forum.opennet.ru


Форум Настройка Squid, Tor и прокси серверов

TCP_DENIED/407,

mitiok, (Аутентификация) 05-Июн-16, 21:48 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

конфиг сквида приводить нужно полностью, может у вас акселями что-то забрито, а , ipmanyak (ok), 07:19 , 07-Июн-16 (1)
> Почему не срабатывает аутентификация на некоторых запросах? Как чинить?
конфиг сквида приводить нужно полностью, может у вас акселями что-то забрито, а телепатов тут нет. А сквид у вас случаем не в прозрачном режиме настроен? В прозрачном режиме аутентификация в сквиде не работает.
Q: Могу ли я использовать proxy auth с прозрачным проксированием?
A: Нет, не можете. При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и никогда не посылает заголовок Proxy-authorization.

сообщить модератору +/– ответить
gt оверквотинг удален Всем привет Такая же ситуация Тормозят все страницы Реш, ramzes3000 (ok), 11:05 , 22-Мрт-18 (2)
>[оверквотинг удален]
> - HIER_NONE/- text/html
> 1465151450.376    152 192.168.1.101 TCP_MISS/200 2250 POST http://ocsp2.globalsign.com/gsorganizationvalsha2g2
> mitiok@HOME.LO HIER_DIRECT/2400:cb00:2048:1::6810:18d8 application/ocsp-response
> 1465151450.466    431 192.168.1.101 TCP_TUNNEL/200 3513 CONNECT www.tns-counter.ru:443
> mitiok@HOME.LO HIER_DIRECT/2001:6d0:4001::2 -
> 1465151450.503      0 192.168.1.101 TCP_DENIED/407 4098 CONNECT www.tns-counter.ru:443
> - HIER_NONE/- text/html
> 1465151450.769    243 192.168.1.101 TCP_TUNNEL/200 712 CONNECT www.tns-counter.ru:443
> mitiok@HOME.LO HIER_DIRECT/2001:6d0:4001::2 -
> Почему не срабатывает аутентификация на некоторых запросах? Как чинить?
Всем привет.
Такая же ситуация. Тормозят все страницы.
Решения не нашел.
CentOS 7
Squid Cache: Version 4.0.23
Часть конфига:
Остальное стандарт.
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/sq.****.**
auth_param negotiate children 200 startup=5 idle=1
auth_param negotiate keep_alive on
external_acl_type InetFull ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl  -a -g InetFull -D AD.***.***.**
acl auth proxy_auth REQUIRED
http_port 3128
https_port 3129 intercept ssl-bump cert=/etc/squid/squidCA.pem
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/spool/squid/ssl_db -M 16MB
sslcrtd_children 16 startup=1 idle=1
ssl_bump splice all
================
Логи такие же
1521212235.869    986 192.168.0.49 TCP_TUNNEL/200 587 CONNECT segodnya.ua:443 user@AD.***.***.** HIER_DIRECT/91.238.193.16 -
1521212235.871      0 192.168.0.49 TCP_DENIED/407 4141 CONNECT c.lentainform.com:443 - HIER_NONE/- text/html
1521212235.972   1351 192.168.0.49 TCP_TUNNEL/200 3327 CONNECT counter.yadro.ru:443 user@AD.***.***.** HIER_DIRECT/88.212.196.105 -
1521212235.974      0 192.168.0.49 TCP_DENIED/407 4113 CONNECT utarget.ru:443 - HIER_NONE/- text/html
1521212235.995   1122 192.168.0.49 TCP_TUNNEL/200 6424 CONNECT xk1o.amgload.net:443 user@AD.***.***.** HIER_DIRECT/185.187.81.38 -
1521212236.071     10 192.168.0.49 TCP_DENIED/407 4125 CONNECT loadercdn.com:443 - HIER_NONE/- text/html
1521212236.071   3576 192.168.0.49 TCP_TUNNEL/200 6585 CONNECT inv-nets.admixer.net:443 user@AD.***.***.** HIER_DIRECT/146.0.227.110 -
1521212236.072      0 192.168.0.49 TCP_DENIED/407 4165 CONNECT n7-r1d2.piguiqproxy.com:443 - HIER_NONE/- text/html
1521212236.081   1202 192.168.0.49 TCP_TUNNEL/200 6447 CONNECT kz9c.piguiqproxy.com:443 user@AD.***.***.** HIER_DIRECT/185.187.81.35 -
1521212236.431      0 192.168.0.49 TCP_DENIED/407 4165 CONNECT n9-r1d2.piguiqproxy.com:443 - HIER_NONE/- text/html
1521212236.670 398190 192.168.0.49 TCP_TUNNEL/200 24519 CONNECT mc.yandex.ru:443 user@AD.***.***.** HIER_DIRECT/213.180.193.119 -
1521212236.672      0 192.168.0.49 TCP_DENIED/407 4141 CONNECT c.novostimira.biz:443 - HIER_NONE/- text/html
1521212236.723   3511 192.168.0.49 TCP_TUNNEL/200 7708 CONNECT n4p-ru.redtram.com:443 user@AD.***.***.** HIER_DIRECT/62.244.25.75 -
1521212236.725      0 192.168.0.49 TCP_DENIED/407 4141 CONNECT c.novostimira.biz:443 - HIER_NONE/- text/html
сообщить модератору +/– ответить

Не работает почтовый прокси nginx,

billybons2006, (Другие proxy) 01-Мрт-18, 11:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

nginx модуль mail поддерживает только non-SSL бекэнды, eRIC (ok), 17:52 , 01-Мрт-18 (1) +2
nginx модуль mail поддерживает только non-SSL бекэнды
сообщить модератору +2 +/– ответить

Это я просмотрел у них в описании, видимо Очень жаль Очень И да, спасибо за , billybons2006 (ok), 17:49 , 02-Мрт-18 (2)
> nginx модуль mail поддерживает только non-SSL бекэнды
Это я просмотрел у них в описании, видимо. Очень жаль. Очень...
И да, спасибо за ответ!
Но вот в чем прикол. Мой smtp (postfix) работает только с ssl/tls/starttls. Как же я через nginx с моего postfix отправить умудрился тогда? Мой postfix для nginx - тот-же сторонний backend. Они в разных сетях находятся даже.
сообщить модератору +/– ответить

а как вы отправляете через nginx письмо на postfix напрямую на сокет 25 или 465, eRIC (ok), 20:35 , 02-Мрт-18 (3)
> Но вот в чем прикол. Мой smtp (postfix) работает только с ssl/tls/starttls.
> Как же я через nginx с моего postfix отправить умудрился тогда?
а как вы отправляете через nginx письмо на postfix? напрямую на сокет 25 или 465 соединяетесь или через mail в php или другой скрипт отправляете ИЛИ ЖЕ через proxy модуль?
> Мой postfix для nginx - тот-же сторонний backend. Они в разных
> сетях находятся даже.
какие настройки в postfix стоят для отправки писем? там из своей сети можно настроить отправку без авторизации, без TLS и так далее
если вы этой схемой хотите load balancing/proxy сделать для почты, попробуйте haproxy > 1.5 (а лучше самой последней) который без костылей очень хорошо справляется с проксированием на SSL бекэнды или глянуть Apache Traffic тоже.
сообщить модератору +/– ответить

он тут не уместен для smtp трафика, сорри, eRIC (ok), 21:53 , 02-Мрт-18 (4)
>или глянуть Apache Traffic тоже.
он тут не уместен для smtp трафика, сорри

сообщить модератору +/– ответить
До этого не дошло Можно, конечно же В общем, я забил на это, больше похоже, что, billybons2006 (ok), 10:48 , 06-Мрт-18 (5)
> какие настройки в postfix стоят для отправки писем? там из своей сети
> можно настроить отправку без авторизации, без TLS и так далее
До этого не дошло. Можно, конечно же.
В общем, я забил на это, больше похоже, что это будет стабильным только между своими серверами, когда я в самом желе поставил бы полное доверие между ними.
Спасибо, что откликнулись.
сообщить модератору +/– ответить

прокси через прозрачный прокси,

zouch, (Прозрачный proxy) 01-Фев-18, 10:29 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

cache_peer 10 1 2 3 parent 80 0 no-query default login my_username my_passwordne, tonys (??), 13:01 , 01-Фев-18 (1)
cache_peer 10.1.2.3 parent 80 0 no-query default login=my_username:my_password
never_direct allow all
сообщить модератору +/– ответить

Да Я так пробовал Но локальный прокси начинает требовать пароль для домена Но, zouch (ok), 16:37 , 01-Фев-18 (2)
> cache_peer 10.1.2.3 parent 80 0 no-query default login=my_username:my_password
> never_direct allow all
Да. Я так пробовал. Но локальный прокси начинает требовать пароль для домена. Но правильный логин не принимает и начинает переспрашивать. А если отмена, то центральный прокси не пускает.
сообщить модератору +/– ответить

имя домена имя пользователяВ таком виде пробовал или только имя пользователя , tonys (??), 21:12 , 01-Фев-18 (3)
>> cache_peer 10.1.2.3 parent 80 0 no-query default login=my_username:my_password
>> never_direct allow all
> Да. Я так пробовал. Но локальный прокси начинает требовать пароль для домена.
> Но правильный логин не принимает и начинает переспрашивать. А если отмена,
> то центральный прокси не пускает.
имя домена\имя пользователя
В таком виде пробовал или только имя пользователя?

