> acl mime-test rep_mime_type -i audio/*

правильно по-моему так:
acl mime-test   rep_mime_type -i  ^audio/

acl CONNECT method CONNECT
acl SSL_ports port 443 #добавь порты, если надо
http_access allow CONNECT SSL_ports

Ну и, элементы ActiveX, могут вообще общаться на своем порту, отследи на каком, и разреши доступ для метода CONNECT

> Выгладит это как будто сквид рвет соединения не возвращаея код статуса.

У меня была ситуация, когда ActivX приложения не проходили авторизацию на прокси, поэтому пришлось для конкретных доменов её не использовать.

А если попробовать параметр:
ignore_expect_100 on

> Находил в нете статью, где человек настраивает данную связку, только sams предлагает
> скачать свой. Я же хочу с оф. сайта, а он не
> идет. Что делать?

Вероятно, продолжать хотеть.

Как оказалось он так себя ведет, если работать с родным шаблоном. В случае создания нового шаблона и работы с ним, ошибка исчезает.

А никто не наблюдает проблем с загрузкой картинок в яндекс маркете? Часть просто не грузится, при обновлении то одни не грузятся, то другие. В логах:
TCP_MISS/304 246 GET http://mdata.yandex.net/i?path=b0609151755_img_id72834044593... - DIRECT/93.158.134.108 -
TCP_MISS/200 3074 GET http://mdata.yandex.net/i?path=b0623120601_img_id90656112214... - DIRECT/77.88.21.108 image/jpeg

То есть первая - не загружается, а вторая - загружается.
Сперва были сообщения о нехватке процессов для урл_реврайтера, после увеличения их количества сообщения пропали, но проблемы с загрузкой похоже остались.

Все новое, хорошо забытое старое!!!
Сегодня 01 Августа 2013 г.
История повторяется.
У меня народ работает с проектами в яндексе, глючит и тормозит страшно.
Походу не отдает или коряво отдает xml
Я до конца все не читал...

День добрый уважаемые "форумчани"
Помогите разобраться в проблеме.
Имеетя Squid 2.7+sarg настроен давно,и не мной.
В нем настроен Запрет на посещение определенных сайтов определенным IP.
Так вот, ip адрес который добавляется в черный список, не может посещать сайт yandex.ua, хотя сам сайт не прописан в черном списке блокируемых сайтов.Если этот IP-шник удалить из черного списка то на яндекс зайти можно без проблем.
Что его не пропускает? Куда посмотреть?
Что может нужно выложить сюда"настройки, исходный код".

squid 3.5.22 vs 3.1.8

'--enable-auth' vs '--enable-auth=basic,digest,ntlm,negotiate'

У тебя в опции -out ошибка. Должно быть что-то вроде /home/user/
Никаких C:
Не переживай, это частая ошибка начинающих админов локалхостов.

>[оверквотинг удален]
> -out C:\123\squid3.keytab
> Пытаюсь настроить авторизацию через AD, но не пускает, в лога вот что
>  ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message:
> received type 1 NTLM token; }}
> если fqdn сервера меняю на такой proxy.domain.dn и
> ktpass -princ HTTP/proxy.domain.dn@DOMAIN.DN -map user user -pass password -ptype KRB5_NT_PRINCIPAL
> -out C:\123\squid3.keytab
> , то все работает.
> fqdn прокси сервера менять нельзя.
> возможно ли подружить 2 домена. и если да то как?

То, что у Вас написано в hostname не имеет значения. Вам нужно указать в принципале адрес прокси сервера. То есть, если с настройках рабочей станции Вы указываете адрес прокси proxy.domain.dn то принципал должен быть HTTP/proxy.domain.dn@DOMAIN.DN, как у Вас и сделано.

любые обходы будут выявлены хотя бы тупо по объему трафика, т.ч. если блокировки по распоряжению руководства то вы напрашиваетесь на неприятности, поэтому купите планшет и сим-карту и обсматритесь youtube

>Оба настроены в режиме прозрачного прокси.
>Основной рабочий squid прописан у пользователей в качестве шлюза.

