Добрый день. Помогите разобраться с правильной до настройкой.
Построение сети такого роутер(в настройках от провайдера тока по DHCP но при этом имеется IP 37.ххх.ххх.ххх компании, в внутрь сети IP 192.168.1.0)+FreeBSD 9.2(wan-192.168.1.10,lan-91.0.0.10) + DNS+ IPFW + Squid 3.3.8.(прозрачный )+ LightSquid.
91.0.0.5 windows AD DNS
91.0.0.200 exchange подвязан к AD

Соответственно почта уходит но не приходит

ifconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
    ether 68:05:ca:05:f8:82
    inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
    inet6 fe80::6a05:caff:fe05:f882%em0 prefixlen 64 scopeid 0x2
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
    ether d4:be:d9:c9:5d:a2
    inet 91.0.0.10 netmask 0xffffff00 broadcast 91.0.0.255
    inet6 fe80::d6be:d9ff:fec9:5da2%re0 prefixlen 64 scopeid 0x3
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
    inet6 ::1 prefixlen 128
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

rc.conf

hostname="proxyozon.ukrtextil"
keymap="ru.koi8-r.kbd"
ifconfig_em0=" inet 192.168.1.10 netmask 255.255.255.0"
ifconfig_re0=" inet 91.0.0.10 netmask 255.255.255.0"
defaultrouter="192.168.1.1"
sshd_enable="YES"
powerd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"

gateway_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/fw_script.proxy"
named_enable="YES"
named_auto_forward="YES"
squid_enable="YES"
apache22_enable="YES"
ntpd_enable="YES"
ntpd_program="/usr/local/bin/ntpd"

fw_script.proxy

exface="em0"
inface="re0"

in_ip="91.0.0.10"

loc_net="91.0.0.0/24"

pre_com="ipfw -q"

$pre_com -f flush

$pre_com add 100 allow ip from any to any via lo0

$pre_com add 200 deny ip from any to 127.0.0.0/8

$pre_com add 300 deny ip from 127.0.0.0/8 to any

$pre_com add 350 allow tcp from me to any out via $exface keep-state uid squid

$pre_com add 360 fwd 127.0.0.1,3128 tcp from $loc_net to any 80 out via $exface

$pre_com add 400 allow all from any to any via $inface

$pre_com nat 1 config log if $exface reset same_ports deny_in

$pre_com add 1030 nat 1 ip from any to any via $exface

Я новичок, подскажите куда что прописать чтоб почта получала письма  

Добрый день.
Прошу не пинать шибко)
Связка squid+squidGuard. Нужно в обеденный перерыв всем разрешить все, запретив в остальное. Делаю прикидку...Правильно, нет?? Подскажите..

time Lunchtime {
weekly * 13:00-14:00   #Lunch time
}

src admin {
       ip 192.168.1.11
        }

src LAN {
        ip 192.168.11.0/24
        }

dest ads {
        domainlist      ads/domains
        urllist         ads/urls
}

dest audio-video {
        domainlist      audio-video/domains
        urllist         audio-video/urls
}

dest porn {
        domainlist      porn/domains
        urllist         porn/urls
}

dest warez {
        domainlist      warez/domains
        urllist         warez/urls
}

acl {

admin {
       pass  any
         }

LAN within Lunchtime {
         pass any
     }
  
    
else {
    pass !ads !audio-video !porn !warez all

      }

default {
       pass none
       redirect http://dzen.yandex.ru/
        }
    
}

настройки сквида
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
cache_dir ufs /var/spool/squid3 100 16 256
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320
memory_pools off
memory_pools_limit 500 MB

при таких настройках на пользовательском компе указываю прокси сервер 192.168.1.151:3128 саты типа ubuntu.ru, ngs.ru microsoft нормально открываются, а вот к примеру google.com, vk.com, ya.ru уже не открываются просто белая страница, а если прописать вместо google.com  ip-адрес сайта то он махом открывается. Помогите пожалуйста в чем может быть проблема?