сообщить модератору +/– ответить

Кажется пробовал делал много попыток В поле запроса логина точно указывал Но s, zouch (ok), 01:32 , 02-Фев-18 (4)
>>> cache_peer 10.1.2.3 parent 80 0 no-query default login=my_username:my_password
>>> never_direct allow all
>> Да. Я так пробовал. Но локальный прокси начинает требовать пароль для домена.
>> Но правильный логин не принимает и начинает переспрашивать. А если отмена,
>> то центральный прокси не пускает.
> имя домена\имя пользователя
> В таком виде пробовал или только имя пользователя?
Кажется пробовал.делал много попыток. В поле запроса логина точно указывал. Но squid точно определяет домен без указания его в имени пользователя. Он, запрашивая пароль в заголовке пишет имя локального компьютера, а внизу указывает центральный домен. Странно как-то
сообщить модератору +/– ответить

http lists squid-cache org pipermail squid-users 2015-August 005121 html А Ba, PavelR (??), 09:16 , 04-Фев-18 (5)
> Добрый день.
> Может кто-то что-то подскажет?
http://lists.squid-cache.org/pipermail/squid-users/2015-Augu... :
>What those tutorials are not explaining is that the "login=my_username:my_password" is sending
>Basic auth credentials to the parent proxy.
>Squid does not support using NTLM to authenticate its cache_peer TCP connection.
А Basic на "прозрачном" прокси может быть выключен, чтобы ...
сообщить модератору +/– ответить

Да, Basic отключен И что делать , zouch (ok), 12:09 , 05-Фев-18 (6)
>> Добрый день.
>> Может кто-то что-то подскажет?
> http://lists.squid-cache.org/pipermail/squid-users/2015-Augu... :
>>What those tutorials are not explaining is that the "login=my_username:my_password" is sending
>>Basic auth credentials to the parent proxy.
>>Squid does not support using NTLM to authenticate its cache_peer TCP connection.
> А Basic на "прозрачном" прокси может быть выключен, чтобы ...
Да, Basic отключен. И что делать?
сообщить модератору +/– ответить

NTLMaps cntlm, pavel_simple (ok), 13:31 , 17-Фев-18 (7)
>>> Добрый день.
>>> Может кто-то что-то подскажет?
>> http://lists.squid-cache.org/pipermail/squid-users/2015-Augu... :
>>>What those tutorials are not explaining is that the "login=my_username:my_password" is sending
>>>Basic auth credentials to the parent proxy.
>>>Squid does not support using NTLM to authenticate its cache_peer TCP connection.
>> А Basic на "прозрачном" прокси может быть выключен, чтобы ...
> Да, Basic отключен. И что делать?
NTLMaps/cntlm
сообщить модератору +/– ответить

FreeBSD TPROXY,

alex_eisner, (Прозрачный proxy) 29-Май-14, 13:15 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален В Squid forwarded_for deletevia off, LHC (?), 13:39 , 29-Май-14 (1)
>[оверквотинг удален]
> ipfw add fwd 127.0.0.1,3128 tcp from any to not me in xmit
> em1
> ipfw add fwd 127.0.0.1,3128 tcp from any to not me in recv
> em1
> Уж очень хочется оставить ipfw и FreeBSD, потому что стоит еще самописный
> демон, который дребует именно ipfw. Также отлаженная система управления клиентами и
> т.д.
> Уважаемые спецы, может кто сталкивался с подобной задачей? Помогите советом.
> С уважением,
> Алексей
В Squid
forwarded_for delete
via off
сообщить модератору +/– ответить

Спасибо за отклик В данном случае тот же 2ip скажет что прокси вы не используете, alex_eisner (ok), 14:39 , 29-Май-14 (2)
> В Squid
> forwarded_for delete
> via off
Спасибо за отклик!
В данном случае тот же 2ip скажет что прокси вы не используете. Но адрес покажет проксевый.
Соответственно все равно будут получать капчу в поисковиках. Хотелость бы чтобы удаленный хость видил ip клиента, а не прокси...
С уважением,
Алексей.
сообщить модератору +/– ответить

а зачем вы _все_ DST IP заворачиваете на прокси , PavelR (ok), 15:35 , 29-Май-14 (4)
>> В Squid
>> forwarded_for delete
>> via off
> Спасибо за отклик!
> В данном случае тот же 2ip скажет что прокси вы не используете.
> Но адрес покажет проксевый.
> Соответственно все равно будут получать капчу в поисковиках. Хотелость бы чтобы удаленный
> хость видил ip клиента, а не прокси...
> С уважением,
> Алексей.
а зачем вы _все_ DST IP заворачиваете на прокси?
сообщить модератору +/– ответить

Добрый,А ядро собрано с options IP_NONLOCALBIND А вообще вот тут пример , Georgdts (?), 15:21 , 29-Май-14 (3)
Добрый,
> Уважаемые спецы, может кто сталкивался с подобной задачей? Помогите советом.
> С уважением,
> Алексей
А ядро собрано с:
options IP_NONLOCALBIND
?
А вообще вот тут пример: http://tproxy.no-ip.org/
сообщить модератору +/– ответить
http habrahabr ru post 219435 - только перепишите под себя правила , StreSS.t (ok), 15:53 , 29-Май-14 (5)
http://habrahabr.ru/post/219435/ - только перепишите под себя правила.
сообщить модератору +/– ответить

Во-первых я не првильно прописал настройку tproxy Было http_port 3128 tproxyНад, alex_eisner (ok), 10:23 , 30-Май-14 (6)
Во-первых я не првильно прописал настройку tproxy:
Было: http_port 3128 tproxy
Надо: http_port 3128 transparent proxy
Но в таком случае запроса от реального адреса не происходит. То есть прокси запрос делает от себя.
Включил полный дебаг, увидел следующее:
comm_dfopen6: FD: TPROXY comm_ips_bind_rem() failed: errno 1 ((1) Operation not permited)
Погуглил. Ага не разрешает спуфить адрес не от рута.
> options IP_NONLOCALBIND
На эту опцию make ругается, что нет такой...
Нашел ссылочку:
http://adsh.org.ua/blog/comments/52/#comments
Сейчас пока нет возможности заниматься данным вопросом. В понедельник перекомпилирую ядро, попробую, отпишусь по результатам.
Большое спасибо за Ваше участие!
С уважением,
Алексей.
сообщить модератору +/– ответить

Все получилось Пропатчил сорцы, перекомпилировал и установил ядро На внешнем хо, alex_eisner (ok), 15:26 , 02-Июн-14 (7)
Все получилось!
Пропатчил сорцы, перекомпилировал и установил ядро. На внешнем хосте отобразился мой адрес, а не проксевый.
Пошел готовить боевой сервак.
Большое спасибо!
С уважением,
Алексей.

