немного погуглил понял что необходимо открыть порты
пробую allow tcp from any to any 110 out via em0 setup keep-state
ошибок не выдает но зато почта вообще прекращает работать ну и соответствен прописывал на порты 53, 25, 995. Вставлял их после 350 правила

вроде правильно, внедряйте, разрешаю!

> ПАМАГИТЕ!!!
> Че делать?

создать заново, выполнив
squid -z
затем рестарт сквида, экстремал ))

Используйте автонастройку прокси. Почитайте про WPAD(Web Proxy Auto-Discovery Protocol ) и PAC (Proxy auto-config). Все очень просто настраивается...

> Есть два прокси на двух разных серверах. 1ый сервер основной и IP
> этого сервера прописан у всех пользователей. Пользователи не знают о существовании
> 2ого прокси сервера. Задача перенаправить(переадресовать) все http-запросы, которые
> совпадают под доменом "*.com" на 2ой прокси. По проще говоря, чтобы
> все "*.com" запросы шли на другой 2 прокси сервер.
> Надо чтобы все это прозрачно было, чтобы пользователи не меняли у себя
> в браузере настройки прокси сервера, когда они захотят

Я делал через cache_peer + acl url_regex + cache_peer_access.

Сейчас смотрю, есть такой cache_peer_domain [и acl dstdomain] и, возможно, правильнее было делать cache_peer + cache_peer_domain.

> Может в каких-то прогах явно есть такие возможности. Дайте варианты,

Ммм... В squid-е же.

> домена  dc по адресу 192.168.0.33 проходит. Подскажите как правильно настроить
> сеть, чтобы и внутри домена компутеры отвечали по имени и в
> сторону интернета был выход для работы SQUID.

Настрой DNS-серверы 192.168.0.33 и 192.168.0.34, чтобы они знали, как найти любой адрес, а только из kontora.pupkin.ru.

Свойство называется "recursive DNS", в разных серверах настраивается по-разному. Например, в djbdns нужно запустить демон dnscache.

> Добрый день! Имеется сервер Ubuntu 12.04, на нем установлен Squid с авторизацией
> пользователей из AD с помощью Kerberos. На Ubunte установлено две сетевые

Зачем "мульен" ДНС-ов? ДНС крутите на контроллере домена (DC), там же настраиваете серверы пересылки...теже DNS от Гугль 8.8.8.8 или другие по вкусу и скорости

поправка на Squid2 TCP_MISS/200, а не 400

> В общем есть 2 прокси: Squid 2.6.STABLE21 и Squid 3.1.19
> Настройки acl и аутентификации одинаковы, находятся в одной подсети.
> Вопрос почему на Squid3 504?

Не факт что логика acl, http_access и etc в этих версиях одинаковая.
Сталкивался с тем что на некоторых 2.x и 3.x, одинаковые правила вели себя по разному.

UPD: DNS одинаковые прописаны? Правила firewall?

> Доброго время суток. Не могу решить проблему с некоторыми сайтами выдает на
> странице "В настоящий момент доступ к сервису через прокси сервер запрещен".
> Моя конфигурация прокси сервера FreeBSD 9.2 + DNS+ IPFW + Squid
> 3.3.8.(прозрачный )+ LightSquid. Каким способам возможно впустить людей на такие ресурсы.
> В инете нарыл про forwarded_for delete (в стандартном конфиге отсутствует данная
> строчка forwarded), но после какой строчки прописать его не могу сообразить.
> Зарание спасибо откликнувшемся.

Спс, метод проб и ошибок никто не отменял. Но как зделать чтоб тока определенные пользователи могли получать forwarded_for delete, и в определенное время

man cron
man crontab

не помог
подскажите где и что поправить

> Помогите настроить SARG.
> Необходимо сделать так, чтобы SARG самостоятельно ежедневно формировал отчет. А отчеты,
> скажем так, старше 3 месяцев удалял.

Начни отсюда: http://samag.ru/archive/article/700

Разумеется, пропусти сборку calamaris и squid, если ставишь их из пакетов.

> Заранее благодарен.