Всем здравствуйте!
Как сказано в заголовке, удалил содержимое папки /var/spool/squid/cache, после чего перезагрузил систему (unix FreeBSD v. 3.6 что ли...) и все, squid 2.5 stable13 не запускается.
Предыстория: squid выключался на ровном месте при загадочных обстоятельствах и стартовать не хотел. Что бы его стартануть, приходилось перезагружать систему. После одной перезагрузки залез в cache.log, где обнаружил следующую инфу:

2014/02/26 09:03:30| Done reading /var/spool/squid/cache swaplog (72649 entries)
2014/02/26 09:03:30| Finished rebuilding storage from disk.
2014/02/26 09:03:30|     38579 Entries scanned
2014/02/26 09:03:30|         0 Invalid entries.
2014/02/26 09:03:30|         0 With invalid flags.
2014/02/26 09:03:30|     17590 Objects loaded.
2014/02/26 09:03:30|         0 Objects expired.
2014/02/26 09:03:30|      1268 Objects cancelled.
2014/02/26 09:03:30|      1655 Duplicate URLs purged.
2014/02/26 09:03:30|     19721 Swapfile clashes avoided.
2014/02/26 09:03:30|   Took 1.5 seconds (11400.8 objects/sec).
2014/02/26 09:03:30| Beginning Validation Procedure
2014/02/26 09:03:30|   Completed Validation Procedure
2014/02/26 09:03:30|   Validated 15935 Entries
2014/02/26 09:03:30|   store_swap_size = 524012k
2014/02/26 09:03:32| storeLateRelease: released 0 objects
2014/02/26 09:03:32| WARNING: Disk space over limit: 522308 KB > 102400 KB
2014/02/26 09:03:44| WARNING: Disk space over limit: 500532 KB > 102400 KB
2014/02/26 09:03:55| WARNING: Disk space over limit: 488484 KB > 102400 KB
2014/02/26 09:04:07| WARNING: Disk space over limit: 479424 KB > 102400 KB
2014/02/26 09:04:13| WARNING: 1 swapin MD5 mismatches
2014/02/26 09:04:19| WARNING: Disk space over limit: 468148 KB > 102400 KB
2014/02/26 09:04:31| WARNING: Disk space over limit: 457812 KB > 102400 KB
2014/02/26 09:04:42| WARNING: Disk space over limit: 440344 KB > 102400 KB
2014/02/26 09:04:53| WARNING: Disk space over limit: 422236 KB > 102400 KB
2014/02/26 09:04:55| ipcacheParse: No Address records in response to 'ipv6.msftncsi.com'
2014/02/26 09:04:55| ipcacheParse: No Address records in response to 'ipv6.msftncsi.com'
2014/02/26 09:05:04| WARNING: Disk space over limit: 403540 KB > 102400 KB
2014/02/26 09:05:15| WARNING: Disk space over limit: 389896 KB > 102400 KB
2014/02/26 09:05:26| WARNING: Disk space over limit: 329528 KB > 102400 KB
2014/02/26 09:05:37| WARNING: Disk space over limit: 278492 KB > 102400 KB
2014/02/26 09:05:48| WARNING: Disk space over limit: 240824 KB > 102400 KB
2014/02/26 09:06:00| WARNING: Disk space over limit: 212468 KB > 102400 KB
2014/02/26 09:06:12| WARNING: Disk space over limit: 185104 KB > 102400 KB
2014/02/26 09:06:24| WARNING: Disk space over limit: 165044 KB > 102400 KB
2014/02/26 09:06:35| WARNING: Disk space over limit: 155568 KB > 102400 KB
2014/02/26 09:06:46| WARNING: Disk space over limit: 124880 KB > 102400 KB

Начал ковырять интернеты, подсказали просто почистить кэш путем удаления содержимого папки /cache. Что я, собственно, и сделал. Единственно, я не помню, но, по моему, я не выгрузил squid. И, как я прочел позже, нельзя удалять swap.state и др. папки не выключив squid. Мало того, я удалил файлы и тутже перезагрузил систему. После чего, собственно, squid не включается. А у меня все юзеры сидят через проксик, даже почта работает на том же серваке с использованием настроек squid, так как щас почта тоже не фурычит.

Теперь обо мне, я сегодня впервые сталкнулся с этим FreeBSD и Squid в принципе. И тут же накосячил. Раньше он работал и никто к нему не прикасался, а сам сервак остался мне по наследству, т.е. я к нему тоже и близко не подходил, вот до последней проблемы. Еще, как оказалось и усугубил ее.

ПАМАГИТЕ!!!
Че делать?

