигард.

Ответить | Сообщить модератору
  • Примонтировать шару как папку , !*! Алесандр (?), 13:50 , 21-Май-14 (1)
    Примонтировать шару как папку.
    сообщить модератору +/ответить


web-интерфейс к delay_pools, !*! mitay2, (Ограничение трафика) 22-Май-14, 14:37  [ | | | ] [линейный вид] [смотреть все]
Задача - тормозить скорость некоторым пользователям на некоторые ресурсы.

Условие- удобство администрирования - веб-интерфейс для добавления/удаления пользователей/ресурсов, скорость, учет трафика, отчеты посещаемости и пр.

Пока пользуюсь SAMS, только приходится после каждого реконфигурирования сквида из панели самс добавлять delay_pools для определенных ресурсов, т.к. самс перезаписывает конфиг.

Кто-то знает более изящное решение чем каждый раз редактировать конфиг вручную?
Ответить | Сообщить модератору
  • Не пользовался SAMS, но если я правильно понял задачу, то нужно чтобы SAMS перез, !*! Etch (?), 01:40 , 23-Май-14 (1)
    > Кто-то знает более изящное решение чем каждый раз редактировать конфиг вручную?

    Не пользовался SAMS, но если я правильно понял задачу, то нужно чтобы SAMS перезаписывал не основной конфиг, а вспомогательный, который можно подключать из основного с помощью опции include.

    сообщить модератору +/ответить
Как открыть порты tcp/udp 1930-1940 на squid, !*! Leks3412, (Прозрачный proxy) 16-Май-14, 14:34  [ | | | ] [линейный вид] [смотреть все]
Весь Интернет идет через squid. Можно ли не настраивая iptables открыть порты tcp/udp 1930-1940? Заранее спасибо за помощь!
Ответить | Сообщить модератору
  • http_port 192 168 0 1 3128, !*! Алесандр (?), 15:40 , 16-Май-14 (1)
  • если в iptables выход на них будет закрыт, squid тоже не сможет на них обратится, !*! reader (ok), 17:40 , 16-Май-14 (3)
    > Весь Интернет идет через squid. Можно ли не настраивая iptables открыть порты
    > tcp/udp 1930-1940? Заранее спасибо за помощь!

    если в iptables выход на них будет закрыт, squid тоже не сможет на них обратится.

    сообщить модератору +/ответить
ldapsearch блоикровка, !*! Ninjatrasher, (ACL, блокировки) 12-Май-14, 15:36  [ | | | ] [линейный вид] [смотреть все]
Добрый день.

Проблема в следующем

В наличии Debian + Squid 1.4 + SquidGuard

Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать.

Конфиг SquidGuard:

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log


ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль

ldapcachetime 300

src socialnet_allowed {
            
ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
    domainlist    porn/domains
    urllist        porn/urls
    redirect     http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}

dest socialnetwork {

       domainlist       socialnet/domains
        urllist         socialnet/urls
      redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn...

}

acl     {
    socialnet_allowed {
       pass  !porn socialnetwork
       redirect http://www.foo.bar/allblocked.html
    }
    default {
        pass !porn !socialnetwork    
        redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    }
        
}

Ответить | Сообщить модератору
  • Вот что пишется в логах SquidGard 2014-05-12 18 54 35 10213 New setting dbhom, !*! Ninjatrasher (ok), 18:58 , 12-Май-14 (1)
    Вот что пишется в логах SquidGard:

    2014-05-12 18:54:35 [10213] New setting: dbhome: /usr/local/squidGuard/db
    2014-05-12 18:54:35 [10213] New setting: logdir: /usr/local/squidGuard/log
    2014-05-12 18:54:35 [10213] New setting: ldapbinddn: CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
    2014-05-12 18:54:35 [10213] New setting: ldapbindpass: пароль
    2014-05-12 18:54:35 [10213] New setting: ldapcachetime: 300
    2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/porn/domains
    2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/domains.db
    2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/porn/urls
    2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/urls.db
    2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/socialnet/domains
    2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/socialnet/urls
    2014-05-12 18:54:35 [10213] squidGuard 1.4 started (1399906475.758)
    2014-05-12 18:54:35 [10213] squidGuard ready for requests (1399906475.776)
    2014-05-12 18:54:35 [10214] init urllist /usr/local/squidGuard/db/socialnet/urls
    2014-05-12 18:54:35 [10214] squidGuard 1.4 started (1399906475.762)
    2014-05-12 18:54:35 [10214] squidGuard ready for requests (1399906475.782)
    2014-05-12 18:54:35 [10212] init urllist /usr/local/squidGuard/db/socialnet/urls
    2014-05-12 18:54:35 [10212] squidGuard 1.4 started (1399906475.759)
    2014-05-12 18:54:35 [10212] squidGuard ready for requests (1399906475.783)
    2014-05-12 18:54:36 [10009] Added LDAP source: esovetov
    2014-05-12 18:55:00 [10009] Added LDAP source: stryuk

    Хотя в группе, которая указана в ldapusersearch по факту только esovetov.