сообщить модератору +/– ответить

Еще раз здравствуйте Недавно поднимал сервак для тестов с проксями Оказалось , alex_eisner (ok), 14:03 , 28-Ноя-14 (8)
Еще раз здравствуйте!
Недавно поднимал сервак для тестов с проксями... Оказалось что lusca-head в портах уже нет. В порту www/squid он версии 3.4.9. Почитал README, там написано, что TPROXY нормально работает, надо только опции IPFW_TRANSPARENT поставить. Попробовал, выдает ошибку:
FATAL: http(s)_port: TPROXY support in the system does not work.
Все дело в том, что его запускать надо рутом, т.е. в rc.conf добавит squid_user="root". Работает без проблем.
Допустим клиентская сеть 10.0.0.0/24 на интерфейсе em1, внешняя на em0, тогда фаервол будет выглядить так:
ipfw add fwd 127.0.0.1,3128 all from 10.0.0.0/24 to any 80 in recv em1
ipfw add fwd 127.0.0.1 all from any 80 to 10.0.0.0/24 in recv em0
Если вторую строку не добавить, то пакеты от сервера будут сразу пересылаться к клиенту, не попадая в сквид.
С уважением,
Алексей!
сообщить модератору +/– ответить

Не пугайте людей Пропачьте сорцы, как в моей заметке, и юзайте с новым сквидом , Alexander Sheiko (?), 19:57 , 18-Май-15 (9)
> Все дело в том, что его запускать надо рутом, т.е. в rc.conf
> добавит squid_user="root". Работает без проблем.
Не пугайте людей. Пропачьте сорцы, как в моей заметке, и юзайте с новым сквидом.
сообщить модератору +/– ответить

Добрый день Тоже столкнулся с задачей спуфа адресов через прокси Вопрос для с, Михаил (??), 00:22 , 08-Ноя-17 (10)
>> Все дело в том, что его запускать надо рутом, т.е. в rc.conf
>> добавит squid_user="root". Работает без проблем.
> Не пугайте людей. Пропачьте сорцы, как в моей заметке, и юзайте с
> новым сквидом.
Добрый день! Тоже столкнулся с задачей спуфа адресов через прокси. Вопрос: для современной FreeBSD 11.1 патч будет работоспособен?
сообщить модератору +/– ответить

squid + хелпер ext_kerberos_ldap_group_acl,

sbrain, (Аутентификация) 13-Окт-16, 15:05 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

тады ка кты ваще в сквид лезешь для него чёрный пояс по гугл-фу нужена ничего ч, олхнтп (?), 17:02 , 13-Окт-16 (1) +1
>да не умею пользоваться гуглом..
тады ка кты ваще в сквид лезешь? для него чёрный пояс по гугл-фу нужен
>ничего не нашел (в частности исходники его)
а ничего что "исходники его" часть самого сквида?
https://github.com/squid-cache/squid/tree/master/helpers/ext...
надо полностью пересобирать сквид свежей версии включая оный плагин в configure
https://github.com/squid-cache/squid/blob/master/configure.a...
учить собирать сквид не буду, ты денег за всю жизнь не заработаешь чтоб час моего времени оплатить
меняй профессию и скажи руководству пусть наймут _грамотного_ админа

сообщить модератору +1 +/– ответить

Ну ты крутой чо Возьми с полки пирожок , sbrain (ok), 17:36 , 13-Окт-16 (2) –1

> надо полностью пересобирать сквид свежей версии включая оный плагин в configure
> https://github.com/squid-cache/squid/blob/master/configure.a...
> учить собирать сквид не буду, ты денег за всю жизнь не заработаешь
> чтоб час моего времени оплатить
> меняй профессию и скажи руководству пусть наймут _грамотного_ админа
Ну ты крутой чо! Возьми с полки пирожок ))
сообщить модератору –1 +/– ответить

посмотри https code google com archive p ldap-cpp source default sourceтам ест, вотак (?), 10:48 , 14-Окт-16 (3)
> Товарищи гуру! Подскажите как мне собрать этот хелпер для centOS 7....да не
> умею пользоваться гуглом..ничего не нашел (в частности исходники его) ...Буду признателен
> за ссылки по данной теме
посмотри https://code.google.com/archive/p/ldap-cpp/source/default/so...
там есть examples/group_ldap_acl я его тестил работал гуд
сообщить модератору +/– ответить

Спасибо за ссылочку но на данный момент у меня через него и работает но как то , sbrain (ok), 11:00 , 14-Окт-16 (4)
> посмотри https://code.google.com/archive/p/ldap-cpp/source/default/so...
> там есть examples/group_ldap_acl я его тестил работал гуд
Спасибо за ссылочку..но на данный момент у меня через него и работает(но как то нестабильно)...смысл в том что я хочу все это сделать через kerberos
сообщить модератору +/– ответить

Привет, это часть squid Которая компилируется вместе с ним Ты установил пакет , Bezlim (ok), 11:13 , 18-Окт-17 (5)
Привет, это часть squid. Которая компилируется вместе с ним. Ты установил пакет который скомпилирован без этой части. Самый простой способ взять его для своей архитектуры с другой системы. Например в дебиан пакете squid устанавливается с ним. Можешь просто скопировать себе. Вот для Amd64 https://cloud.mail.ru/public/7ssB/G8q7MJ75b

сообщить модератору +/– ответить

Или Подключи официальный репозиторий сквида для centos yum install http ngtech, Bezlim (ok), 11:47 , 18-Окт-17 (6)
Или Подключи официальный репозиторий сквида для centos
yum install http://ngtech.co.il/repo/centos/7/squid-repo-1-1.el7.centos.... -y
Установи squid
yum install squid
Установи хелперы
yum install squid-helpers
Всё

сообщить модератору +/– ответить

Работа с Git через SOCKS5 Proxy в условиях отсутсвия DNS,

xintrea, (Socks) 08-Июл-16, 09:58 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Для нескольких записей и файлик hosts подойдет DNS чер, fantom (ok), 10:49 , 08-Июл-16 (1)
>[оверквотинг удален]
> ssh: github.com: no address associated with name
> fatal: Could not read from remote repository.
> Please make sure you have the correct access rights
> and the repository exists.
> Похоже, что ошибка эта из-за того, что git не умеет резолвить DNS-имена
> через SOCKS5 Proxy, а просто пользуется тем что есть в системе.
> А может быть, нужна какая-то дополнительная настройка.
> Вопрос. Что можно в такой ситуации сделать, чтобы git начал нормально работать
> через SOCKS5 Proxy? Понимаю, что винда, но мне сие необходимо для
> разработки СПО проектов https://github.com/xintrea.
Для нескольких записей и файлик hosts подойдет...
DNS через socks?
http://www.remoteshaman.com/news/security/dns-query-through-...
Для большего Свой ДНС локально?
сообщить модератору +/– ответить

DNS2SOCKS не подходит, так как пробрасывает DNS для всей операционки А нужно чт, xintrea (ok), 13:31 , 08-Июл-16 (2)
> Для нескольких записей и файлик hosts подойдет...
> DNS через socks?
> http://www.remoteshaman.com/news/security/dns-query-through-...
> Для большего Свой ДНС локально?
DNS2SOCKS не подходит, так как пробрасывает DNS для всей операционки. А нужно чтобы только для GIT.
сообщить модератору +/– ответить

Вам надо проксировать ssh В винде это как-то так делается https stackoverflo, Аноним (-), 14:15 , 01-Окт-17 (3)
Вам надо проксировать ssh. В винде это как-то так делается: https://stackoverflow.com/a/6739420/5082435
Понимаю, что зря пишу, но уходите с винды. Ubuntu - вполне юзабельная система.
сообщить модератору +/– ответить

Посмотрел Там непонятна строчка set the correct proxy hostname portЭту настройк, xintrea (??), 22:56 , 07-Окт-17 (4)
> Вам надо проксировать ssh. В винде это как-то так делается: https://stackoverflow.com/a/6739420/5082435
Посмотрел. Там непонятна строчка:
set the correct proxy hostname:port
Эту настройку надо сделать в строке:
ProxyCommand /bin/connect.exe -H proxy.server.name:3128 %h %p
Или эту строку трогать не надо, а имеются в виду строки:
Port 22
Hostname github.com
?
И еще вдогонку... Я сделал вот такой перевод, но не уверен что понял правильно о чем идет речь:
https://webhamster.ru/mytetrashare/index/mtb0/1507233316w3ph...
Похоже, что все-таки настраивается не соединение по SSH через промежуточную машину, а просто соединение через Proxy, который волшебным образом дальше соединяется по SSH. В общем, я не понял что там настраивается, поэтому возможно что перевод совсем некорректный.
сообщить модератору +/– ответить