Здравствуйте, есть такой вопрос:
Есть два прокси на двух разных серверах. 1ый сервер основной и IP этого сервера прописан у всех пользователей. Пользователи не знают о существовании 2ого прокси сервера. Задача перенаправить(переадресовать) все http-запросы, которые совпадают под доменом "*.com" на 2ой прокси. По проще говоря, чтобы все "*.com" запросы шли на другой 2 прокси сервер.
P.S.
Вопрос простой, но многим этого сделать явно не понадобилось(исключая меня).
Надо чтобы все это прозрачно было, чтобы пользователи не меняли у себя в браузере настройки прокси сервера, когда они захотят зайти на сайти "*.com". Может в каких-то прогах явно есть такие возможности. Дайте варианты, плзззззз!
Заранее всем спасибо!  

Добрый день! Имеется сервер Ubuntu 12.04, на нем установлен Squid с авторизацией пользователей из AD с помощью Kerberos. На Ubunte установлено две сетевые карты
Конфиг сетки /etc/network/interfaces
eth0
address 192.168.0.100
netmask 255.255.255.0
dns-nameservers 192.168.0.33 192.168.0.34
dns-domain kontora.pupkin.ru
eth1
address 192.168.0.200
netmask 255.255.255.0
gateway 192.168.0.181
dns-nameservers 8.8.8.8

/etc/resolv.conf
domain kontora.pupkin.ru
nameserver 192.168.0.33
nameserver 192.168.0.34
nameservers 8.8.8.8
При такой настройке работает авторизация AD но нет Internet. Команда ping по IP адресу  работает в сторону домена и в сторону Internet, но по имени пинги в сторону интернет не проходят. Если поставить в /etc/resolv.conf первым в списке днс 8.8.8.8 то запросы по имени в сторону интернета проходят, но тогда отваливается авторизация Kerberos потому как нет ответа контролера домена dc.kontora.pupkin.ru, при этом пинг в сторону контролера домена  dc по адресу 192.168.0.33 проходит. Подскажите как правильно настроить сеть, чтобы и внутри домена компутеры отвечали по имени и в сторону интернета был выход для работы SQUID.

В общем есть 2 прокси: Squid 2.6.STABLE21 и Squid 3.1.19
Настройки acl и аутентификации одинаковы, находятся в одной подсети.
Есть сайт на котором показывается банеры с kavanga.ru

На Squid2
1391161096.198    141 ${ip} TCP_MISS/400 180 GET http://b.kavanga.ru/exp ${user_name} DIRECT/194.190.117.33 text/javascript

В тоже время на Squid3
1391161826.950   3076 ${ip} TCP_MISS/504 821 GET http://b.kavanga.ru/exp? ${user_name} DIRECT/194.190.117.33 text/html

Вопрос почему на Squid3 504?

Доброго время суток. Не могу решить проблему с некоторыми сайтами выдает на странице "В настоящий момент доступ к сервису через прокси сервер запрещен". Моя конфигурация прокси сервера FreeBSD 9.2 + DNS+ IPFW + Squid 3.3.8.(прозрачный )+ LightSquid. Каким способам возможно впустить людей на такие ресурсы. В инете нарыл про forwarded_for delete (в стандартном конфиге отсутствует данная строчка forwarded), но после какой строчки прописать его не могу сообразить. Зарание спасибо откликнувшемся.

Помогите настроить SARG.
Необходимо сделать так, чтобы SARG самостоятельно ежедневно формировал отчет. А отчеты, скажем так, старше 3 месяцев удалял.

Добрый день!

Подскажите, пожалуйста, как настроить SARG (Squid Analysis Report Generator)  чтобы отчеты:

ONE-SHOT    One shot reports
daily       Daily reports
weekly      Weekly reports
monthly     Monthly reports

были расположены по центру?

Версия SARG вот такая - sarg-2.3.1-1.el6.test.x86_64

Заранее благодарен.

При установке Rejik возникает вот такая ошибка и дальше никуда. Помогите.

/usr/src/rejik/redirector-3.2.11# make
rm -f pass.o raw_change.o load_cache.o pcre.o parse_input.o init_vars.o check_urls.o run_make_cache.o new_url.o redirect.o err_mes.o now.o get_opt.o parse_urls.o cache2url.o ip.o id.o comparing.o  load_urls.o prune_urls.o write_cache.o need_cache_update.o err_mes.o now.o get_opt.o parse_urls.o cache2url.o ip.o id.o comparing.o  redirector make-cache OUT rejik3.zip rejik3/*
gcc -Wall -I/usr/include -I/usr/local/include -I/usr/include/pcre -c pass.c
In file included from pass.c:3:0:
vars.h:2:18: fatal error: pcre.h: Нет такого файла или каталога
compilation terminated.
make: *** [pass.o] Ошибка 1

Всем доброго времени суток!
Помогите решить следующую проблему!