    Не понимаю в чем. Очень прошу указания в какую сторону капать или указание на фактическую ошибку в конфиге.

    >[оверквотинг удален]
    > acl  {
    >     socialnet_allowed {
    >        pass  !porn socialnetwork
    >        redirect http://www.foo.bar/allblocked.html
    >     }
    >  default {
    >   pass !porn !socialnetwork
    >   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    >  }
    > }

    сообщить модератору +/ответить
фильтрация логов squid на windows, !*! Reet83, (Учет работы пользователей, логи) 15-Май-14, 09:56  [ | | | ] [линейный вид] [смотреть все]
Добрый день!
Установил squid 2.7 для windows. все ок. файл squid.conf сконфигурировал! прокси работает.
логи посещенных страниц пишутся в файл access.log  все ок.

Но в лог файл пишутся все запросы что у осложняет в дальнейшем анализ какой пользователь был на каких сайтах.

Как задать правило чтоб в лог писались только запросу цельных сайтов например:
mail.ru
google.ru
news.ru
а запросы например:
googleads.g.doubleclick.net
awaps.yandex.ru
ssl.gstatic.com и т.д.  отбраковывались и в лог файл не писались!

Ответить | Сообщить модератору
связка squid+mikrotik, !*! nvpletnev, (Squid) 12-Май-14, 17:43  [ | | | ] [линейный вид] [смотреть все]
Добрый день! Помогите разобраться с проблемой. Ситуация такая, есть микротик 1100 (на нем 3 интерфейса wan-внешний адрес, lan-192.168.1.254/20 и proxy-192.168.1.7/20) и есть машина со сквид 3.1 прозрачный на ubuntu (адрес-192.168.1.5/20). На машине  ubuntu в rc.local прописаны след правила
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.5:3128
route add -net 192.168.0.0 netmask 255.255.240.0 gw 192.168.1.7 dev eth0
На микротике прописан роут до машины со сквидом с маркировкой, в mangle написано правило chain=prerouting action=mark-routing new-routing-mark=to-proxy
passthrough=yes protocol=tcp src-address-list=proizvodstvo dst-port=80.
Сквид собирает логи, все отлично работает,

НО проблема в том, что c компьютеров в сети не проходит пинг на машину с ubuntu, а с машины ubuntu пингуются все компьютеры.

Заранеее благодарю!

Ответить | Сообщить модератору
  • gt оверквотинг удален по дефолту все политики iptables это deny или drop, пот, !*! ipmanyak (ok), 14:27 , 14-Май-14 (1)
    >[оверквотинг удален]
    > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
    > DNAT --to 192.168.1.5:3128
    > route add -net 192.168.0.0 netmask 255.255.240.0 gw 192.168.1.7 dev eth0
    > На микротике прописан роут до машины со сквидом с маркировкой, в mangle
    > написано правило chain=prerouting action=mark-routing new-routing-mark=to-proxy
    > passthrough=yes protocol=tcp src-address-list=proizvodstvo dst-port=80.
    > Сквид собирает логи, все отлично работает,
    > НО проблема в том, что c компьютеров в сети не проходит пинг
    > на машину с ubuntu, а с машины ubuntu пингуются все компьютеры.
    > Заранеее благодарю!

    по дефолту все политики iptables это  deny или drop, потому полагаю на убунту нужно добавить разрешающее правило  протокола icmp  для вашей локали.
    что-то типа:
    iptables  -A INPUT -p icmp -s 192.168.1.0/20 -d 0/0 -j ACCEPT
    iptables  -A OUTPUT -p icmp -s 192.168.1.0/20 -d 0/0 -j ACCEPT


    сообщить модератору +/ответить
Один сайт пустить в обход Squid, !*! shtoff, (Squid) 07-Май-14, 22:42  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте!

Имеется полностью рабочий рутер на Ubuntu 10.04, Squid работает в прозрачном режиме, так же работает Dansguardian для фильтрации по нехорошим словам. При запуске рутера стартует следующий скрипт:
---
#!/bin/sh
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -t nat - A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.9:8081
---
Все работало как надо до тех пор, пока не вырисовался один сайт на Sharepoint, который отказывается принимать авторизацию пока клиент ходит из-за Squid`a. Требуется запустить все локальные компы на конкретный IP адрес в интете напрямую минуя Squid.
Поначитавшись всякого я добавил пятой строкой iptables -A FORWARD -p tcp -i eth1 -d xxx.xxx.xxx.xxx -j ACCEPT и предпоследней строкой iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx/32 -i eth0 -p tcp -j ACCEPT.

Вывод iptables-save:
---
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*nat
:PREROUTING ACCEPT [26297:1969646]
:POSTROUTING ACCEPT [16773:1020025]
:OUTPUT ACCEPT [16773:1020025]
-A PREROUTING -d 31.200.206.190/32 -i eth0 -p tcp -j ACCEPT
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.9:8081
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May  6 21:15:39 2014
# Generated by iptables-save v1.4.4 on Tue May  6 21:15:39 2014
*filter
:INPUT ACCEPT [1305273:1235840308]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [862306:2176859318]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 31.200.206.190/32 -i eth1 -p tcp -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May  6 21:15:39 2014

Это уже с добавленными строчками, IP сайта, на кототрый надо пустить юзеров напрямую, 31.200.206.190
---

И не работает. Пожалуйста, помогите сделать.