независимо от того, что первый "настроен в режиме прозрачного прокси", он прозрачным не является, т.к. прописан явно.

Значит и второй прозрачным "прозрачно" не станет.

> Добрый день.
> В конторе есть сервачек со squid. Подняли новый тестовый сервер со squid.
> Оба настроены в режиме прозрачного прокси. Основной рабочий squid прописан у
> пользователей в качестве шлюза.
> Надо перекинуть определенных пользователей (по ip) с основного сервера на тестовый. Не
> могу додуматься как...
> Пробовал iptables -t nat -I PREROUTING -s x.x.x.x --dport 443 -j DNAT
> --to-destination x.x.x.x:3129 не катит. Как сделать правильно?

tcpdump и iptables-save с тестового показывайте

> Добрый день.
> В конторе есть сервачек со squid. Подняли новый тестовый сервер со squid.
> Оба настроены в режиме прозрачного прокси. Основной рабочий squid прописан у
> пользователей в качестве шлюза.
> Надо перекинуть определенных пользователей (по ip) с основного сервера на тестовый. Не
> могу додуматься как...
> Пробовал iptables -t nat -I PREROUTING -s x.x.x.x --dport 443 -j DNAT
> --to-destination x.x.x.x:3129 не катит. Как сделать правильно?

1  создать таблицу маршрутов с дефоултным шлюзом на тестовый
2 создать правило для определенных пользователей (по ip) смотреть  новую
таблицу

> Совсем новичек в squid,подскажите в какую сторону копать,задача такая - сделать проксируемую
> копию сайта (http)

Я не понял. Большинство сайтов проксируются. Это про Cache control - какие заголовки добавить в страницы чтоб они кэшировались? https://developers.google.com/web/fundamentals/performance/o...

> Поставил на CentOS 7 x64 squid.

Нет такого CentOS.

> В общем господа спецы хелп ми.

ты забыл добавить "плиз"

> В файле конфигурации squid прописал
> visible_hostname fw
> pid_filename /run/squid.pid
> результат тот же.
> Попробовал
> chown squid:squid /run/squid.pid
> Не помогло

зачем? откуда инфо что это нужно делать?

> Есть прокси squid 2.7.STABLE8, выявилась следующая проблема, не пропускает сайт с кириллическим
> доменом по порту 11080, выдает следующее сообщение
> "(10061) WSAECONNREFUSED, Connection refused. " других проблем с данным прокси не наблюдается.
> Подскажите, что можно сделать в таком случае?

Смириться с бренностью бытия.

но при этом если привести конфиг скида и дать чуть больше инфы мы вам скажем спасибо, за то, что мы вам сможем помочь...

например по коду ошибки на правах анального экстрасенса вангую что скид вертится на х^W вантузе ... информация абсолютно неважная, ведь это НАМ надо, а не вам ...

вовторых по ошибке и порту вангую что этот порт не находится в ACL SAFE_PORTS и возможно надо рыть в ту сторону, но так как вы конфиг не сочли нужным показать - я не считаю возможным это утверждать.

в третьих как уже сказали проверить файрволлы (тоже на вантузе??? 0_о )

задолбали уже, чукчаписатели, хотите помощи - дайте инфы ...

> Есть прокси squid 2.7.STABLE8, выявилась следующая проблема, не пропускает сайт с кириллическим
> доменом по порту 11080, выдает следующее сообщение
> "(10061) WSAECONNREFUSED, Connection refused. " других проблем с данным прокси не наблюдается.
> Подскажите, что можно сделать в таком случае?

порт 11080 не является стнадртом для HTTP трафика, потому он в сквиде не прописан, добавьте:

acl Safe_ports port 11080
до кучи
acl Safe_ports port 8080
acl Safe_ports port 8801
acl Safe_ports port 8081
acl Safe_ports port 8101

> Есть прокси squid 2.7.STABLE8, выявилась следующая проблема, не пропускает сайт с кириллическим
> доменом по порту 11080, выдает следующее сообщение
> "(10061) WSAECONNREFUSED, Connection refused. " других проблем с данным прокси не наблюдается.
> Подскажите, что можно сделать в таком случае?