Запретить домен, но пускать по прямым ссылкам этого домена,

iVladimir86, (ACL, блокировки) 12-Авг-17, 10:23 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

общий принцип простойв правилахсначала список разрешённых ссылокпотом список зап, серг (?), 06:57 , 15-Авг-17 (1)
> Здравствуйте. Интересует следующее. Как в squid настроить правила (директивы) что-бы он
> пускал
> По определенной ссылке в yourube или в определенные плэйлисты, но не пускал
> в корень сайта и не позволял искать другие ролики соответственно. Только
> набор ссылок определённых роликов.
> Гугл не помог ни русский ни забугорный.
> Очень интересно можно ли вообще так сделать?
общий принцип простой
в правилах
сначала список разрешённых ссылок
потом список запрещённых
но по youtube там не всё так однозначно, посмотрите логи squid
сообщить модератору +/– ответить

Это снова я, в итоге я делал по этой статье, но просто либо блокирует либо не бл, sequephonic (ok), 03:47 , 16-Авг-17 (2)
Это снова я, в итоге я делал по этой статье, но просто либо блокирует либо не блокирует всё.
Вот такие правила пытался добавлять до и после моих acl в которых идёт ссылка на файлы списка белого и черного списка.
acl youtube_allow url_regex -i ^http://www.youtube.com/playlist\?lis...8SfwcZJErwuhiH
acl sites dstdomain .youtube.com
http_access allow youtube_allow
http_access deny sites
Сама статья здесь: http://www.linuxquestions.org/questions/linux-enterprise-47/.../
сообщить модератору +/– ответить

99 что накосячили в регэкспах Включайте debug для секции обработки acl и изучай, прохожий (?), 18:27 , 18-Авг-17 (3)
> Это снова я, в итоге я делал по этой статье, но просто
> либо блокирует либо не блокирует всё.
> Вот такие правила пытался добавлять до и после моих acl в которых
> идёт ссылка на файлы списка белого и черного списка.
99% что накосячили в регэкспах.
Включайте debug для секции обработки acl и изучайте логи.

сообщить модератору +/– ответить

Лучше читать wiki сквида, там много чего описано, и про твой YT тоже https wi, ipmanyak (ok), 08:57 , 22-Авг-17 (4)
> Здравствуйте. Интересует следующее. Как в squid настроить правила (директивы) что-бы он
> пускал
> По определенной ссылке в yourube или в определенные плэйлисты, но не пускал
> в корень сайта и не позволял искать другие ролики соответственно. Только
> набор ссылок определённых роликов.
> Гугл не помог ни русский ни забугорный.
> Очень интересно можно ли вообще так сделать?
Лучше читать wiki сквида, там много чего описано, и про твой YT тоже:
https://wiki.squid-cache.org/ConfigExamples/Streams/YouTube
# Block YT clips
acl yt_clips url_regex .youtube\.com\/watch\?v=lr_m3GW5Cws
http_access deny yt_clips

сообщить модератору +/– ответить

Вывод сообщения для пользователя,

sdi, (ACL, блокировки) 02-Апр-13, 08:45 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Разобрался сам Путь нужно к каталогу нужно указывать без, sdi (ok), 09:27 , 02-Апр-13 (1)
>[оверквотинг удален]
> В настройках прокси в веб интерфейсе SAMS2 в пункте ПУТЬ К КАТАЛОГУ,
> ГДЕ ЛЕЖАТ ФАЙЛЫ ЗАПРЕТА ЗАПРОСА у меня прописано: http://192.168.2.222/sams2/messages
> На сервере в этой дире /var/www/sams2/message у меня лежат разные файлы и
> папка. Так же пробовал создавать здесь свои html файлы со своим
> текстом для пользователей. Все безрезультатно.
> Может быть надо где то в конфигах подправить что нибудь? Прописать конкретные
> пути к этим файлам? В инете не нашел.
> На форуме нашел похожую тему, только ему отвечает squid, а у меня
> ошибка 404: http://www.opennet.dev/openforum/vsluhforumID12/6798.html
> Подскажите, что можно сделать...
Разобрался сам.
Путь нужно к каталогу нужно указывать без messages, т.е. http://192.168.2.222/sams2/
сообщить модератору +/– ответить

gt оверквотинг удален Нужно указать http 192 168 2 222 sams2 без последнего, Пользователь (?), 16:02 , 31-Июл-17 (2)
>[оверквотинг удален]
>> На сервере в этой дире /var/www/sams2/message у меня лежат разные файлы и
>> папка. Так же пробовал создавать здесь свои html файлы со своим
>> текстом для пользователей. Все безрезультатно.
>> Может быть надо где то в конфигах подправить что нибудь? Прописать конкретные
>> пути к этим файлам? В инете не нашел.
>> На форуме нашел похожую тему, только ему отвечает squid, а у меня
>> ошибка 404: https://www.opennet.dev/openforum/vsluhforumID12/6798.html
>> Подскажите, что можно сделать...
> Разобрался сам.
> Путь нужно к каталогу нужно указывать без messages, т.е. http://192.168.2.222/sams2
Нужно указать http://192.168.2.222/sams2 (без последнего слеша)
сообщить модератору +/– ответить

Некорректная работа SQUID,

gunz, (Squid) 18-Май-17, 14:05 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

У лисы есть фенька HTTPS Everywhere , это она дописывает тебе https Осталь, ACCA (ok), 01:31 , 19-Май-17 (1)
> Есть Ubuntu Server 16. Поставил SQUID, настроил. Все работает. НО работает только
> в мозиле. В хроме и опере открывает не все сайты. Например
> яндекс\вк не открывает. Никаких ошибок. Просто бесконечно грузит. Но если дописать
> в строке https://www.(https://www.vk.com например) то сразу заходит. Подскажите
У лисы есть фенька "HTTPS Everywhere", это она дописывает тебе "https://" Остальные ждут с сайта ответ 304 и адрес с HTTPS.
Похоже, что SQUID у тебя не пропускает эти 304, а сайты больше не хотят работать по HTTP.
сообщить модератору +/– ответить

Может подскажите как сделать так, что бы пропускал squid 304 , gunz (?), 09:10 , 19-Май-17 (2)
>> Есть Ubuntu Server 16. Поставил SQUID, настроил. Все работает. НО работает только
>> в мозиле. В хроме и опере открывает не все сайты. Например
>> яндекс\вк не открывает. Никаких ошибок. Просто бесконечно грузит. Но если дописать
>> в строке https://www.(https://www.vk.com например) то сразу заходит. Подскажите
> У лисы есть фенька "HTTPS Everywhere", это она дописывает тебе "https://" Остальные
> ждут с сайта ответ 304 и адрес с HTTPS.
> Похоже, что SQUID у тебя не пропускает эти 304, а сайты больше
> не хотят работать по HTTP.
Может подскажите как сделать так, что бы пропускал squid 304?
сообщить модератору +/– ответить

Вернуть на место дефолтный конфиг К настройкам приступать только после изучения , SHRDLU (??), 19:31 , 24-Май-17 (4)
> Может подскажите как сделать так, что бы пропускал squid 304?
Вернуть на место дефолтный конфиг.
К настройкам приступать только после изучения документации.
Менять только те параметры, назначение которых понятно.

сообщить модератору +/– ответить

HELP, gunz (ok), 09:52 , 24-Май-17 (3)
> Есть Ubuntu Server 16. Поставил SQUID, настроил. Все работает. НО работает только
> в мозиле. В хроме и опере открывает не все сайты. Например
> яндекс\вк не открывает. Никаких ошибок. Просто бесконечно грузит. Но если дописать
> в строке https://www.(https://www.vk.com например) то сразу заходит. Подскажите пожалуйста
> где копать и что сделать?
HELP
сообщить модератору +/– ответить

HTTPS через SQUID,

Ruldik, (Squid) 04-Фев-13, 11:52 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вы хотели не через прозрачный прокси и не через прозрачный прокси у вас работает, ipmanyak (ok), 12:14 , 04-Фев-13 (1)
> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
> Если в самом браузере прописать проксю, то https робит.
Вы хотели не через прозрачный прокси и не через прозрачный прокси у вас работает, что еще надо? Вопрос ни к месту.
сообщить модератору +/– ответить

Как сделать без указания прокси в браузере , Ruldik (ok), 12:17 , 04-Фев-13 (2)
>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>> Если в самом браузере прописать проксю, то https робит.
> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
> вас работает, что еще надо? Вопрос ни к месту.
Как сделать без указания прокси в браузере?