Ответить | Сообщить модератору
Squid на Windows 2008 r2, !*! Reet83, (Squid) 07-Май-14, 11:26  [ | | | ] [линейный вид] [смотреть все]
Добрый день!

Установил squid 2.7 для windows. все ок. файл squid.conf сконфигурировал! прокси работает.

при изменении конфига. перезапускаю службу и все ок. но служба перезапускается не быстро.


а вот команда перечтьния конфига: squid.exe -k reconfigure   - выдает ошибку:
C:\squid\sbin>squid.exe -k reconfigure
2014/05/07 14:24:11| parseConfigFile: squid.conf:1 unrecognized: 'я╗┐#'
squid: ERROR: Could not send signal to Squid Service:
missing -n command line switch.


подскажите в чем проблема?

Ответить | Сообщить модератору
  • попробуйте уменьшить shutdown_lifetime, !*! reader (ok), 14:12 , 07-Май-14 (1) +1
    > Добрый день!
    > Установил squid 2.7 для windows. все ок. файл squid.conf сконфигурировал! прокси работает.
    > при изменении конфига. перезапускаю службу и все ок. но служба перезапускается не
    > быстро.

    попробуйте уменьшить shutdown_lifetime

    > а вот команда перечтьния конфига: squid.exe -k reconfigure   - выдает
    > ошибку:
    > C:\squid\sbin>squid.exe -k reconfigure
    > 2014/05/07 14:24:11| parseConfigFile: squid.conf:1 unrecognized: 'я╗┐#'
    > squid: ERROR: Could not send signal to Squid Service:
    > missing -n command line switch.
    > подскажите в чем проблема?

    сообщить модератору +1 +/ответить
Как логировать названия запрошенных сайтов, !*! Siegfried1, (Учет работы пользователей, логи) 06-Май-14, 08:22  [ | | | ] [линейный вид] [смотреть все]
Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.

Есть задача в своей конторе смотреть кто на какие сайты лазиет. Поставил сквид. Но ассеss лог неинформативен (вернее избыточно информативен), т.к. зашёл я допустим на ньюслэнд, а тот прицепом подгрузил картинки и фрэймы с других сайтов, в итоге в логе 10-20 записей вместо просто одной - newsland - новости. Задачи считать веб-трафик у меня нет, нужна только информация о реально запрошенных страницах
На винде в керио фаерволе есть такая закладка www куда записывается конкретная страница, которую запросил пользователь с русским заголовком даже. Можно ли так сделать в сквиде, или какой нибудь другой Unix программе?

Ответить | Сообщить модератору
  • Сквид пишет в лог подробнейшую информацию об активности пользователей Задачу пре, !*! Александр (??), 10:36 , 06-Май-14 (1)
    > Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.
    > Есть задача в своей конторе смотреть кто на какие сайты лазиет.
    > На винде в керио фаерволе есть такая закладка www куда записывается конкретная
    > страница, которую запросил пользователь с русским заголовком даже. Можно ли так
    > сделать в сквиде, или какой нибудь другой Unix программе?

    Сквид пишет в лог подробнейшую информацию об активности пользователей.
    Задачу представления этой информации в удобном для вас виде сквид не решает.
    Для этого есть другие программные продукты. Sarg, LightSquid и еще много других.
    Посмотрите например тут www.opennet.ru/prog/sml/100.shtml
    Или у Гугла спросите.

    сообщить модератору +/ответить
  • Смею предположить, что вы хотите знать, кто, на какую ссылку нажал В общем случа, !*! izyk (ok), 13:09 , 06-Май-14 (3)
    > Уважаемые форумчане, помогите советом начинающему фрибсдэшнику.
    > Есть задача в своей конторе смотреть кто на какие сайты лазиет. Поставил
    > сквид. Но ассеss лог неинформативен (вернее избыточно информативен), т.к. зашёл я
    > допустим на ньюслэнд, а тот прицепом подгрузил картинки и фрэймы с
    > других сайтов, в итоге в логе 10-20 записей вместо просто одной
    > - newsland - новости. Задачи считать веб-трафик у меня нет, нужна
    > только информация о реально запрошенных страницах
    > На винде в керио фаерволе есть такая закладка www куда записывается конкретная
    > страница, которую запросил пользователь с русским заголовком даже. Можно ли так
    > сделать в сквиде, или какой нибудь другой Unix программе?

    Смею предположить, что вы хотите знать, кто, на какую ссылку нажал.
    В общем случае, "squid", не может решить вашу задачу.
    Без помощи доп. ПО на клиетском ПК, нельзя сказать по какой причине,
    идет http трафик.