да не работал вчера ссту.рф :) так что проблема не в прокси :)

set skip on lo0 ?

Правила не очень хорошо написаны.

Пробовали включать squidguard без поиска по ldap?

#net ads keytab list
в студию

>[оверквотинг удален]
> delay_parameters 1 500000/500000 -1/-1
> http_port 3128
> cache_mem 256 MB
> cache_dir ufs /var/spool/squid3 300 16 256
> maximum_object_size 4 MB
> maximum_object_size_in_memory 512 KB
> access_log daemon:/var/log/squid3/access.log squid
> logfile_rotate 20
> forwarded_for transparent
> dns_v4_first on

500000 байт * 8 = 4 000 000 бит
у вас канал в инет какой?
как именно вы хотите резать скорость для пользователей?
500000/500000 -1/-1  # фактически каждому  юзеру вы ничего не ограничили, а ограничили канал на всех.
Для понимания
delay_parameters  1 -1/-1 2000/16000
-1/-1 – весь канал отдать сквиду  - анлимитед, а индивдуально на каждого юзверя ведерки по 16кб, а струйка в него в 2кб !  (сначала быстро усосет 16кб, а потом будет лить со скоростью в 2кб/cек)  точнее - быстро будет усасывать объекты размером до 16кб , объекты больше 16кб будет сосать на скорости 2кб

весь канал сквиду отдавать нельзя, ведь есть еще другие сервисы, FTP,почта и др, потому -1/-1  не советую юзать.

допустим канал 64килобайт/сек, сквиду даем 40килобайт, спецюзерам даем ведра по 8КБ, разрешаем лить большие файлы на скорости 4КБ , хилым юзерам даем ведра по 4КБи пипку по в них по 1КБ для больших файлов.
acl special_users src 192.168.1.2 192.168.1.3
acl low_users src 192.168.1.4 192.168.1.5
http_access allow special_users
http_access allow low_users
delay_pools 1
delay_class 1 2
delay_class 2 2
delay_access 1 allow special_users
delay_access 1 deny all
delay_access 2 allow low_users
delay_access 2 deny all
delay_parameters 1 40000/40000 4000/8000
delay_parameters 2 40000/40000 1000/4000

Так что вам прокси отвечает? Таймаут или денай?
Дело может крыться в iptables

> уважаемые спецы, если не сложно можете помочь с открытием доступа на ftp,
> telnet. В Save_ports они есть, но при обращении не работает ни
> ftp ни telnet. Да и любые другие кроме 80 и 443.

Squid = http-прокси. То есть ничего, за небольшими исключениями, кроме HTTP он не умеет.

Небольшие исключения:
- https: в броузерах сделан _http_ проксированием tcp-соединения (метод HTTP CONNECT и явное прописывание прокси в броузере). При таком https прокси не заглядывает "внутрь" https, не "видит" обычного http, "видит" только атрибуты tcp-соединения (ipA:портА => ipБ:портБ или около того).
- https с ssl-bump-ом (подмена сертификата и _заворот_ трафика ("прозрачный" прокси))
- ftp-через-http-прокси: прокси общается с клиетом по http, а с сервером по ftp.
- какой-то там gopher, может ещё что-то.

Некоторые _клиенты_ могут прикидываться для прокси CONNECT-клиетом и "прокидывать" через него (если тот позволит) соединения к не-https-серверам. Многие jabber клиенты, например.

"Обычные" клиенты ftp (не броузеры!) и telnet (и ssh, и все и любые другие!, в которых использование CONNECT-прокси не предусмотрено и не реализовано), через squid "сами" не пойдут. А пойдут они через него не сами (если кто им поможет, например(таких помощников я не знаю - обёртки типа socksify, возможны, наверное)) или пойдут _не_ через него.

Чтобы пустить те не-http-клиенты не через squid, нужно изучать файерволы.

> Так-же не могу понять как открыть порт например для icq 5190, куда
> прописать этот порт в Safe или SSL и нужно ли делать
> отдельное правило доступа?
>  ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов
> на которые пока ответ не найден.