сообщить модератору +/– ответить

1 Идти и читать документацию Шансов на то, что Вы прочитаешь и осознаешь то, ч, PavelR (ok), 13:42 , 04-Фев-13 (3)
>>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>>> Если в самом браузере прописать проксю, то https робит.
>> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
>> вас работает, что еще надо? Вопрос ни к месту.
> Как сделать без указания прокси в браузере?
1) Идти и читать документацию. Шансов на то, что Вы прочитаешь и осознаешь то, что кто-то будет стараться разжевать, практически нет. Я лично уже считаю это бесполезным трудом.
2) Если лениво читать документацию - почитай форум, вопрос типовой.
3) Попробуйте научиться читать хотя бы то, что пишете сами. Цитирую:
Первое:
>Подскажите как можно запустить https через прокси (не прозрачный)
сами явно пишете - "хочу непрозрачный прокси"
Второе:
> Как сделать без указания прокси в браузере?
Теперь пишете - "Как сделать без указания прокси в браузере" - т.е уже хотите прозрачный.
Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы хотите? Это дорого стоит, готовы оплатить?
4) Если лениво читать вообще, тогда ССЗБ.
сообщить модератору +/– ответить

gt оверквотинг удален Сбросил полностью iptables, указал проксю в браузере, а , Ruldik (ok), 12:28 , 06-Фев-13 (4)
>[оверквотинг удален]
> Первое:
>>Подскажите как можно запустить https через прокси (не прозрачный)
> сами явно пишете - "хочу непрозрачный прокси"
> Второе:
>> Как сделать без указания прокси в браузере?
> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
> уже хотите прозрачный.
> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
> хотите? Это дорого стоит, готовы оплатить?
> 4) Если лениво читать вообще, тогда ССЗБ.
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log

1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
сообщить модератору +/– ответить

gt оверквотинг удален Па-моему вполне себе фильтруется как раз HTTPS, в логе в, PavelR (ok), 08:46 , 07-Фев-13 (5)
>[оверквотинг удален]
>> Второе:
>>> Как сделать без указания прокси в браузере?
>> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
>> уже хотите прозрачный.
>> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
>> хотите? Это дорого стоит, готовы оплатить?
>> 4) Если лениво читать вообще, тогда ССЗБ.
> Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот
> прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть
> access.log
Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит он зафильтровался.
А вот HTTP в логе видно 200, значит он не фильтруется.
Я так вижу, что вы всё еще не понимаете чего хотите?
сообщить модератору +/– ответить

Указал проксю в браузере, а так же Использовать этот прокси-сервер для всех про, Ruldik (ok), 09:31 , 07-Фев-13 (6)
> Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит
> он зафильтровался.
> А вот HTTP в логе видно 200, значит он не фильтруется.
Указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP происходит директ на страницу блокировки, а HTTPS не хочет. В Chrome выдает (Ошибка 111 (net::ERR_TUNNEL_CONNECTION_FAILED): Неизвестная ошибка.)
конфиг squid.conf
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

сообщить модератору +/– ответить

Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется 13602249, Ruldik (ok), 12:04 , 07-Фев-13 (7)
Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94 -
Вот только, если я указываю на запрет например vk.com, не происходит DIRECT на страницу запрета!!!
1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
Подмогните с данной проблемой!!!
сообщить модератору +/– ответить

о я на такое наступал фильтровать надо по такому выражению vk com 443 а не по vk, Ustinove (ok), 00:13 , 29-Ноя-16 (8)
> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!
о я на такое наступал фильтровать надо по такому выражению vk.com:443 а не по vk.com
сообщить модератору +/– ответить
https соединение не даст тебе возможности применять свои правила, т к не происх, techbird (ok), 02:27 , 21-Май-17 (9)
> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!
https соединение не даст тебе возможности применять свои правила, т.к. не происходит дешифровка данных, если есть необходимость в блокировке то нужно читать SNI сертификата а для этого нужно читать офф.док или как выше говорили форумы https://goo.gl/IjV9yg
http://bfy.tw/BuVS
сообщить модератору +/– ответить

Прозрачный прокси ssl по белым спискам некорректное отображение,

Михаил, (Прозрачный proxy) 17-Май-17, 10:00 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

whois 5 143 224 43 ООО Спутник А говорят, что дятлы стаями не летают Зачем IC, ACCA (ok), 20:05 , 17-Май-17 (1)
> Начну с конца. ip 5.143.224.43 - мне не понятный и даже не
whois 5.143.224.43
"ООО Спутник". А говорят, что дятлы стаями не летают. Зачем ICMP, не знают, потому и режут. Про обратные DNS зоны тоже не в курсе. Зато хватает подвязок на оттяпать себе 8 сетей класса C.

> пингуется! ip 109.207.1.34 - nslookup говорит что это mail.gas-u.ru, я его
> добавляю в белый список и ничего!! А при попытке пингануть gu-st.ru
Ты можешь иметь более, чем одну A запись с разными именами, но одним и тем же IP. А вот в обратной зоне не делают более одной записи PTR для каждого адреса. Домашнее задание - прочитай, почему.

> узнать что мне нужно конкретно добавить сайт gu-st.ru в белый список
> я не понял.
Открываешь эту битую страницу в Firefox, запускаешь отладчик (Ctrl+Shift+J). Тыкаешь во все заголовки, кроме Net, (CSS, JS и проч.), чтобы они погасли. Заодно тыкаешь Clear, чтобы почистить окно.
Переключаешься в окно со страницой, обновляешь её. Переключаешься снова в отладчик, смотришь чего не хватает. Потом либо добавляешь это в whitelist, либо нет.

> Из этого вытекает другой вопрос, мне нужно для каждого такого сайта добавлять
> нужные им доменные имена?
Либо поставить чужой whitelist.

> Тот же некорректно отображаемый habrahabr.ru в access.log выдает кучу ip адресов
> которые не понятны для nslookup.
Они ему понятны. Это тебе не понятно, что он тебе ответил.

> Сам вопрос! Как мне сделать так, чтобы сайты из белого списка подтягивали
> все что им нужно от куда угодно и все хорошо отображалось?
Хорошая идея.
Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna Cry, который разбегается по SMB внутри локалки.
Потом тебя публично сношают в неприличные места и вычитают из зарплаты по $300 в биткойнах за каждую станцию в сети. В дар братскому Корейскому народу на продвижение идей чучхэ.
Возможно, что это наведёт тебя на мысль - "А может не нужно было откуда угодно?"
сообщить модератору +/– ответить

gt оверквотинг удален Ну от куда угодно я погорячился А так очень разборчивый, Михаил (??), 06:23 , 18-Май-17 (2)
>[оверквотинг удален]
> Хорошая идея.
> Заходят дети на анально огороженый mail.gas-u.ru, оттуда подсасывают НЁХ со sputnik.ru
> (см.выше), а там ссылочка на баннерную сеть, откуда приезжает JavaScript. Открывает
> под сотню XMLHTTPrequest соединений на все помойки, между делом притаскивает Wanna
> Cry, который разбегается по SMB внутри локалки.
> Потом тебя публично сношают в неприличные места и вычитают из зарплаты по
> $300 в биткойнах за каждую станцию в сети. В дар братскому
> Корейскому народу на продвижение идей чучхэ.
> Возможно, что это наведёт тебя на мысль - "А может не нужно
> было откуда угодно?"
Ну от куда угодно я погорячился! А так очень разборчивый и ясный ответ! Большое спасибо!
сообщить модератору +/– ответить