Имеется прокси-сервак с UserGate на борту. У пользователей для доступа в инет в браузере прописывается прокси 192.168.1.1:8080.

Настроил другой сервак со Squid3 (Прозрачный). Если в браузере не прописывать прокси, то все работает на ура (что в принципе и нужно было), но пользователи у которых прописан старый сервак не работают. А таких пользователей более 150 и ходить по каждому снимать галочку у меня не имеется возможности.

Возможно ли как то побороть данную проблему? Необходимо, чтобы пользователи работали и так и так.

Доброго времени суток!

Знаю,что тема может быть и есть где-то,но я настойчиво все прочитал,прежде чем создавать тему.

Значит,проблема следующая...

взял за основу вот этот мануаль.
http://srijit.com/how-to-setup-squid-as-transparent-proxy-in.../

Все настроил,все сделал. Включаю роут на микротике и в итоге мне пишет следующее:

ERROR

The requested URL could not be retrieved

При получении URL http://178.172.253.236:8080/ произошла следующая ошибка

Доступ запрещён.

Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

Администратор Вашего кэша: webmaster.

вот конфиг
http://pastebin.com/6S7q5aJw

Добрый день!

Вот уже несколько дней хочу настроить прозрачный сквид 3.3.8 на убунте 13.10. Но сквид не кеширует https. На фв указаны все редайректы портов, тисипидамп показывает принятый пакет с 443 порта, но вот тот же пакет уже не видим на access.log сквида. С http все нормально работает. Думаю может не указана опция активирования ссл при компиляции сквида, результат команды "squid3 -v":

====================================================================================================================================================================================

--build=x86_64-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/squid3 --srcdir=. --disable-maintainer-mode --disable-dependency-tracking --disable-silent-rules --datadir=/usr/share/squid3 --sysconfdir=/etc/squid3 --mandir=/usr/share/man --enable-inline --enable-async-io=8 --enable-storeio=ufs,aufs,diskd,rock --enable-removal-policies=lru,heap --enable-delay-pools --enable-cache-digests --enable-underscores --enable-icap-client --enable-follow-x-forwarded-for
--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB --enable-auth-digest=file,LDAP --enable-auth-negotiate=kerberos,wrapper --enable-auth-ntlm=fake,smb_lm --enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group --enable-url-rewrite-helpers=fake --enable-eui --enable-esi --enable-icmp --enable-zph-qos --enable-ecap --disable-translation --with-swapdir=/var/spool/squid3 --with-logdir=/var/log/squid3 --with-pidfile=/var/run/squid3.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --enable-linux-netfilter build_alias=x86_64-linux-gnu CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now CPPFLAGS=-D_FORTIFY_SOURCE=2 CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security

====================================================================================================================================================================================

Видимо надо вот компилировать исходник с опциями --enable-ssl --enable-ssl-crtd. Добавил это все вместе и скомпилировал со всеми этими опциями. А он ошибку выдает:

====================================================================================================================================================================================
/usr/bin/ld: cannot find -lssl
/usr/bin/ld: cannot find -lcrypto
collect2: error: ld returned 1 exit status
make[3]: *** [basic_ncsa_auth] Error 1
make[3]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth/NCSA'
make[2]: *** [all-recursive] Error 1
make[2]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers'
make: *** [all-recursive] Error 1
====================================================================================================================================================================================

Может кто знает как компилировать или где достать готовую компиляцию с https?
Спасибо!

Стоит Squid на freebsd. С этими системами сталкиваюсь впервые. В чем проблема, время от времени падает squid, вроде как говорит, что порт занят, а потом "Cannot HTTP..."

Cannot bind socket FD 23 to *:3535: (48) Address already in use
FATAL: Cannot open HTTP Port

обычно падение кратковременное и перезагрузка squidа через скрипт помогает, но вот уже 2 раза за 2 месяца падения "глобальные". Выдает сообщение которые выше...Вроде разрешаю эти проблемы, но хотелось бы, чтобы их не было. Ребята, помогите разобраться, что нужно делать? Какие логи и конф необходимо предоставить? Спасибо.

Люди добрые, срочно нужна помощь...
Установил squid 3.3.9, настроил.... делаю service squid start, а он мне...
Запускается squid:                                         [СБОЙ ]
squid: error while loading shared libraries: cannot restore segment prot after reloc: Permission denied
Что не так?