    сообщить модератору +/ответить
Squid splash page только для браузеров., !*! kabanaus, (Разное) 22-Апр-14, 17:58  [ | | | ] [линейный вид] [смотреть все]
Здравствуте! Есть Линукс сервер с сквидом на борту в клубе. Была задача сделать стартовую страницу для WI-FI сети. Сделал на сквиде через deny_info. Все работает более-мение. Но как оказалось большая часть переадресаций на эту страницу происходит не с браузеров а с других приложений которые используют тот-же http. Засада! Хотел сделать фильтрацию по браузерам, чтоб сессии работали только для списка браузеров но в итоге ничего из этого не вышло.
Вот конфиг: http_port 3128 transparent
acl all src 0.0.0.0/0
acl localnet src 10.0.4.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/32 10.0.4.1
acl to_localhost dst 127.0.0.0/8 10.0.4.1
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 70
acl Safe_ports port 443
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow to_localhost
http_access allow CONNECT SSL_ports
acl br browser Chrome

external_acl_type session ttl=60 negative_ttl=0 children=1 concurrency=200 %SRC /usr/lib/squid/squid_session -t 900
acl new_users external session
acl splash dstdomain 10.0.4.1
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports
http_access deny !new_users br
deny_info http://10.0.4.1/?url=%s new_users br
http_access allow new_users
http_access allow localhost


Как сделать так что-бы браузеры из списка попадали в сессию а другие клиенты типа Skype Viber итд нет. Читал так-же про активный режим конфы для редиректа но я так понимаю там доступ будет ограничен пока клиент не попадет на страницу, а мне нужен полный доступ для всех приложений и лишь что-бы запросы с браузеров переадресовывались.

Ответить | Сообщить модератору
  • http www opennet ru openforum vsluhforumID12 6778 html, !*! reader (ok), 21:23 , 22-Апр-14 (1)
  • gt оверквотинг удален http_access allow new_users br - увеличте уровень ло, !*! reader (ok), 11:11 , 23-Апр-14 (3)
    >[оверквотинг удален]
    > acl Safe_ports port 777
    > acl SSL_ports port 443
    > acl CONNECT method CONNECT
    > http_access allow to_localhost
    > http_access allow CONNECT SSL_ports
    > acl br browser Chrome
    > external_acl_type session ttl=60 negative_ttl=0 children=1 concurrency=200 %SRC /usr/lib/squid/squid_session
    > -t 900
    > acl new_users external session
    > acl splash dstdomain 10.0.4.1

    http_access allow new_users ! br   -?
    > http_access allow manager localhost
    > http_access deny manager
    > http_access deny !Safe_ports
    > #http_access deny CONNECT !SSL_ports
    > http_access deny !new_users br
    > deny_info http://10.0.4.1/?url=%s new_users br
    > http_access allow new_users
    > http_access allow localhost

    увеличте уровень логирования, там будет видно по каким правилам прошли и не прошли проверки

    > Как сделать так что-бы браузеры из списка попадали в сессию а другие
    > клиенты типа Skype Viber итд нет. Читал так-же про активный режим
    > конфы для редиректа но я так понимаю там доступ будет ограничен
    > пока клиент не попадет на страницу, а мне нужен полный доступ
    > для всех приложений и лишь что-бы запросы с браузеров переадресовывались.

    сообщить модератору +/ответить
squid 3.3.8 аутентификация через sasl, !*! kosikdr, (Аутентификация) 21-Апр-14, 10:55  [ | | | ] [линейный вид] [смотреть все]
пытаюсь настроить  аутентификация через sasl!!!

Добавляю пользователя:  
saslpasswd2 -с Login_user  
  
  
в сквиде 2.... работало:  
auth_param basic program /usr/libexec/sasl_auth /etc/sasldb2  
auth_param basic children 5  
auth_param basic realm Squid proxy-caching web server  
auth_param basic credentialsttl 2 hours  
acl USERS proxy_auth REQUIRED  
http_access allow USERS  
  
обновил Сусе автоматом поставился сквид 3.3.8  
пытаюсь настроить авторизацию пользователей.  
1. Сталкнулся что sasl_auth нет такого метода поменял на basic_sasl_auth  
  
auth_param basic program /usr/sbin/basic_sasl_auth /etc/sasldb2  
auth_param basic children 5  
auth_param basic realm Squid proxy-caching web server  
auth_param basic credentialsttl 2 hours  
acl USERS proxy_auth REQUIRED  
http_access allow USERS  
  
Открывая браузер выпадает окно запроса логин\пароль  
ввожу а логин\пароль не проходят.

  
Хотелось бы оставить такой метод авторизации в чем может быть загвоздочка???