squid Delay Pools не режет скорость,

ramzes3000, (Ограничение трафика) 07-Дек-16, 20:24 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Правила-A PREROUTING -p tcp -m tcp -i eno1 107 --dport 8, ramzes3000 (ok), 11:29 , 08-Дек-16 (1)
>[оверквотинг удален]
> http_access deny all
> http_port 3128 transparent
> cache_dir ufs /var/spool/squid 1000 16 256
> coredump_dir /var/spool/squid
> cache_mem 2000 MB
> delay_pools 1
> delay_class 1 2
> delay_parameters 1 125000/125000 125000/125000
> delay_access 1 allow test
> delay_access 1 deny all
Правила
-A PREROUTING -p tcp -m tcp -i eno1.107 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eno1.1245 -j MASQUERADE
eno1.107 - локальная сеть
eno1.1245 - внешний инт.
сообщить модератору +/– ответить
Когда-то, давным-давно, была вот http www squid-cache org mail-archive squid-u, Andrey Mitrofanov (?), 13:19 , 08-Дек-16 (2)
> Здравствуйте.
> ОС Centos 7
> squid 3.3
> сеть 192.168.0.0/24
> не режет
> delay_pools 1
Когда-то, давным-давно, была вот http://www.squid-cache.org/mail-archive/squid-users/200305/0... такая проблема http://bugs.squid-cache.org/show_bug.cgi?id=219 .
Проверь, режет ли после именно _рестарта_, а не -k reconfigure. Может, это оно...
сообщить модератору +/– ответить
Как определил, что не режет Скорость в инет какую пров дает , ipmanyak (ok), 13:26 , 09-Дек-16 (3)
Как определил, что не режет? Скорость в инет какую пров дает?
сообщить модератору +/– ответить

Скорость от пров-ра 50 мб Определил спидтестом Раньше, на другом серваке, с так, ramzes3000 (ok), 14:54 , 09-Дек-16 (4)
> Как определил, что не режет? Скорость в инет какую пров дает?
Скорость от пров-ра 50 мб.
Определил спидтестом.
Раньше, на другом серваке, с такими же настройками, строго speedtest.net показывал указаннуюс настройках скорость.
сообщить модератору +/– ответить

обновился до 3 5 - проблема не решена , ramzes3000 (ok), 20:00 , 14-Дек-16 (5)
обновился до 3.5 - проблема не решена.
сообщить модератору +/– ответить

с документации чтобы включить функции пулов задержки в Squid, настройте --enabl, ramzes3000 (ok), 20:58 , 15-Мрт-17 (6)
> обновился до 3.5 - проблема не решена.
с документации:
чтобы включить функции пулов задержки в Squid, настройте --enable-delay-pools перед компиляцией.
По ихней инструкции не получилось собрать.
Может у кого есть готовый Squid с --enable-delay-pools

Небольшая цитата посла make install
Making install in doc
make[1]: Вход в каталог `/home/squid-3.5.24/doc'
Making install in manuals
make[2]: Вход в каталог `/home/squid-3.5.24/doc/manuals'
make[3]: Вход в каталог `/home/squid-3.5.24/doc/manuals'
make[3]: Цель `install-exec-am' не требует выполнения команд.
make[3]: Цель `install-data-am' не требует выполнения команд.
make[3]: Выход из каталога `/home/squid-3.5.24/doc/manuals'
make[2]: Выход из каталога `/home/squid-3.5.24/doc/manuals'
Making install in release-notes
make[2]: Вход в каталог `/home/squid-3.5.24/doc/release-notes'
make[3]: Вход в каталог `/home/squid-3.5.24/doc/release-notes'
make[3]: Цель `install-exec-am' не требует выполнения команд.
make[3]: Цель `install-data-am' не требует выполнения команд.
make[3]: Выход из каталога `/home/squid-3.5.24/doc/release-notes'
make[2]: Выход из каталога `/home/squid-3.5.24/doc/release-notes'
make[2]: Вход в каталог `/home/squid-3.5.24/doc'
make[3]: Вход в каталог `/home/squid-3.5.24/doc'
make[3]: Цель `install-exec-am' не требует выполнения команд.
make[3]: Цель `install-data-am' не требует выполнения команд.
make[3]: Выход из каталога `/home/squid-3.5.24/doc'
make[2]: Выход из каталога `/home/squid-3.5.24/doc'
make[1]: Выход из каталога `/home/squid-3.5.24/doc'
Making install in helpers
make[1]: Вход в каталог `/home/squid-3.5.24/helpers'
Making install in basic_auth
make[2]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth'
Making install in DB
make[3]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/DB'
make[4]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/DB'
/usr/bin/mkdir -p '/usr/lib/squid'
/usr/bin/install -c basic_db_auth '/usr/lib/squid'
/usr/bin/mkdir -p '/usr/share/man/man8'
/usr/bin/install -c -m 644 basic_db_auth.8 '/usr/share/man/man8'
make[4]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/DB'
make[3]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/DB'
Making install in MSNT-multi-domain
make[3]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/MSNT-multi-domain'
make[4]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/MSNT-multi-domain'
/usr/bin/mkdir -p '/usr/lib/squid'
/usr/bin/install -c basic_msnt_multi_domain_auth '/usr/lib/squid'
/usr/bin/mkdir -p '/usr/share/man/man8'
/usr/bin/install -c -m 644 basic_msnt_multi_domain_auth.8 '/usr/share/man/man8'
make[4]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/MSNT-multi-domain'
make[3]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/MSNT-multi-domain'
Making install in NCSA
make[3]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/NCSA'
make[4]: Вход в каталог `/home/squid-3.5.24/helpers/basic_auth/NCSA'
/usr/bin/mkdir -p '/usr/lib/squid'
/bin/sh ../../../libtool --mode=install /usr/bin/install -c basic_ncsa_auth '/usr/lib/squid'
libtool: install: /usr/bin/install -c basic_ncsa_auth /usr/lib/squid/basic_ncsa_auth
/usr/bin/mkdir -p '/usr/share/man/man8'
/usr/bin/install -c -m 644 basic_ncsa_auth.8 '/usr/share/man/man8'
make[4]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/NCSA'
make[3]: Выход из каталога `/home/squid-3.5.24/helpers/basic_auth/NCSA'

Спасибо.
сообщить модератору +/– ответить

Skype через Squid,

ipmanyak, (Squid) 06-Окт-16, 15:18 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

добавил еще подсетей 40-вые, звонок стал проходить, но нет звука , ipmanyak (ok), 09:06 , 07-Окт-16 (1)

Продолжаем тренеровать гибкость позвоночника -- я пойду телеграмчик для rhel-а п, Andrey Mitrofanov (?), 09:26 , 07-Окт-16 (2) +1

Дык стоить копать дальше иди скайп через сквид теперь не работает нормально , ipmanyak (ok), 15:11 , 07-Окт-16 (3)

Может, обновили протокол из-за того, что стали появляться самодельные клиенты дл, Exploit (ok), 16:34 , 07-Окт-16 (4)

Все сторонние клиенты используют Web API, т е по сути обвязка над web-интерфейс, Аноним (-), 20:11 , 07-Окт-16 (5)

Можно файлик с сетями глянуть У себя добавил аналогичные строки В логах скайпа , Ustinove (ok), 16:09 , 09-Окт-16 (6)

Официально список поддоменов и сетей в том числе IPV6 опубликован здесь в конце, ipmanyak (ok), 13:17 , 10-Окт-16 (7)

Удалось запустить скайп через прокси с акселями на подсети и поддомены и с одно, ipmanyak (ok), 15:07 , 12-Окт-16 (8)

Если не трудно то можно по подробней Список подсетей необходимо добавлять в конф, Ustinove (ok), 23:15 , 12-Окт-16 (9)

gt оверквотинг удален подсети, на который надо NAT-ить, я уже привел выше У н, ipmanyak (ok), 10:07 , 13-Окт-16 (10)
>[оверквотинг удален]
>> Скайп тычется во все дырки.
>> P.S.
>> Старые версии скайпа ходят на другие сети и работают через прокси. Старющая
>> версия под Windows XP  - работает.
> Если не трудно то можно по подробней:
> Список подсетей необходимо добавлять в конфиге сквид, натить на сколько я понял
> необходимо в правилах iptables? Но как это сделать правильно может как
> то из файла можно подтянуть что бы кучу правил руками не
> набирать.
> Автор поделись если можешь правилами сквида и iptables.
подсети, на который надо NAT-ить, я уже привел выше. У нас пограничный рутер циска и NAT включен там. На IPTABLES,видимо, надо задействовать NAT или Маскарад с привязкой к dst ip, что-то типа
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0