Машина на Centos 6.5
Скачал и скомпилировал squid 3.4.1
Ставил следующим образом
./configure --prefix=/usr --includedir=/usr/include --datadir=/usr/share --bindir=/usr/sbin --libexecdir=/usr/lib/squid --localstatedir=/var --sysconfdir=/etc/squid --enable-icmp --enable-delay-pools --disable-wccp --disable-wccpv2 --disable-snmp --enable-nf-transparent --disable-auth-basic --disable-auth-ntlm --disable-auth-negotiate --disable-ipv6
make
make install
Ошибок во время установки не было.
Но при команде service squid start выдаёт unrecognized service
в /etc/rc.d/init.d скрипта squid нет
Машину перезагружал
Что мне делать дальше?
Прошу сильно не пинать, первый раз ставлю из исходников

Помогите разобраться с проблемой.
Есть прокси squid, у всех юзеров он в настройках явно прописан. Но у некоторых он отказывается работать. При попытке открыть страницу брауйзер долго и нудно чего-то ждет. Пробовал разные браузеры (IE, Хром) разницы нет. Если прокси в настройках выключить, то страницы начинают нормально открываться.

пинг на прокси идет стабильно, без потерь
телнетом порт 3128 открывается
трасса на проски правильная
пробовал на проски занизить mtu до 1400 - не помогло
в access.log запрос от клиента виден

по всем тестам должно все работать, но оно не работает
подскажите как найти причину этой загадки

Привет.

Должен настроить сквид сервер, чтобы фильтрация происходила по мак адресам и по базе данных. Ну типо пропускал только те компы, мак адреса которых на базе есть. Ну вообще external_acl_type не получилось использовать, есть кто разбирается?

Добрый день! Помогите с настройкой сквида на Ubuntu Server 12.04.

Сейчас у меня две подсети и соответственно два пула. Сlass 2
Появилась необходимость усложнить схему.
А конкретно в одной подсети ограничить всем юзерам скорость, кроме одного.
Понятно что нужно переделать пул в Class 4. Но не до конца понимаю его работу.

Обязательно ли всех переводить на авторизацию для этого?
Или можно просто через acl добавить нужный ip у которого не будет ограничений

Добрый день,
Прошу помочь собрать сквид без ротации логов, только эта опция мешает и периодически убивает его. Никакие способы отключения ротации логов не помогают.

Ошибка:
storeDirWriteCleanLogs: Starting...
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Логи сливаются в файл /var/log/squid/access.log из которого потом все забирает TraffPro и складывает в базу MySQL - затирая данные в access.log.
Squid хочет очистить логи, это видно из:
storeDirWriteCleanLogs: Starting...
Потом после безуспешной попытки очистки он пишет:
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Нужно просто собрать сквид все по дефолту, но без ротации логов.
Можно ссылку на мануал, или кто делал раньше подобное

Система CentOS 6.4 x64
Traffpro 1.3.8 + squid 3.1.0

Спасибо

Поставил Squid для раздачи интренет в офисе и в других отдаленных магазинах, которые подключены по vpn провайдера. Сдеал его прозрачным, порт 8080 указал. В удаленных магазинах прописываю и в офиссе в настройках браузера прокси, все отлично работает. Но есть проблема, в магазинах кассы, к ним подключены сбер банковские терменалы, через com, порты. Сами теременалы соеденияються через telnet посредтсвом этих касс, в tcp/ip прописываю шлюз прокси сервера где стоит Squid, но при этом telnet не работает. А вот при прокси сервер wingate(ухожу от него ) все в порядке, работает. Подскажите в чем проблема. Что нужно еще прописать? Спасибо.

Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает.

Работает с одной оговоркой. Пробую описать ситуацию.

Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками.
На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...".
Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту.

В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.

Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась.

На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня.

function FindProxyForURL(url, host) {
    if (isPlainHostName(host)) {
        return "DIRECT";
    }
    if (dnsDomainIs(host, ".my.domain")) {
        return "DIRECT";
    }
return "PROXY squid.my.domain:3128"
}

Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.

Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена.
wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой.

Господа, с чем может быть связан такой казус?

Любая информация и конфиги по требованию.
squid 3.1.20
lighttpd 1.4.31
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI)

PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший.

Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :(

Простите за большое количество текста.

Уважаемые форумчане, вот какая интересная задача:

Есть Интернет, есть сервер со squid3 и настроенным файрволом (debian), и есть локальная сеть с пользователями, которые хотят интернет...