TCP-сети, роутинги, файерволы также ждут Вас.

Наверное... Может быть, я и упустил что-то и будет найдено более другое решение.

>  ПС. Со сквидом только недавно начал разбираться, опыта почти нет.Много вопросов
> на которые пока ответ не найден.

<troll mode> Кстати, FreeBSD или Ubuntu?</troll /mode>

Я не БСДшник, но есть предположения:
Вы уточните, в каком месте пишется wbinfo not found?
Если имеется ввиду локальный бинарник, то могу предположить, что при старте с системой сквид запускается с такой переменной PATH, в путях котой нет пути до wbinfo. А когда вы его перезапускаете руками из консоли - PATH в вашем окружении со всеми нужными путями.
Если это действительно так, то решение - вручную указать полный набор путей для PATH в init скрипте сквида.
Ну а как проверить PATH я думаю вы знаете.

> Вопрос такой, если кто-то сталкивался с подобным, возможно ли в squid дать
> доступ непосредственно к странице и всему тому,что необходимо для работы сайта?

http://serverfault.com/questions/326279/how-to-get-squid-to-...

> Здравствуйте,
> Подскажите пожалуйста, как на Squid3 организовать лимит трафика в месяц? Например на
> всю подсеть выделить 20гб трафика в месяц, но не тарифицировать определенные
> сайты (например mail.ru). Желательно бы еще на каждого пользователя организовать лимит
> в день, но чтоб так же при превышении лимита определенные сайты
> у него открывались.
> Подскажите как это можно реализовать?

SAMS система управления доступом пользователей к прокси серверу SQUID.
http://sams.perm.ru/

>не тарифицировать определенные сайты

Думаю это нельзя, трафик берется из лога сквида access.log, а туда пишется всё! Хотя почитай факи самса, может и есть такая возможность.
Если ты владеешь напильником для правки сырцов, то флаг тебе в руки, правь сырцы на предмет исключения каких-то сайтов  и собирай кальмара из сырцов.

> Здравствуйте,
> Подскажите пожалуйста, как на Squid3 организовать лимит трафика в месяц? Например на
> всю подсеть выделить 20гб трафика в месяц, но не тарифицировать определенные
> сайты (например mail.ru). Желательно бы еще на каждого пользователя организовать лимит
> в день, но чтоб так же при превышении лимита определенные сайты
> у него открывались.
> Подскажите как это можно реализовать?

классический вопрос.
правильный ответ: забить на сквид и организовать нормальную систему билинга
ибо по логам сквида - это через задницу в любом случае

> Никак не могу
> online.radiorecord.ru:8101
> порт 1801, как ради сразу становится доступным.
> Подскажите куда копать?

Очевидно же, в сторону разницы между тем, что ты думаешь и хочешь, и тем, что ты сделал, и сказал squid-у делать, и сквид сделал.

> Добрый день.
> Никак не могу закрыть http://online.radiorecord.ru:8101/ , т.е. в ограничения уже внес
> online.radiorecord.ru:8101
> www.radiorecord.ru
> radiorecord.ru
> Пользователь не может зайти на www.radiorecord.ru, online.radiorecord.ru, но стоит дописать
> порт 1801, как ради сразу становится доступным.
> Подскажите куда копать?

Закрыл не правильно!
Закрыть можно, как минимум, тремя способами:
1.
acl forbid_site dstdomain .radiorecord.ru
http_access deny forbid_site
2.
acl special_url url_regex ^http://online.radiorecord.ru:8101/$
http_access deny special_url
3. Отрубить порт 8101
убрать в конфиге сквида строку
acl Safe_ports port 8101    # http

Разобрались. Если кому интересно, то:

ipfw add fwd localhost ip from АйпиДемона ПортДемона to any via ИсходящийИнтерфейс

>[оверквотинг удален]
> }
> host host2 {
>   hardware ethernet 00:0C:FF:E7:45:7C;
>   fixed-address 192.168.1.11;
> }
> host host3 {
>   hardware ethernet 99:0C:29:E7:45:7C;
>   fixed-address 192.168.1.12;
> }
> и т.д.