Ответить | Сообщить модератору
Как настроить squid, чтобы давал выход в Интернет камере?, !*! Leks3412, (Прозрачный proxy) 21-Апр-14, 13:03  [ | | | ] [линейный вид] [смотреть все]
Как настроить squid, чтобы давал выход в Интернет камере из другой подсети? У меня squid 192.168.0.х, а нужно дать доступ ip-camerе(192.168.1.х)
Ответить | Сообщить модератору
SQUID и  HTTPS, !*! sasiska, (Прозрачный proxy) 18-Мрт-14, 09:57  [ | | | ] [линейный вид] [смотреть все]
Ищу вашей помощи, стоит прокси сервер на squid в связке с редиректором, проблема в том, что squid пропускает весь https в обход себе, то есть люди по https могут заходить на закрытые ресурсы (соц сети, ютуб и тп)

в настройках IPFW ситот:
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80,8080 via ${LanOut}
если добавить строку:
${FwCMD} add fwd 127.0.0.1,3129 tcp from 192.168.0.0/24 to any 443 via ${LanOut}
то https весь перестает работать

в squid.conf
http_port 192.168.0.1:3128 intercept
http_port 192.168.0.1:3129 - добавил, что бы мог слушить второй порт

цель: что бы https проходил так же через squid с редиректором, и пользователи с закрытым доступом не могли залезать на неположенные сайты

в данный момент в IPFW стоит разрешение на весь трафик по 443 порту

Ответить | Сообщить модератору
Как в squid отключить пользователю 80 порт?, !*! AleksKu, (Ограничение трафика) 11-Апр-14, 06:04  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте!
Подскажите пожалуйста как в squid можно отключить пользователю 80 порт?
Операционка FreeBSD 9.1
Заранее спасибо.
Ответить | Сообщить модератору
Skype и ssl-bump, !*! romic, (Squid) 09-Апр-14, 14:35  [ | | | ] [линейный вид] [смотреть все]
Люди, как заставить Skype отправлять сообщения со включенным на Squid ssl-bump??? Сначала была проблема подключения, решил добавлением IP-адресов в исключения для ssl-bump, Skype подключился, получил список контактов, а вот сообщения отправлять не хочет. Может кто сталкивался с таким??? По поиску на форуме ничего не нашел.
Ответить | Сообщить модератору
  • Я не думаю что программа ssl-bump и люди использующие ее приветствуются на опенн, !*! Михаил Свиридов (?), 22:53 , 09-Апр-14 (1)
    > Люди, как заставить Skype отправлять сообщения со включенным на Squid ssl-bump??? Сначала
    > была проблема подключения, решил добавлением IP-адресов в исключения для ssl-bump, Skype
    > подключился, получил список контактов, а вот сообщения отправлять не хочет. Может
    > кто сталкивался с таким??? По поиску на форуме ничего не нашел.

    Я не думаю что программа ssl-bump и люди использующие ее приветствуются на опеннете, RMS против, идите лесов, или же перестаньте ограничивать свободу и приватность пользователей вашей сети.

    сообщить модератору +/ответить
Upload файлов более 20MB, !*! romic, (Squid) 28-Мрт-14, 11:16  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток!

Написал сюда, если не по теме, модераторы, перенесите, пожалуйста, в нужный раздел.

Люди, есть проблема с Upload файлов более 15MB. Дело в том, что я использую ICAP и для передачи файлов более 64kb на сервер c DLP, необходимо перед сборкой Squid в файле /usr/ports/www/squid33/work/squid-3.3.11/src/BodyPipe.h выставить параметр для MaxCapacity =64*1024*1024 (то есть увеличить передачу файлов на сервер до 64MB). Так вот, на сервере с DLP файл в архиве полный, а вот на странице браузера выдается ошибка о том, что не удалось загрузить файл. Прошу сильно не пинать, но куда копать дальше? Может кто-то сталкивался с такой проблемой? Перерыл гугл, ничего не нашел.

Ответить | Сообщить модератору
маршрутизация на iptables, !*! millionaire_kg, (Разное) 01-Апр-14, 15:04  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток!
проблема с перенаправлением трафика в определенный интерфейс.
есть 3 интерфейса + 2 VPN канала на один и тот же сервер:
eth0 = LAN -- ip 192.168.55.1
eth1 = WAN1(dhcp)
eth2 = WAN2(dhcp)
tun0 = VPN канал1 -- ip(192.168.3.2)
tun1 = VPN канал2 -- ip(192.168.2.2)
Надо
1. сделать так чтобы первый vpn тунель поднялся через eth1
1.1 сделать так чтобы все исходящие пакеты на порт 1194 шли через eth1
1.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth1
2. сделать так чтобы второй vpn тунель поднялся через eth2
2.1 сделать так чтобы все исходящие пакеты на порт 1195 шли через eth2
2.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth2
3. сделать двойной маршрут с помощью nexthop или bound

для этого Я делаю:

#сначала задаю таблицы в /etc/iproute2/rt_table
201 vpn1194.out
202 vpn1195.out

#добавляю роли
ip rule add fwmark 1 table vpn1194.out
ip rule add fwmark 2 table vpn1195.out

#Задаю маршрут
/sbin/ip route add default dev eth1 table vpn1194.out
/sbin/ip route add default dev eth2 table vpn1195.out

#маркирую в iptables и отправляю по eth1 и eth2
iptables -t mangle -A PREROUTING -i eth1 -p udp --dport 1194 -j MARK --set-mark 0x1
iptables -t mangle -A PREROUTING -i eth2 -p tcp --dport 1195 -j MARK --set-mark 0x2

#перенаправляю маркированные пакеты в определенные интерфейсы
iptables -t nat -A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 192.168.1.33(eth1)
iptables -t nat -A POSTROUTING -m mark --mark 0x2 -j SNAT --to-source 10.0.0.10(eth2)

в итоге пингую а там пакеты не учитываются а тупо проходят мимо только через интерфейс eth1.
Дайте мне совет что надо делать и что Я не так делаю?