в сквиде, правила выше всех других
acl skypenet  dst "/etc/squid/skype_networks"
acl skypedom  dstdomain "/etc/squid/skype_domains"
acl localnet src 10.0.0.0/8
http_access allow skypenet localnet
http_access allow skypedom localnet
в файле "/etc/squid/skype_domains"
.aka.ms
.micrisoft.com
.microsoftonline.com
.skypeassets.com
.lync.com
.aria.microsoft.com
.aspnetcdn.com
.msecnd.net
.azure.net
.skype.com
.windows.net
.msads.net
.adnxs.com
.trouter.io
.globalsign.com
попробуй пока без акселя
acl skypenet  dst "/etc/squid/skype_networks"
если не прокатит, то выложу  его сюда
сообщить модератору +/– ответить

Все добавил но как то странно скайп перестал менять стату на в сети Постоянно , Ustinove (ok), 15:51 , 13-Окт-16 (11)
> попробуй пока без акселя
> acl skypenet dst "/etc/squid/skype_networks"
> если не прокатит, то выложу его сюда
Все добавил. но как то странно скайп перестал менять стату на "в сети"
Постоянно крутит значек подключения
я ведь не чего не напутал
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
192.168.0.0/24 - локалка
65.52.0.0/14 -сети скайпа
eth0 -интерфейс на проксе который смотрит в мир.
Тот же список в сквид добавил правилами приведенными выше.
После добавления сетей в конфе сквида получаем такое состояние.
(может верхом как то можно выкинуть его- и через проксю не прогонять)
сообщить модератору +/– ответить

gt оверквотинг удален Решили проблему , kolin (ok), 14:19 , 28-Ноя-16 (12)
>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)
Решили проблему?
сообщить модератору +/– ответить
gt оверквотинг удален Добавил правило acl skypenet dst etc squid skype_netw, kolin (ok), 17:25 , 28-Ноя-16 (13)

>[оверквотинг удален]
> сети"
> Постоянно крутит значек подключения
> я ведь не чего не напутал
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.52.0.0/14 -o eth0
> 192.168.0.0/24 - локалка
> 65.52.0.0/14 -сети скайпа
> eth0 -интерфейс на проксе который смотрит в мир.
> Тот же список в сквид добавил правилами приведенными выше.
> После добавления сетей в конфе сквида получаем такое состояние.
> (может верхом как то можно выкинуть его- и через проксю не прогонять)
Добавил правило acl skypenet dst "/etc/squid/skype_networks" с вышеобозначенными сайтами.
Скайп логинится, контакты ищет, с тестовым контактом голосом обменивается, но
Пишет что убогая связь, проблемы.
Завтра попытаюсь добавить правило с IP адресами.
А у вас все ок?
сообщить модератору +/– ответить

Проблема пока не решена, собираю проксю с версией 3 5 20 переделываю правила ipt, Ustinove (ok), 22:43 , 29-Ноя-16 (14)

> А у вас все ок?
Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables, на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
сообщить модератору +/– ответить

Посмотрите тут https forum it-kb ru viewtopic php f 52 t 251 проблема похоже н, slava007 (ok), 16:13 , 01-Дек-16 (15)
>> А у вас все ок?
> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на Вашу, решается откатом обновления skype

сообщить модератору +/– ответить

Надеюсь вы сможете решить проблему, новые версии скайпа 7 16 не работают чер, Diego (??), 08:11 , 06-Дек-16 (16)
>>> А у вас все ок?
>> Проблема пока не решена, собираю проксю с версией 3.5.20 переделываю правила iptables,
>> на тестовой тачка испытания показали успех. Так что сейчас конфиг тестовой
>> максимально пытаюсь приблизить к боевой. Думаю что возможно что-то и выйдет.
> Посмотрите тут https://forum.it-kb.ru/viewtopic.php?f=52&t=251 проблема похоже на
> Вашу, решается откатом обновления skype
Надеюсь вы сможете решить проблему, новые версии скайпа ( >7.16) не работают через прокси
Я так и не смог победить. пришлось все в компании откатывать скайп до версии 7.16

сообщить модератору +/– ответить

1 марта 17 года версии 7 16 и ниже работать не будут Пруф https blogs skype c, fordiego (ok), 13:26 , 10-Фев-17 (17)
1 марта 17 года версии 7.16 и ниже работать не будут! Пруф:
https://blogs.skype.com/news/2017/02/03/the-skype-you-love-i.../
ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно что-то делать!
Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп в обход squid.
сообщить модератору +/– ответить

, holydronehead (?), 12:08 , 14-Мрт-17 (18)
> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
> что-то делать!
> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
> в обход squid.
+

сообщить модератору +/– ответить

У себя сделали частично скапй частью проходит прокси без авторизации а часть, Ustinove (ok), 23:54 , 14-Мрт-17 (19)
>> ТП мелкософта, тупо забили на поддержку прокси в новых версиях. Нужно срочно
>> что-то делать!
>> Напишите пожалуйста список сетей и доменов, правила в сквиде как пустить скайп
>> в обход squid.
У себя сделали частично.... скапй частью проходит прокси без авторизации а часть через прокси с авторизацией в зависимости от групп в АД.
Работает но не всегда на 100% если интересует то попробую найти старые записи по настройке такой модели.
сообщить модератору +/– ответить

Помогите разобраться где накосячил ,

gimm, (Squid) 26-Фев-17, 20:47 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вероятно, тут -------------Попробуйте если не лень и есть вера в успех раписат, PavelR (??), 21:07 , 26-Фев-17 (1)
>Помогите разобраться где накосячил
Вероятно, тут:
> Установил squid через webmin (прошу не закидать тазами )
-------------
>Установил
>Делаю
Попробуйте (если не лень и есть вера в успех) раписать детально все производимые действия.

сообщить модератору +/– ответить

Зашел в webmin в вкладку прокси squid нажал установить , он его поставил указал , gimm (ok), 21:24 , 26-Фев-17 (2) –1
>>Помогите разобраться где накосячил
> Вероятно, тут:
>> Установил squid через webmin (прошу не закидать тазами )
> -------------
>>Установил
>>Делаю
> Попробуйте (если не лень и есть вера в успех) раписать детально все
> производимые действия.
Зашел в webmin в вкладку прокси squid нажал установить , он его поставил указал путь к конфигу , ну и собственно все и дальше пошли ошибки кеша
сообщить модератору –1 +/– ответить

gt оверквотинг удален есть так же идея поставить его ручками и через sams поп, gimm (ok), 21:28 , 26-Фев-17 (3) –2
>[оверквотинг удален]
>> Вероятно, тут:
>>> Установил squid через webmin (прошу не закидать тазами )
>> -------------
>>>Установил
>>>Делаю
>> Попробуйте (если не лень и есть вера в успех) раписать детально все
>> производимые действия.
> Зашел в webmin в вкладку прокси squid нажал установить , он его
> поставил указал путь к конфигу , ну и собственно все и
> дальше пошли ошибки кеша
есть так же идея поставить его ручками и через sams попробовать заюзать
сообщить модератору –2 +/– ответить

ох уже эти эникеи-студенты-по-объявлениюдля начала разберись как нормально, ручк, Аноним (-), 23:29 , 26-Фев-17 (4) +2
>> Зашел в webmin в вкладку прокси squid нажал установить , он его
>> поставил указал путь к конфигу , ну и собственно все и
>> дальше пошли ошибки кеша
> есть так же идея поставить его ручками и через sams попробовать
> заюзать
ох уже эти эникеи-студенты-по-объявлению
для начала разберись как нормально, ручками, через ssh установить и сделать базовую настройку сквида, чтоб хотя бы базовые концепты понять
а потом уже юзай самсы, вэбморды, и прочие ыффективные хостинг-панели
понимая азы будет гораздо проще разобраться с вэбмордами и прочей хренью для домохозяек и недобитых вантузятников
сообщить модератору +2 +/– ответить