...

>[оверквотинг удален]
> не указать, будет запрещен доступ ко всему.
> В принципе все работает (проверял на физической сети с 3 компами, и
> виртуальной сети с 2 компами).
> Вопрос вот в чем, правильно ли так делать, какие проблемы могут возникнуть
> (нагрузка на сервер (процессор), общая работоспособность сети и интернета в целом,
> и т.д.)?
> Конфигурация будет следующей:
> Процессор: 4-х ядерный, 3.2 ГГц
> ОЗУ: 8 Гб
> Сетевые карты: 1 Гбит

имхается SRP нарушен...
вопрос времени(и внимательности) когда "разойдутся" MACи в dhcp и скриптах

>[оверквотинг удален]
> не указать, будет запрещен доступ ко всему.
> В принципе все работает (проверял на физической сети с 3 компами, и
> виртуальной сети с 2 компами).
> Вопрос вот в чем, правильно ли так делать, какие проблемы могут возникнуть
> (нагрузка на сервер (процессор), общая работоспособность сети и интернета в целом,
> и т.д.)?
> Конфигурация будет следующей:
> Процессор: 4-х ядерный, 3.2 ГГц
> ОЗУ: 8 Гб
> Сетевые карты: 1 Гбит

Плохая идея, как с этим бороться будете:

;; ANSWER SECTION:
youtube.com.        18    IN    A    108.177.14.91
youtube.com.        18    IN    A    108.177.14.93
youtube.com.        18    IN    A    108.177.14.136
youtube.com.        18    IN    A    108.177.14.190

Таблесы работают по ип.
Скивид по именам.

во первых вместо портянки из маков и ip нужно использовать ipset
во вторых dnsmasq умеет добавлять в ipset ответы клиенту при запросе.
остаётся контролировать dnsmasq

> Как я понимаю жалуется на то, что не используется IPv6, правильно ли
> я понимаю?

И да, и нет. Но, судя по логу, IPv6 действительно не используется.

>Как можно исправить данную проблему?

А что, действительно есть реальная проблема?

Необходимо приложить усилия к исправлению и пониманию/принятию ситуации.

Воспользуйтесь гугл-транслейтом, купите англо-русский словарик, попрактикуйтесь в английском с использованием других материалов / учебников.

Он жалуется на то, что был собран с опцией, отключающей поддержку IPv6, а это нарушает современные сетевые стандарты - https://tools.ietf.org/html/bcp177

Надо просто пересобрать сквид с поддержкой IPv6.

> Друзья, использую на работет прокси сервер SQUID 2.7 в связке с вебинтерфейсом
> SAMS 1,0,5 авторизация - NTLM. Возникли следующие вопросы:
> 1. Как сделать так, чтоб трафик некоторых VIP пользователей не считался. Т.е.
> в SAMS нельзя было просмотреть эту информацию?
> 2. Как настроить в SAMS запрет скачивания для некоторых пользователей файлов типа
> mp3, avi. Там присутствует раздел расширение файлов. Но как на нем
> настроить запрет на скачку я так и не разобрался.

1) нужно разрешить пользователя помимо самса и не заводить его в самс
пример:
acl custom_user rules_to_determinate_user (сама acl)
http_access allow custom_user  (разрешаем ее)
url_rewrite_access deny custom_user (запрещаем отправлять запросы пользователя на редиректор, тоисть через самс и другой редиректор ему уже ничего не запретить)

все строчки выше лучше добавить в самом начале конфига squid, сама ориентируется по тэгам в конфиге сквида и если к примеру поставить acl после соответствующего тэга, то при реконфигурировании самс затрет кастомные настройки.

* естественно заместо rules_to_determinate_user пишете правило по кторому будете определять пользователя.
2) попробуйте что-то типа(но не уверен что будет работать именно такой синтаксис):
\.mp3$
\.exe$

в блоклистах и соответственно лист включаете в группу, а группу назначаете пользователю

> Help me please.