На компьютерах пользователей установлена такая приблуда (VipNet[Открытый интернет] если что), суть ее в следующем - когда пользователь переходит в режим интернета, то локальная сеть отрубается (на логическом уровне) и пользователю доступен только интернет-сервер, это типа защита такая - локальная сеть не доступна, ну я думаю, понятно.

Схема такая(это когда пользователь переключился в режим открытого интернета):
[интернет]----[сервер интернет, Linux]-----[координатор VipNet]----[Хаб]-----[Польз.1][Польз.2][Польз.3]...

Когда пользователь не в режиме открытого интернета - он идет напрямую на интернет сервер (координатор открытого интернета не доступен)

IP адреса у пользователей при переключении режимов не меняются.
                                                      
Так вот, на squid мне нужно как-то определять, что пользователь идет через Координатор VipNet, или он идет напрямую.

Для чего? Для того, что по заданию партии, когда пользователь идет в интернет напрямую у него одни доступы, когда через координатор открытого интернета - другие, более расширенные.

Пока придумал только запускать 2 экземпляра squid. Но вопрос - можно ли использовать один кэш или нужно будет 2? И вообще, как лучше запустить 2 копии squid - может кто даст пошаговую инструкцию, было бы здорово...

А может посоветуете другой способ?

есть ЦентОс есть сквид 3.1.10 в iptables создал правило заворачиваещее трафик 80 порта на сквид
$IPT -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

в конфиге сквида
http_port 192.168.0.7:3128 transparent

аутентификация  нтлм
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

так вот если в браузере прокси и порт прописаны то всё ходит как надо, а если нет трафик заворачивается и сквид никого не пускает. пишет что
he requested URL could not be retrieved
При получении URL http://www.yandex.ru/? произошла следующая ошибка
Доступ запрещён.
Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

Что ж ему надо????

После смены провайдера squid стал резать входящую скорость на freebsd 8.2
После переноса конфигурации на 9.2 ситуация не изменилась

Starting squid.
2013/11/20 02:42:02| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2013/11/20 02:42:02| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2013/11/20 02:42:02| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'

сам squid

http_port  127.0.0.1:3128 transparent

hierarchy_stoplist cgi-bin ?

#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl QUERY urlpath_regex cgi-bin \?
acl HTTP        port    80
acl HTTPS       port    443
acl purge method PURGE
acl connect method CONNECT

http_access allow purge localhost
http_access deny purge

acl nobanners src all
acl good_url url_regex -i "/usr/local/etc/squid/ban_list/good_url"
acl megagood url_regex -i "/usr/local/etc/squid/ban_list/megagood"
acl mail     url_regex -i "/usr/local/etc/squid/ban_list/mail"
acl banners  url_regex -i "/usr/local/etc/squid/ban_list/banner"
acl bad_url  url_regex -i "/usr/local/etc/squid/ban_list/bad_url"
acl socnet   url_regex -i "/usr/local/etc/squid/ban_list/socnet"
acl media    urlpath_regex -i \.mp3$ \.wav$ \.avi$ \.flv$ \.mp4$ \.wma$ \.f4v$
acl tranz    url_regex -i .gm.com$ .asus.com$
acl 192   src 192.168.1.0/24

no_cache deny QUERY all manager localhost to_localhost purge connect nobanners banners media tranz

http_access allow manager 192
http_access deny  manager
http_access deny  connect
http_access deny  banners !megagood
http_access deny  bad_url
http_access deny  socnet
http_access allow 192

http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all

visible_hostname Kill_Bill

pid_filename<-->/usr/local/squid/squid.pid
coredump_dir<-->/usr/local/squid/
#access_log<--->/usr/local/squid/access.log
cache_dir ufs<->/usr/local/squid/cache<><------>5096 16 256
cache_log<----->/usr/local/squid/logs/cache
cache_store_log>none
access_log<---->none

log_mime_hdrs<->off

error_directory /usr/local/etc/squid/errors/Russian-1251

cache_swap_low  80
cache_swap_high 85
cache_mem 100 MB
maximum_object_size 50 MB

Привет специалисты!
Проблема заключается в следующем, на шлюзе FreeBSD7.0 nat+ipfw+squid порядка тридцати юзеров ходят в "мир", и вроде бы все ничего, сквида ведет себя корректно, но как только пользователи пытаются отправить письмо с аттачем больше 100 килобайт возникают тормоза и mail.ru на своей странице выводит ошибку.
Прокси у меня прозрачный, пробовал в обход его, все на ура.
Если есть кто сталкивался с проблемой такого рода - ОТЗОВИТЕСЬ!!!