готовый рецепт не дам, но в общем случае нужно найти шаблон html страницы и поправить его. Минут за 10 управитесь

>[оверквотинг удален]
> rm -f pass.o raw_change.o load_cache.o pcre.o parse_input.o init_vars.o check_urls.o
> run_make_cache.o new_url.o redirect.o err_mes.o now.o get_opt.o parse_urls.o cache2url.o
> ip.o id.o comparing.o  load_urls.o prune_urls.o write_cache.o need_cache_update.o err_mes.o
> now.o get_opt.o parse_urls.o cache2url.o ip.o id.o comparing.o  redirector make-cache
> OUT rejik3.zip rejik3/*
> gcc -Wall -I/usr/include -I/usr/local/include -I/usr/include/pcre -c pass.c
> In file included from pass.c:3:0:
> vars.h:2:18: fatal error: pcre.h: Нет такого файла или каталога
> compilation terminated.
> make: *** [pass.o] Ошибка 1

aptitude install libpcre3-dev
   или
yum install pcre-devel
   или
emerge -s pcre
   или
...

> Возможно ли как то побороть данную проблему? Необходимо, чтобы пользователи работали и
> так и так.

Написать вторую директиву http_port, или как там её, без слова transparent, или как там его. На _другом номере порта.

> вот конфиг
> http://pastebin.com/6S7q5aJw

Конфиг сюда постить уже не модно?
сделайте
grep '^[^#]' /path/to/squid.conf
и покажите здесь оставшееся.

Для начала отвечаем себе на вопрос, как работает https?

А сквид у вас скомпилировался, а вот линкер не нашел библиотек.

>[оверквотинг удален]
> make[3]: *** [basic_ncsa_auth] Error 1
> make[3]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth/NCSA'
> make[2]: *** [all-recursive] Error 1
> make[2]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth'
> make[1]: *** [all-recursive] Error 1
> make[1]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers'
> make: *** [all-recursive] Error 1
> ====================================================================================================================================================================================
> Может кто знает как компилировать или где достать готовую компиляцию с https?
> Спасибо!

Для начала посмотри через sockstat | grep 3535 что за процесс слушает этот порт. Потом посмотри в /var/log/messages, что за ошибки были во моменты "падений". А заодно и в /var/squid/log посмотри.

> Стоит Squid на freebsd. С этими системами сталкиваюсь впервые. В чем проблема,
> время от времени падает squid, вроде как говорит, что порт занят,
> а потом "Cannot HTTP..."
> Cannot bind socket FD 23 to *:3535: (48) Address already in use
> FATAL: Cannot open HTTP Port
> обычно падение кратковременное и перезагрузка squidа через скрипт помогает, но вот уже
> 2 раза за 2 месяца падения "глобальные". Выдает сообщение которые выше...Вроде
> разрешаю эти проблемы, но хотелось бы, чтобы их не было. Ребята,
> помогите разобраться, что нужно делать? Какие логи и конф необходимо предоставить?
> Спасибо.

Проверьте что у вас написано в конфиге скида в http_port
возможно вместо http_port 0.0.0.0:3535  написано http_port 3535
лучше  указать конкретный Ip адрес или  localhost, смотря как у вас юзается сквид:
http_port 192.168.0.2:3535
http_port 127.0.0.1:3535  

Проверьте после НЕзапуска сквида какая программа слушает этот порт:
netstat -antup | grep 3535 | more

покажите полный кусок старта сквида с ошибкой  из лога cache_log
Падает в какие моменты? После   squid -reconfigure ? После ротации логов?

Ну так как телепаты в отпуске, ни версии ОС ни тип не написан, то по
пробуем угадать: Мммм... Если у вас Centos/RHEL нужно SELinux отключить.
Нужно сменить "enforcing" на "disabled" в '/etc/selinux/config' и перезагрузиться.

> При попытке открыть страницу брауйзер долго
> и нудно чего-то ждет.

Дожидается?

> в access.log запрос от клиента виден

и что там говорят?

> подскажите как найти причину этой загадки

брать в руки tcpdump ,  смотреть содержимое пакетов между проксей и клиентом.

> по всем тестам должно все работать, но оно не работает
> подскажите как найти причину этой загадки

Ну, если по всем "текстам" должно, а не работает - это явно какое-то большое колдунство, не иначе.

> Привет.
> Должен настроить сквид сервер, чтобы фильтрация происходила по мак адресам и по
> базе данных. Ну типо пропускал только те компы, мак адреса которых
> на базе есть. Ну вообще external_acl_type не получилось использовать, есть кто
> разбирается?

http://bit.ly/ILOJhM

> Понятно что нужно переделать пул в Class 4. Но не до конца
> понимаю его работу.

Нет, понятно, что тому одному нужно написать поол_аццесс денай, а совсем не то, что тебе там понятно.

> Добрый день,
> Прошу помочь собрать сквид без ротации логов, только эта опция мешает и
> периодически убивает его. Никакие способы отключения ротации логов не помогают.
> Ошибка:
> storeDirWriteCleanLogs: Starting...
> FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Отключить [системную, logrotate] ротацию логов, http://traffpro.ru/forum/textversion.html?t2541 говорят.