тебе только. блин, патологоанатом может помочь. серьёзно

ппц
логи/конфиги в rar-е на yadisk-е ... я худею, клава, хуже только скриншоты окна путти в .doc прилепить
возвращайся на свою венду с винрарами, путти и крузисом и не морочь голову, рано тебе ещё сквид настраивать

> Всех приветствую. Имеется FreeBSD 10.2-RELEASE-p12 (на Hyper-V), на который ни в какую
>> SSL SSL_CRTD
> сборка вылетает с одной и той же ошибкой.
>bio.cc:(.text+0x6dea): undefined reference to `SSL_set_alpn_protos'

https://duckduckgo.com/?q=undefined+reference+to+`SSL_s...'+squid+3.5

> Решения проблемы в интернетах так и не обнаружил. Заранее спасибо за ответ.

http://lists.freebsd.org/pipermail/freebsd-questions/2015-Ju...

:/ Собиральщики.

> http_access allow admin
> http_reply_access deny m2 # то есть убрал "!admin"
> http_reply_access deny m3
> то при попытке скачать mp3 файл у меня на странице появляется сообщение,
> что доступ запрещен и обратитесь к root.

http_access  !=  http_reply_access

Это два разных списка доступов, "исполняемых" в разное время.

На первом списке *во время проверки запроса~) админ проходит, а на втором (при проверке реплая~) отказ по типу медии (m2|m3).

попробуй добавить тэги
prefer_direct off  # сквид сначала будет пытаться обратиться к родительскому прокси
nonhierarchical_direct off
-------------
cache_peer parentcache.foo.com parent 3128 0 no-query default
never_direct allow all  # по идее эта опция  всегда будет заставлять сквид идти через parent
prefer_direct off  
nonhierarchical_direct off

попробуй еще добавить отдельную директиву
peer_connect_timeout 30 seconds
http://www.squid-cache.org/Doc/config/peer_connect_timeout/
она думаю связана с connect-timeout= в директиве  cache_peer
но connect-timeout=600 -  600 сек имхо многовато?

В общем, пробовал еще поиграться с dead_peer_timeout и icp_query_timeout, ничего не вышло. Все равно на каждый чих squid уходит в отказ и отвечает ошибкой 500 на все последующие попытки что-либо скачать.
Пришлось жить брутфорсом и пихать все 'apt update' и 'apt full-upgrade -d' в циклы до успешного завершения. Просто магия какая-то, за 10-50 попыток оно все-таки прокачивалось.
Видимо squid с иерархией подходит только для качественных сетей, в которых задержки вменяемые и пакеты не теряются.

Снес все это дело и вернулся к использованию apt-cacher-ng, он каскадируется без бубна и кешем на уровне файлов рулить можно. Удивительно, но пока все прокачивается с первого раза. Теперь только следить за специфическими глюками, из-за которых раньше пришлось от него отказаться. Но версия свежая из experimental, может и пофиксили.

> Тестового пользователя поместил в группу GRP-Internet-Full-Auth. Но squid запрещает доступ.
> Ошибка: Доступ запрещен.
> В журнале access.log появляются записи типа:
> TCP_DENIED/402 nnnn http://WWW.MSN.COM/ USER@DOM.local HIER-NONE/ text/html

402 Payment Required

    Reserved for future use. The original intention was that this code might be used as part of some form of digital cash or micropayment scheme, but that has not happened, and this code is not usually used. Google Developers API uses this status if a particular developer has exceeded the daily limit on requests.

УРА, заработало!!!
Проблема была в том что нужно было забить на этот гребанные прокси, сходить на обед и к вечеру само заработало!!!
Я так понял проблема была с кэшированием где-то информации. хотя сервер неоднократно перезагружал!!!
В общем всем удачи с кейтабами!

>[оверквотинг удален]
> from squid (length: 2427).
> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM='
> (decoded length: 1817).
> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed:
> Unspecified GSS failure.  Minor code may provide more information.
> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user
> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>  Minor code may provide more information. '
> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated
> Плз хелп)))