С таким уровнем подробности описания действий на SUBJ я могу ответить так Вот гд, PavelR (??), 05:26 , 27-Фев-17 (5)
>> Попробуйте раcписать детально все
> Зашел в webmin в вкладку прокси squid нажал установить , он его
> поставил указал путь к конфигу , ну и собственно все
С таким уровнем подробности описания действий на SUBJ я могу ответить так:
> Зашел в webmin в вкладку прокси squid нажал установить , он его
> поставил указал путь к конфигу , ну и собственно все
Вот где-то тут и накосячил.
Хотя, предположительно, были совершены еще какие-то действия. Накосячено, вероятно, и в них тоже.
сообщить модератору +/– ответить

gt оверквотинг удален Ругается на строку 3468, там у вас cache_dir формата roc, анон (?), 13:44 , 28-Фев-17 (6)
>[оверквотинг удален]
> , но происходит "FATAL: Bungled /etc/squid/squid.conf line 3468: cache_dir rock /hdd1
> ... min-size=100000
> Squid Cache (Version 3.5.12): Terminated abnormally.
> CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
> Maximum Resident Size: 159024 KB
> Page faults with physical i/o: 0"
> Редактировал данные каталоги "/hdd1, /ssd1, /hdd2, /ssd2, /hdd3, /ssd3" , но
> после сохранения и повторного запуска удаляются все значения и появляется "min-size=100000
> " в
> группе каталог 1 уровня , подскажите как решить данную проблему.
Ругается на строку 3468, там у вас cache_dir формата rock (один целый файл), чтобы понять что к чему, почитайте на squid-cache.org про ROCK формат. На сколько я помню важен порядок min-size в конфигурационном файле.
сообщить модератору +/– ответить
gt оверквотинг удален Попробую покапитанствовать, инициализация кэша в squid п, анон (?), 13:52 , 28-Фев-17 (7)
>[оверквотинг удален]
> , но происходит "FATAL: Bungled /etc/squid/squid.conf line 3468: cache_dir rock /hdd1
> ... min-size=100000
> Squid Cache (Version 3.5.12): Terminated abnormally.
> CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
> Maximum Resident Size: 159024 KB
> Page faults with physical i/o: 0"
> Редактировал данные каталоги "/hdd1, /ssd1, /hdd2, /ssd2, /hdd3, /ssd3" , но
> после сохранения и повторного запуска удаляются все значения и появляется "min-size=100000
> " в
> группе каталог 1 уровня , подскажите как решить данную проблему.
Попробую покапитанствовать, инициализация кэша в squid проводится командой squid -z перед первым запуском и еще есть ключ -N, для работы в foreground, попробуйте.
сообщить модератору +/– ответить

gt оверквотинг удален В проблеме разобрался, через консоль я поднимал его , но, gimm (ok), 16:58 , 28-Фев-17 (8)
>[оверквотинг удален]
>> CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
>> Maximum Resident Size: 159024 KB
>> Page faults with physical i/o: 0"
>> Редактировал данные каталоги "/hdd1, /ssd1, /hdd2, /ssd2, /hdd3, /ssd3" , но
>> после сохранения и повторного запуска удаляются все значения и появляется "min-size=100000
>> " в
>> группе каталог 1 уровня , подскажите как решить данную проблему.
> Попробую покапитанствовать, инициализация кэша в squid проводится командой squid -z перед
> первым запуском и еще есть ключ -N, для работы в foreground,
> попробуйте.
В проблеме разобрался, через консоль я поднимал его , но очень хотелось поднять через webmin ибо это забавно , нужно пробовать новые игрушки
сообщить модератору +/– ответить

Срочно нужна помощь Squd не работает!,

bearwoolf, (Squid) 26-Янв-17, 15:02 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Новые логи, по ним на Юлмарт и опеннет заходи а на yandex и mail ru нет148543376, bearwoolf (ok), 15:31 , 26-Янв-17 (1) –1
Новые логи, по ним на Юлмарт и опеннет заходи а на yandex и mail.ru нет
1485433769.180     89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ - HIER_DIRECT/94.142.141.14 text/html
1485433769.253     55 192.168.21.210 TCP_MISS/200 533 GET http://top-fwz1.mail.ru/counter? - HIER_DIRECT/217.69.136.175 image/gif
1485433769.338     79 192.168.21.210 TCP_MISS/200 1116 GET http://www.opennet.dev/favicon.png - HIER_DIRECT/94.142.141.14 image/png
1485433774.279  47921 192.168.21.210 TCP_MISS/200 2802 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433782.388  10760 192.168.21.210 TCP_MISS/200 137 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433786.330  59971 192.168.21.210 TCP_MISS/503 0 CONNECT beacons.gvt2.com:443 - HIER_NONE/- -
1485433786.330  59941 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.330  59343 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.389  13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.390  13799 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391  13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391  13801 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392  13802 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392  13803 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433794.378  59694 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433798.381  59977 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433799.169  60000 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433805.147  32560 192.168.21.210 TCP_MISS/200 7691 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149  32561 192.168.21.210 TCP_MISS/200 1275 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149  32561 192.168.21.210 TCP_MISS/200 187975 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433806.237  59428 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433807.579  34991 192.168.21.210 TCP_MISS/200 68402 CONNECT www.ulmart.ru:443 - HIER_DIRECT/178.248.236.28 -
1485433816.333  59943 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433816.333  59942 192.168.21.210 TCP_MISS/503 0 CONNECT beacons2.gvt2.com:443 - HIER_NONE/- -
1485433817.009  60009 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433823.403  60036 192.168.21.210 TCP_MISS/503 0 CONNECT yandex.ru:443 - HIER_NONE/- -
1485433823.403  60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433823.403  60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433824.404  59720 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433825.404  59761 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433825.404  59760 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433832.409  59818 192.168.21.210 TCP_MISS/503 0 CONNECT vk.com:443 - HIER_NONE/- -
1485433832.409  59821 192.168.21.210 TCP_MISS/503 0 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE/- -
1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagservices.com:443 - HIER_NONE/- -
1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443 - HIER_NONE/- -
1485433833.234  60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
сообщить модератору –1 +/– ответить

tcpdump -i eth0 host mail ru and port 443tcpdump verbose output suppressed, use, bearwoolf (ok), 15:55 , 26-Янв-17 (2)
tcpdump -i eth0 host mail.ru and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
сообщить модератору +/– ответить
Вижу, http проходит Вижу, https не проходит https на юлмарт проходит По спис, Andrey Mitrofanov (?), 15:59 , 26-Янв-17 (3)
> Новые логи, по ним на Юлмарт и опеннет заходи а на yandex
> и mail.ru нет
> 1485433769.180     89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ -
Вижу, http проходит.
> HIER_DIRECT/94.142.141.14 text/html> 1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443
> - HIER_NONE/- -
Вижу, https не проходит.
> 1485433833.234  60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443
> - HIER_DIRECT/37.29.104.164 -
... https на юлмарт проходит.
По списку _access-ов, и тому, что user (ip по кр.мере) один...
#>> http_access allow all Internet
#>> http_access deny Internetmin black_list
#>> http_access allow all Internetmin
#>> http_access deny all
...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny ... black_list`. Попробуй без этого http_access-deny-я ?...
Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем не обязано совпадать с обратным~~~).
сообщить модератору +/– ответить

gt оверквотинг удален Оставил только http_access allow allВсе равно не работае, bearwoolf (ok), 16:03 , 26-Янв-17 (4)
>[оверквотинг удален]
> По списку _access-ов, и тому, что user (ip по кр.мере) один...
> #>> http_access allow all Internet
> #>> http_access deny Internetmin black_list
> #>> http_access allow all Internetmin
> #>> http_access deny all
> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
> ... black_list`. Попробуй без этого http_access-deny-я ?...
> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
> не обязано совпадать с обратным~~~).
Оставил только http_access allow all
Все равно не работает( меня сожрут юзеры
сообщить модератору +/– ответить

gt оверквотинг удален Кажись помогло AG dns_v4_first Этот тэг определяет как, bearwoolf (ok), 16:17 , 26-Янв-17 (5)
>[оверквотинг удален]
>> #>> http_access deny Internetmin black_list
>> #>> http_access allow all Internetmin
>> #>> http_access deny all
>> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
>> ... black_list`. Попробуй без этого http_access-deny-я ?...
>> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
>> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
>> не обязано совпадать с обратным~~~).
> Оставил только http_access allow all
> Все равно не работает( меня сожрут юзеры
Кажись помогло!
AG: dns_v4_first. Этот тэг определяет какой протокол будет предпочтительней для Squid при подключении к веб-сайтам. По умолчанию IPv6.
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