> Squid хочет очистить логи, это видно из:
> storeDirWriteCleanLogs: Starting...

storeDir - это не те Logs, которые Вам нужны. [И рукой так--->]

/*
* storeDirWriteCleanLogs
*
* Записывает "чистый" файл журнала подкачки из в памяти метаданных.
* Это переписывание исходной функции троллить друг
* StoreDir и писать журналы, и флеш в конце
* Пробег. Спасибо идет Эрику Стерн, так как это решение
* Вышел из своего COSS кода.
*/

Спасибы идут translate.google.com

/*
*  storeDirWriteCleanLogs
*
*  Writes a "clean" swap log file from in-memory metadata.
*  This is a rewrite of the original function to troll each
*  StoreDir and write the logs, and flush at the end of
*  the run. Thanks goes to Eric Stern, since this solution
*  came out of his COSS code.
*/

Ротация логов в сквиде
#  TAG: logfile_rotate
#       Specifies the number of logfile rotations to make when you
#       type 'squid -k rotate'.  The default is 10, which will rotate
#       with extensions 0 through 9.  Setting logfile_rotate to 0 will
#       disable the rotation, but the logfiles are still closed and
#       re-opened.  This will enable you to rename the logfiles
#       yourself just before sending the rotate signal.
#      
#       Note, the 'squid -k rotate' command normally sends a USR1
#       signal to the running squid process.  In certain situations
#       (e.g. on Linux with Async I/O), USR1 is used for other
#       purposes, so -k rotate uses another signal.  It is best to get
#       in the habit of using 'squid -k rotate' instead of 'kill -USR1
#       <pid>'.
#      
#Default:
logfile_rotate 10
------
If you set logfile_rotate to 0, Squid simply closes and then re-opens the logs. This allows third-party logfile management systems, such as newsyslog, to maintain the log files.
---------------
Кроме того юзается файл  /etc/logrotate.d/squid
Который имхо можно просто удалить.
p.s.
http://www.squid-cache.org/mail-archive/squid-users/200610/0...

> Поставил Squid для раздачи интренет в офисе и в других отдаленных магазинах,
> которые подключены по vpn провайдера. Сдеал его прозрачным, порт 8080 указал.
> В удаленных магазинах прописываю и в офиссе в настройках браузера прокси,
> все отлично работает. Но есть проблема, в магазинах кассы, к ним
> подключены сбер банковские терменалы, через com, порты. Сами теременалы соеденияються
> через telnet посредтсвом этих касс, в tcp/ip прописываю шлюз прокси сервера
> где стоит Squid, но при этом telnet не работает. А вот
> при прокси сервер wingate(ухожу от него ) все в порядке, работает.
> Подскажите в чем проблема. Что нужно еще прописать? Спасибо.

ACL в студию ( где ip адреса, порты, протоколы )
Заодно и сам там посмотри ...

Кусок лога squid при обращении кассы ...

>[оверквотинг удален]
> PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси?
> Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный,
> с такими же настройками и со своим wpad.dat. Между ними работает
> ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая
> раздавать WPAD.dat по тому же адресу, но уже с другим содержанием,
> указывая что прокси сервер - он, а не умерший.
> Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos
> аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал
> :(
> Простите за большое количество текста.

механизм WAPD подразумевает поиск настроек в различных местах в том числе dhcp/dns с последующим запросом url через http -- уверен (libastral подсказал) что проблема в этом.

>[оверквотинг удален]
> Так вот, на squid мне нужно как-то определять, что пользователь идет через
> Координатор VipNet, или он идет напрямую.
> Для чего? Для того, что по заданию партии, когда пользователь идет в
> интернет напрямую у него одни доступы, когда через координатор открытого интернета
> - другие, более расширенные.
> Пока придумал только запускать 2 экземпляра squid. Но вопрос - можно ли
> использовать один кэш или нужно будет 2? И вообще, как лучше
> запустить 2 копии squid - может кто даст пошаговую инструкцию, было
> бы здорово...
> А может посоветуете другой способ?

ttl?

>[оверквотинг удален]
> auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
> так вот если в браузере прокси и порт прописаны то всё ходит
> как надо, а если нет трафик заворачивается и сквид никого не
> пускает. пишет что
> he requested URL could not be retrieved
> При получении URL http://www.yandex.ru/? произошла следующая ошибка
> Доступ запрещён.
> Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему
> администратору.
> Что ж ему надо????

http://www.squid-cache.org/Doc/config/auth_param/
http://break-people.ru/cmsmade/index.php?page=translate_squi...