Ответить | Сообщить модератору
  • gt оверквотинг удален пакеты от локальной машины не проходят через -t mangle -, !*! reader (ok), 16:03 , 01-Апр-14 (1)
    >[оверквотинг удален]
    > ip rule add fwmark 1 table vpn1194.out
    > ip rule add fwmark 2 table vpn1195.out
    > #Задаю маршрут
    > /sbin/ip route add default dev eth1 table vpn1194.out
    > /sbin/ip route add default dev eth2 table vpn1195.out
    > #маркирую в iptables и отправляю по eth1 и eth2
    > iptables -t mangle -A PREROUTING -i eth1 -p udp --dport 1194 -j
    > MARK --set-mark 0x1
    > iptables -t mangle -A PREROUTING -i eth2 -p tcp --dport 1195 -j
    > MARK --set-mark 0x2

    пакеты от локальной машины не проходят через -t mangle - PREROUTING

    > #перенаправляю маркированные пакеты в определенные интерфейсы
    > iptables -t nat -A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source
    > 192.168.1.33(eth1)
    > iptables -t nat -A POSTROUTING -m mark --mark 0x2 -j SNAT --to-source
    > 10.0.0.10(eth2)
    > в итоге пингую а там пакеты не учитываются а тупо проходят мимо
    > только через интерфейс eth1.
    > Дайте мне совет что надо делать и что Я не так делаю?

    а что пингуем то?
    оба vpn поднимаются не через ваши таблицы table vpn1194.out, table vpn1195.out


    сообщить модератору +/ответить
как настроить прокси, чтобы он открывал только один сайт, !*! lomaka, (Разное) 31-Мрт-14, 00:15  [ | | | ] [линейный вид] [смотреть все]
Если вопрос глупый, просьба камнями не кидаться.

Есть сервер на centos, на него могу поставить всё, что угодно - squid, 3proxy или openvpn (сейчас стоит openvpn).

Я хочу, чтобы мой сервер могли использовать либо как прокси сервер, либо как VPN сервер все, кто угодно, НО ... только чтобы через меня они могли попадать только на один заданный веб-сайт. Например в каком-нибудь Китае запретили сайт opennet.ru, я не готов пускать через свой сервер миллиард китайцев лазать по всему инету, но например готов дать всем китайцам возможность читать opennet.ru.

Это возможно? Если да, то как? Хотелось бы услышать решения как для proxy серверов, так и для VPN.

Заранее спасибо.

Ответить | Сообщить модератору
Ротация логов squidGuard, !*! Alexx, (Учет работы пользователей, логи) 20-Мрт-14, 18:33  [ | | | ] [линейный вид] [смотреть все]
После ротации в newsyslog логов контроля доступа squidGuard дальнейшее логирование прекращается. Возобновить его можно только после squid -k reconfigure. Нигде не нашел инструкций как же правильно выполнить ротацию. Пока что пришел к такому решению (прописал pid процесса):
/var/log/squidGuard/porno  squid:squid 640 1 200  *     JC    /var/run/squid/squid.pid
Подскажите, может это и есть правильное решение или есть другие подходы?
  
Ответить | Сообщить модератору
  • а че logrotate уже не феншуй , !*! pavlinux (ok), 05:56 , 23-Мрт-14 (1)
    > После ротации в newsyslog логов контроля доступа squidGuard дальнейшее логирование прекращается.
    > Возобновить его можно только после squid -k reconfigure. Нигде не нашел
    > инструкций как же правильно выполнить ротацию. Пока что пришел к такому
    > решению (прописал pid процесса):
    > /var/log/squidGuard/porno  squid:squid 640 1 200  *    
    > JC    /var/run/squid/squid.pid
    > Подскажите, может это и есть правильное решение или есть другие подходы?

    а че logrotate уже не феншуй?

    сообщить модератору +/ответить
Squid  setfib: NONE: invalid FIB (max 0), !*! petr09, (Squid) 15-Мрт-14, 20:05  [ | | | ] [линейный вид] [смотреть все]
Есть учебная сеть без выхода в интернет.
Сервер FreeBsd 9.2.