Добрый день, уважаемые!

У меня падает демон Squid, причем падает на пол и при этом больше не встает, пока в ручную его не запустишь снова...

А падает он сперва сказав слова:

storeDirWriteCleanLogs: Starting...

Потом у него кружится голова и из уст его звучат его последние слова:

FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Логи сливаются в файл /var/log/squid/access.log из которого потом все забирает TraffPro и складывает в базу MySQL - затирая данные в access.log.

У меня сложилось впечатление что Squid хочет очистить логи, это видно из:
storeDirWriteCleanLogs: Starting...

Потом после безуспешной попытки очистки он пишет:
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Вопрос: Как можно заставить Squid не очищать лог файл - /var/log/squid/access.log ?
В Интернете нашел инфу что можно удалить файл ротации логов squid - rm /etc/logrotate.d/squid
Но это не помогло, потом выяснилось что можно вырубить ротацию дописав в файл - /etc/squid/squid.conf строчку:
log_rotate 0

Это тоже к сожалению не помогло. Гугл молчит :sad:

Осталось спросить у Гуру Unix/Linux  мира, запостив данное сообщение тут на Opennet.
Помогите Юниксоиды и Линуксоиды своим добрым словом, буду  рад услышать от Вас конструктивные предложения по устранению данного казуса.

Заранее Спасибо!

Система CentOS 6.4 x64
Версия Squid 3.1.10

Вот лог при падении демона Squid:

cache.log          [----]  0 L:[3382+57 3439/3439] *(290134/290134b) <EOF>
2013/11/15 10:07:17| Squid plugin modules loaded: 0
2013/11/15 10:07:17| Adaptation support is off.
2013/11/15 10:07:17| Ready to serve requests.
2013/11/15 10:07:17| Store rebuilding is 1.98% complete
2013/11/15 10:07:18| Done reading /var/spool/squid swaplog (207299 entries)
2013/11/15 10:07:18| Finished rebuilding storage from disk.
2013/11/15 10:07:18|    207299 Entries scanned
2013/11/15 10:07:18|         0 Invalid entries.
2013/11/15 10:07:18|         0 With invalid flags.
2013/11/15 10:07:18|    207299 Objects loaded.
2013/11/15 10:07:18|         0 Objects expired.
2013/11/15 10:07:18|         0 Objects cancelled.
2013/11/15 10:07:18|         0 Duplicate URLs purged.
2013/11/15 10:07:18|         0 Swapfile clashes avoided.
2013/11/15 10:07:18|   Took 0.48 seconds (430594.59 objects/sec).
2013/11/15 10:07:18| Beginning Validation Procedure
2013/11/15 10:07:18|   Completed Validation Procedure
2013/11/15 10:07:18|   Validated 414619 Entries
2013/11/15 10:07:18|   store_swap_size = 4718372
2013/11/15 10:07:18| storeLateRelease: released 0 objects
2013/11/15 10:38:13| clientProcessRequest: Invalid Request
2013/11/15 10:40:53| clientProcessRequest: Invalid Request
2013/11/15 10:41:08| clientProcessRequest: Invalid Request
2013/11/15 10:42:00| clientProcessRequest: Invalid Request
2013/11/15 10:43:31| clientProcessRequest: Invalid Request
2013/11/15 10:54:43| storeDirWriteCleanLogs: Starting...
2013/11/15 10:54:43| WARNING: Closing open FD   16
2013/11/15 10:54:43|     65536 entries written so far.
2013/11/15 10:54:43|    131072 entries written so far.
2013/11/15 10:54:43|    196608 entries written so far.
2013/11/15 10:54:43|   Finished.  Wrote 210078 entries.
2013/11/15 10:54:43|   Took 0.11 seconds (1928099.42 entries/sec).
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 32.499 seconds = 21.474 user + 11.025 sys
Maximum Resident Size: 508016 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
<------>total space in arena:  119376 KB
<------>Ordinary blocks:       118337 KB    825 blks
<------>Small blocks:               0 KB      1 blks
<------>Holding blocks:          1356 KB      5 blks
<------>Free Small blocks:          0 KB
<------>Free Ordinary blocks:    1038 KB
<------>Total in use:          119693 KB 100%
<------>Total free:              1038 KB 1%
2013/11/15 10:54:46| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
2013/11/15 10:54:46| Process ID 9388
2013/11/15 10:54:46| With 1024 file descriptors available
2013/11/15 10:54:46| Initializing IP Cache...
2013/11/15 10:54:46| DNS Socket created at 0.0.0.0, FD 8
2013/11/15 10:54:46| Adding nameserver 127.0.0.1 from squid.conf
2013/11/15 10:54:46| Adding nameserver 8.8.8.8 from squid.conf
2013/11/15 10:54:46| Adding nameserver 8.8.4.4 from squid.conf
2013/11/15 10:54:46| User-Agent logging is disabled.
2013/11/15 10:54:46| Referer logging is disabled.