WARNING: authentication can't be used in a transparently intercepting
proxy as the client then thinks it is talking to an origin server and
not the proxy. This is a limitation of bending the TCP/IP protocol to
transparently intercepting port 80, not a limitation in Squid.
Ports flagged 'transparent', 'intercept', or 'tproxy' have
authentication disabled.

> После смены провайдера squid стал резать входящую скорость на freebsd 8.2
> После переноса конфигурации на 9.2 ситуация не изменилась

а на чём осyовывалось мнение что смена фряхи что-то изменит?

очередной искалеченый?

>Привет специалисты!
>Проблема заключается в следующем, на шлюзе FreeBSD7.0 nat+ipfw+squid порядка тридцати юзеров ходят
>в "мир", и вроде бы все ничего, сквида ведет себя корректно,
>но как только пользователи пытаются отправить письмо с аттачем больше 100
>килобайт возникают тормоза и mail.ru на своей странице выводит ошибку.
>Прокси у меня прозрачный, пробовал в обход его, все на ура.
>Если есть кто сталкивался с проблемой такого рода - ОТЗОВИТЕСЬ!!!

Ну так как решил вопрос?  Имеется такая же проблема, только прокси не прозрачный и с BASIC-авторизацией.

> Привет специалисты!
> Проблема заключается в следующем, на шлюзе FreeBSD7.0 nat+ipfw+squid порядка тридцати
> юзеров ходят в "мир", и вроде бы все ничего, сквида ведет
> себя корректно, но как только пользователи пытаются отправить письмо с аттачем
> больше 100 килобайт возникают тормоза и mail.ru на своей странице выводит
> ошибку.
> Прокси у меня прозрачный, пробовал в обход его, все на ура.
> Если есть кто сталкивался с проблемой такого рода - ОТЗОВИТЕСЬ!!!

на самом деле все штатно решается с помощью директивы broken_posts, например:
acl bad_server dstdomain .mail.ru
broken_posts allow bad_server

> Привет специалисты!
> Проблема заключается в следующем, на шлюзе FreeBSD7.0 nat+ipfw+squid порядка тридцати
> юзеров ходят в "мир", и вроде бы все ничего, сквида ведет
> себя корректно, но как только пользователи пытаются отправить письмо с аттачем
> больше 100 килобайт возникают тормоза и mail.ru на своей странице выводит
> ошибку.
> Прокси у меня прозрачный, пробовал в обход его, все на ура.
> Если есть кто сталкивался с проблемой такого рода - ОТЗОВИТЕСЬ!!!

Я решил добавление директивы
client_request_buffer_max_size 50 Mb

Можно конечно и больше, полет нормальный!

Возможно ваша ситуация  - https://forum.sysadmins.su/index.php?showtopic=16314

> Помогите, пожалуйста, настроить делэй пулз.

Нет инета - это не делей, а акцесс, наверное.

> Есть два листа пользователей, одним (inet_full) даю безграничный интернет, вторым (inet_users)
> - ограниченный.
> Но суть в том, что при запуске этого конфига, у безграничных интернет
> по хттп есть, а у ограниченных - нет вообще. Всю голову
> http_access allow inet_full
> http_access deny deny_url
> http_access deny deny_domains
> http_access deny !safe_ports
> http_access allow inet_users

* Опечатка, нет прав на файл списка или пустой файл acl inet_users
* Пустой или не включающий, например, 80-й список acl safe_ports
* Опечатка/ошибка в списке deny_domains -- например, сопоставляется с любым url.

>[оверквотинг удален]
> Пример:
> 1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
> 2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
> 3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client C
> Прокси сервер блокирует клинта В по МАС адресу без проблем, потому что
> клиент В находится в одной подсети с прокси сервером.
> Прокси сервер не может блокирует клинта С по МАС адресу, потому что
> клиент С находится в другой подсети с прокси сервером.
> Самое странное в Windows CCPROXY фильтрирует клиента по МАС, а в Линуксе
> я не могу найти решение!Пожалуйста помогите !!!

Можно сверху на Squid установить бесплатную версию  traffpro 1.3.8  или 1.3.6. Трафик по 80 завернуть на Squid, в Squid настроить блокировки и т.д. Проверку по Mac адресу и IP будет.делать traffpro, и фильтрацию контента - Squid. Traffpro - отлично работает с подсетями, все настраивается быстро.
Это как вариант решения проблемы.
Кстати можно еще настроить PPTP доступ в Интернет, будет два типа подключения IPoE и PPTP, для бизнес центра в 200-300 компов самое-то.