На него установлено DNS, DHCP.
Установил пакеты  perl-5.12.4_4.tbz, squid-3.1.19.tbz.

rc.conf
hostname="gw.it.com"
keymap="us.unix.kbd"
sshd_enable="YES"
moused_enable="YES"
#Set dumpdev to "Auto" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
ifconfig_em0="inet 22.22.22.21 netmask 255.255.255.252"
ifconfig_em1="inet 10.15.20.1  netmask 255.255.255.0"
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-c /etc/namedb/named.conf"
named_uid="bind"
named_chrootdir="/var/named"
named_chroot_autoupdate="YES"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="em1"
dhcpd_withumask="022"
dhcpd_chuser_enable="YES"
dchpd_withuser="dhcpd"
dhcpd_withgroup="dhcpd"
dhcpd_chroot_enable="YES"
dhcpd_devfs_enable="YES"
dhcpd_rootdir="/var/db/dhcpd"
gateway_enable="YES"
defaultrouter="22.22.22.21"
squid_enable="YES"

#/usr/local/etc/rc.d/squid start
Starting squid.
setfib: NONE: invalid FIB (max 0)
/usr/local/etc/rc.d/squid: Warning: failed to start squid

Помогите решить проблему.

Ответить | Сообщить модератору
SQUID не применяет новые IP (acl), !*! kolinmk, (ACL, блокировки) 17-Фев-14, 14:42  [ | | | ] [линейный вид] [смотреть все]
Добрый день. Возникла необходимость, добавить новый ip в ацл. Добавил применил, доступ запрещён на все сайты, кроме гугл(хотя должны все сайты работать), если вместо нового прописываю любой ип из старых,вписанных, то начинает работать.

acl DFN10 src "/home/server/acl/10.0"
acl FN103 src "/home/server/acl/103.0"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl mail port 1080
acl smtp port 465
acl pop3 port 995
acl 25 port 25
acl 110 port 110


http_access deny all
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access allow DFN10
http_access allow FN103
http_access allow CONNECT
http_access allow localhost manager
http_access allow localhost
http_access allow pop3
http_access allow mail !mail
http_access allow smtp
http_access allow mail
http_access allow 25
http_access allow 110


cache_mem 2048 MB
cache_dir ufs /usr/local/squid/cache 8192 16 256
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
cache_log /usr/local/squid/logs/cache.log


coredump_dir /var/spool/squid3


refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern \.bz2$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.exe$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gif$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.gz$           43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ico$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.jpg$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mid$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.mp3$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.pdf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.swf$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tar$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.tgz$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.zip$          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
#кэш рекламы
refresh_pattern http://ad\.       &n... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://ads\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://adv\.       &... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://click\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://count\.       ... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://counter\.      &nb... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://engine\.      &nbs... 100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://img\.readme\.ru    &nbs... 43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern http://userpic\.livejournal\.com   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-analyze                    43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern \.ru/bf-si                         43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /advs/                             43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /banners/                          43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern /cgi-bin/iframe/                   43200   100%    43200 override-lastmod override-expire ignore-reload ignore-no-cache
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       80%     14400

# cache_effective_user proxy
cache_effective_user server


delay_pools 1
deny_info /home/server/acl/ERR_ACCESS_DENIED.html DFN10
delay_class 1 1
delay_parameters 1 80000/80000
delay_access 1 allow DFN10
delay_access 1 allow FN103
access_log /home/server/acl/acceslog

ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
client_db off
cache_effective_group server


вот так выглядит файл ацл:
192.168.10.11/32
192.168.10.14/32
192.168.10.15/32
192.168.10.16/32
192.168.10.17/32
192.168.10.19/32
192.168.10.23/32
192.168.10.26/32
192.168.10.3/32
192.168.10.32/32
192.168.10.33/32
192.168.10.34/32
192.168.10.4/32
192.168.10.44/32
192.168.10.5/32
192.168.10.6/32
#эти два новых никак не хотят.
192.168.10.7/32
192.168.10.9/32


Ответить | Сообщить модератору
просмотр логов dansguardian, !*! DethKlok, (Squid) 12-Мрт-14, 10:58  [ | | | ] [линейный вид] [смотреть все]
Посоветуйте анализатор лог-файла dansguardian или можно как нибудь настроить sarg для просмотра? просто я настроил связку squid+dansguardian+sarg, анализатор лог-файла в данный момент настроен на логи кальмара, и в логах я получаю лишь 127.0.0.1 а хотелось бы вместо этого реальные айпишники пользователей
Ответить | Сообщить модератору
  • Лентяй, хоть бы в вики данса глянул If you nevertheless find it necessary to ana, !*! tonys (??), 14:29 , 12-Мрт-14 (1)
    > Посоветуйте анализатор лог-файла dansguardian или можно как нибудь настроить sarg для просмотра?
    > просто я настроил связку squid+dansguardian+sarg, анализатор лог-файла в данный момент
    > настроен на логи кальмара, и в логах я получаю лишь 127.0.0.1
    > а хотелось бы вместо этого реальные айпишники пользователей

    Лентяй, хоть бы в вики данса глянул

    If you nevertheless find it necessary to analyze the Squid stub logs, the first issue that will occupy your attention will probably be that everything in the Squid log appears to originate from the same address, 127.0.0.1 (“localhost” or “loopback”). This makes sense as in this environment all requests to Squid come from DansGuardian. You may desire to instead have the Squid logs point at the “real” originating IP rather than at DansGuardian.