Добрый день.
Помогите, пожалуйста, настроить делэй пулз.

Есть два листа пользователей, одним (inet_full) даю безграничный интернет, вторым (inet_users) - ограниченный.
Но суть в том, что при запуске этого конфига, у безграничных интернет по хттп есть, а у ограниченных - нет вообще. Всю голову сломал, что не так.
Прошу помощи в нахождении и исправлении ошибки.

Ниже приведен конфиг.

http_port 3128
http_port 3129 transparent
hierarchy_stoplist cgi-bin ?

#  ACL
acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 256 MB

cache_dir ufs /squid/cache 50000 64 512
access_log /squid/access.log
cache_store_log none

hosts_file /etc/hosts

error_directory /usr/local/etc/squid/errors/Russian-1251
cache_log /var/log/squid/cache.log

#debug_options ALL,5
pid_filename /var/log/squid/squid.pid

#
acl     safe_ports              port    80      # http
#acl     safe_ports              port    21      # ftp
#acl     safe_ports              port    443     # ssl
#acl     icq_ports               port    5190    # ICQ

#
acl inet_users src "/usr/local/etc/squid/inet_users"
acl inet_full src "/usr/local/etc/squid/inet_full"

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255

acl deny_url url_regex "/usr/local/etc/squid/deny_url"
acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains"

# delay_pools_conf
delay_pools 2
delay_initial_bucket_level 50

delay_class 1 2
delay_access 1 allow inet_full
delay_access 1 deny inet_users
#delay_access 1 deny all
delay_parameters 1 -1/-1 -1/-1

delay_class 2 2
delay_access 2 allow inet_users
delay_access 2 deny inet_full
#delay_access 2 deny all
delay_parameters 2 1024000/-1 64000/64000

http_access allow inet_full

http_access deny deny_url

http_access deny deny_domains

http_access deny !safe_ports

http_access allow inet_users

http_access deny all

Задача! Нужно в прокси сервере настроить авторизацию по МАС адресу. Вопрос!!! Как можно блокировать МАС адрес компьютера который находится в другой подсети в Linux? В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети. A в Linux Squid, iptables не могут блокировать по МАС адресу, если компьютер находится в другой подсети, они блокируют компьютеры с другой подсети только по IP.

Пример:
1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client C

Прокси сервер блокирует клинта В по МАС адресу без проблем, потому что клиент В находится в одной подсети с прокси сервером.
Прокси сервер не может блокирует клинта С по МАС адресу, потому что клиент С находится в другой подсети с прокси сервером.
Самое странное в Windows CCPROXY фильтрирует клиента по МАС, а в Линуксе я не могу найти решение!Пожалуйста помогите !!!

P.S.
В документациях Squid написано, что он не может блокировать MAC адрес другой подсети. На форумах читал, что iptables тоже не может блокировать MAC адрес другой подсети. На практике проверил, что эти программы реально не могут блокировать MAC адрес другой подсети(по крайнем мере у меня). А в Windows 2-3 программы реально блокируют MAC другой подсети. В Windows блокировка получается, значить в самой сети что-то перенастроить по поэму не нужно. Только найти решение в Linux для того, чтобы блокировать MAC адрес клиента, который находится в другом сегменте сети. Пробовал arptables, ebtables все равно не помогло. Если маршрутизатор не пропускал бы MAC клиента в другую подсеть, то тогда как все это в Windows на CCProxy работает? В Linux есть ли на это решение? A то клиенты могут менять IP и сидеть в Интернете. Пожалуйста, не предлагать привязывать в коммутаторе IP на MAC, слишком большая сеть и клиентов много(слишком трудоёмкая работа). Авторизация по паролю тоже не пойдет. Может есть какие-то утилиты для решения такой проблемы? Пожалуйста дайте варианты!