    To do this, you'll need to both 1) have DansGuardian forward the information to Squid (which would otherwise not even have the information and so of course not be able to display it), and 2) have Squid include the information in its logs.

    To make 1) happen, set forwardedfor = on in dansguardian.conf. This will cause DansGuardian to add an X-Forwarded-For: header containing the IP address of the real originator to every web request it passes to Squid.

    To make 2) happen is different for different releases of Squid, and will usually (but not always) happen by default. For Squid 2.5 and before, you must apply a source code patch and rebuild Squid. The source code patch is available on the DansGuardian website by clicking on “Extras and Add-Ons” and under the “3rd Party plugins and patches for squid” heading fetching “Patch for squid that makes it log the X-Forwarded-For IP”. For Squid 2.6 and 2.7, set log_uses_indirect_client on (which in turn requires something like follow_x_forwarded_for allow localhost) in squid.conf. (This is the default Squid configuration, so it may work without explicit settings.) For Squid 3.0, set forwarded_for on in squid.conf. (This is the default Squid configuration, so it may work without explicit settings.)

    сообщить модератору +/ответить
  • Ну, что же ты, друг Ну напрягись немного Всего чуть-чуть Конфигурационные файл, !*! михалыч (ok), 17:40 , 12-Мрт-14 (2)
    > Посоветуйте анализатор лог-файла dansguardian или можно как нибудь настроить sarg для просмотра?
    > просто я настроил связку squid+dansguardian+sarg, анализатор лог-файла в данный момент
    > настроен на логи кальмара, и в логах я получаю лишь 127.0.0.1
    > а хотелось бы вместо этого реальные айпишники пользователей

    Ну, что же ты, друг? Ну напрягись немного! Всего чуть-чуть!
    Конфигурационные файлы как squid, так и самого dansguardian очень хорошо прокомментированы.

    Итак, смотрим:
    в dansguardian.conf

    # Если включено (on), то это добавляет X-Forwarded-For: <clientip> в заголовке
    # запроса HTTP. Это решение может помочь на некоторых проблемных участках,
    # на которых необходимо знать IP-источника.
    # on | off
    forwardedfor = on

    в squid.conf (если нет - добавить, если есть - проверить, включено ли)

    #  TAG: follow_x_forwarded_for
    #       Разрешить или запретить заголовок X-Forwarded-For для отслеживания
    #       и поиска оригинального источника запроса.
    #
    #       Запросы могут пройти через цепочку из нескольких прокси до того,
    #       как достигнут нас. Заголовок X-Forwarded-For будет содержать
    #       разделенный запятыми список IP-адресов, последний адрес в цепи
    #       справа будет самым последним.
    #
    #       Если запрос доходит до нас от источника, в котором разрешен этот элемент
    #       конфигурации, то мы обращаемся к заголовку X-Forwarded-For, чтобы увидеть,
    #       от кого этот узел получил запрос. Если заголовок X-Forwarded-For содержит
    #       несколько адресов, мы продолжаем поиск с возвратом до тех пор, пока не
    #       достигнем адресов, у которых мы не можем отслеживатть заголовок
    #       X-Forwarded-For, или до тех пор, пока мы не достигнем первого адреса в
    #       списке. Для списков ACL, используемых в директиве follow_x_forwarded_for,
    #       тип директивы src ACL всегда совпадает с адресами, которые мы проверяем и
    #       srcdomain соответствует его rDNS.
    #
    #       Конечным результатом этого процесса является IP-адрес, на который мы
    #       будем ссылаться в качестве косвенного адреса клиента. Этот адрес можно
    #       рассматривать как адрес клиента для контроля доступа, ICAP, пулов задержки
    #       и регистрации, в зависимости от параметров acl_uses_indirect_client,
    #       icap_uses_indirect_client, delay_pool_uses_indirect_client и
    #       log_uses_indirect_client.
    #
    #       ВОПРОСЫ БЕЗОПАСНОСТИ:
    #
    #               Любой узел, у которого мы отслеживаем заголовок X-Forwarded-For
    #               может поместить неверные сведения в заголовке, и Squid будет
    #               использовать неверную информацию, как будто это адрес источника
    #               запроса. Это может позволить удаленным хостам обойти любые
    #               ограничения контроля доступа, основанные на исходном адресе клиента.
    #
    #       Например:
    #
    #               acl localhost src 127.0.0.1
    #               acl my_other_proxy srcdomain .proxy.example.com
    #               follow_x_forwarded_for allow localhost
    #               follow_x_forwarded_for allow my_other_proxy

    follow_x_forwarded_for allow localhost

    сообщить модератору +/ответить
кешивать ютуб на сквиде ?, !*! smsm, (Прозрачный proxy) 20-Дек-13, 00:52  [ | | | ] [линейный вид] [смотреть все]
кешировать ютуб возможно на сквиде ?
есть где почитать ?
Ответить | Сообщить модератору


 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру