Re: squid incept https

[Михаил Касаджиков]

26.08.2015 12:37, Леонид Кальмаев пишет:
> Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 
> порт, далее говорим что мы хотим получить, в случае хттп мы просто просим 
> нужную нам странички и все методом гет. Если у нес используется https то 
> перед этим мы создаем шифрованное соединение в котором  сквид без ssl_bampа 
> ничего не видит просто есть соединение и все.  в случае если есть bamp то мы 
> создаем 2 соединение одно  от клиента до сквида второе от сквида до сервера. 
> таким образом просматриваем содержимое . А проблема напомню в следующим что 
> загружается голая страничка без 
 �
�тилей и картинок через https. Данная проблема есть как с ssl_bump так и без 
оного.
> Более подробно с работой и установкой соединения можно ознакомится тут 
> http://habrahabr.ru/post/191954/

Вот это правило:
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
как раз и занимается тем что меняет адрес назначения на локальный. И сквид не 
видит куда именно хотел подключиться клиент без разбора всего SSL соединения.

Re: squid incept https

[Artem Chuprina]

Леонид Кальмаев - debian-russian@lists.debian.org  @ Thu, 27 Aug 2015 10:21:50 
+0600:

 ЛК Руслан, Я просил помощи в реализации именно этого решения. Есть
 ЛК поставленная задача резать всё что не угодно руководству. И это не дыра в
 ЛК безопасности а нормальное решение для ограничения трафика.

Так, к слову.  Это дыра не в безопасности, а в приватности.  И сильно
подозреваю, что без надлежащего юридического оформления за это можно
ответить по закону.  И отвечать будет в первую очередь тот, кто
реализовал решение.  Опять же, у него меньше денег на адвоката...

Это безотносительно к технической стороне ситуации, в которой я в данном
случае не разбираюсь.  Но поведение браузера похоже на загрузить
страницу с невалидным сертификатом как-то уговорили, а про стили и
картинки он и не спросил, просто молча отказался грузить.  Я бы
все-таки более внимательно посмотрел на то, как конфигурируется ситуация
с подменой сертификата (в этом случае сертификат все же надо установить)
и как - без (чистый туннель).  Я бы не исключил, что конфигурируются они
существенно по-разному, а не просто отключить ssl_bump.

Re: squid incept https

[Иван Лох]

On Thu, Aug 27, 2015 at 10:21:50AM +0600, Леонид Кальмаев wrote:
 Руслан, Я просил помощи в реализации именно этого решения. Есть
 поставленная задача резать всё что не угодно руководству. И это не дыра в
 безопасности а нормальное решение для ограничения трафика.

Не хотел в 10 раз влезать в этот бесполезный спор, уродов не переделать,
но реально интересно, что это за сайт такой в https которого надо залезть,
чтобы отделить кошерный трафик от некошерного?

В этой рассылке не принят топквотинг. Это в правилах есть. 

Re: squid incept https

[Леонид Кальмаев]

Как не знает? в заговке начального пакета  все есть куда подключаться.
Другое дело что сквид тогда не видит что происходит в нутри этого tcp
соединения. И я не смогу порезать загрузку видео или музыки.
26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su
написал:

 Hello Леонид,

 On Wed, 26 Aug 2015 10:38:35 +0600
 Леонид Кальмаев kalmae...@gmail.com wrote:

  Нет сертификат не ставил на клиент. Ошибка безопасности пока не
  смущала, контент страницы должен был грузится. Проблема сохраняется
  если указать ssl_bump none all , с таким конфигом он  просто должен
  сделать тунель и не подменять сертификаты.
 Туннель куда? Не подменив сертификат, он не узнает куда подключаться.

 
  26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
  ba...@vpm.net.ua написал:
 
   сертификат клиенту добавили ?
  
  
  
 http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
  
   26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
   kalmae...@gmail.com
написал:
  
   Доброго времени суток!
   Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси.
   С http проблем нет все перехватывается и работает. А вот с https
   затык страничка загружается без наполнения т.е. нет картинок
   стилей и других вещей. В логах не нашел чего то подозрительного.
   Сквид собирался по этой инструкции
   http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
   Конфиг простейший
   http_access allow all
   dns_v4_first on
   shutdown_lifetime 1 seconds
   always_direct allow all
   http_port 192.168.10.1:3128 intercept
   http_port 3140
   https_port 192.168.10.1:3129 intercept ssl-bump
   generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
   cert=/etc/squid/myCA.pem
   sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
   -M 4MB. sslcrtd_children 8 startup=1 idle=1
   ssl_bump server-first all
   #  ssl_bump none all Для проверки
   sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
   -M 4MB. sslcrtd_children 8 startup=1 idle=1
   перенаправление трафика сделано так
   -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
   --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j
   REDIRECT --to-ports 3128
  
   при этом если явно указать что прокси находится на ip:port все
   работает.
  
  
  
  



 --
 Best regards,
  Alexander Gerasiov

  Contacts:
  e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
  PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: squid incept https

[Alexander Gerasiov]

Hello Леонид,

On Wed, 26 Aug 2015 10:38:35 +0600
Леонид Кальмаев kalmae...@gmail.com wrote:

 Нет сертификат не ставил на клиент. Ошибка безопасности пока не
 смущала, контент страницы должен был грузится. Проблема сохраняется
 если указать ssl_bump none all , с таким конфигом он  просто должен
 сделать тунель и не подменять сертификаты.
Туннель куда? Не подменив сертификат, он не узнает куда подключаться.

 
 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
 ba...@vpm.net.ua написал:
 
  сертификат клиенту добавили ?
 
 
  http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
 
  26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
  kalmae...@gmail.com
   написал:
 
  Доброго времени суток!
  Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси.
  С http проблем нет все перехватывается и работает. А вот с https
  затык страничка загружается без наполнения т.е. нет картинок
  стилей и других вещей. В логах не нашел чего то подозрительного.
  Сквид собирался по этой инструкции
  http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
  Конфиг простейший
  http_access allow all
  dns_v4_first on
  shutdown_lifetime 1 seconds
  always_direct allow all
  http_port 192.168.10.1:3128 intercept
  http_port 3140
  https_port 192.168.10.1:3129 intercept ssl-bump
  generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
  cert=/etc/squid/myCA.pem
  sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
  -M 4MB. sslcrtd_children 8 startup=1 idle=1
  ssl_bump server-first all
  #  ssl_bump none all Для проверки
  sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db
  -M 4MB. sslcrtd_children 8 startup=1 idle=1
  перенаправление трафика сделано так
  -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
  --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j
  REDIRECT --to-ports 3128
 
  при этом если явно указать что прокси находится на ip:port все
  работает.
 
 
 
 



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Re: squid incept https

[Alexander Gerasiov]

Hello Леонид,

On Wed, 26 Aug 2015 13:53:56 +0600
Леонид Кальмаев kalmae...@gmail.com wrote:

 Как не знает? в заговке начального пакета  все есть куда подключаться.
 Другое дело что сквид тогда не видит что происходит в нутри этого tcp
 соединения. И я не смогу порезать загрузку видео или музыки.
 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su
 написал:
 
  Hello Леонид,
 
  On Wed, 26 Aug 2015 10:38:35 +0600
  Леонид Кальмаев kalmae...@gmail.com wrote:
 
   Нет сертификат не ставил на клиент. Ошибка безопасности пока не
   смущала, контент страницы должен был грузится. Проблема
   сохраняется если указать ssl_bump none all , с таким конфигом он
   просто должен сделать тунель и не подменять сертификаты.
  Туннель куда? Не подменив сертификат, он не узнает куда
  подключаться.
 
  
   26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik
   ba...@vpm.net.ua написал:
  
сертификат клиенту добавили ?
   
   
   
  http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https
   
26 августа 2015 г., 6:36 пользователь Леонид Кальмаев
kalmae...@gmail.com
 написал:
   
Доброго времени суток!
Собрал скид с подержкой ssl и пытаюсь настроить прозрачный
прокси. С http проблем нет все перехватывается и работает. А
вот с https затык страничка загружается без наполнения т.е.
нет картинок стилей и других вещей. В логах не нашел чего то
подозрительного. Сквид собирался по этой инструкции
http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
Конфиг простейший
http_access allow all
dns_v4_first on
shutdown_lifetime 1 seconds
always_direct allow all
http_port 192.168.10.1:3128 intercept
http_port 3140
https_port 192.168.10.1:3129 intercept ssl-bump
generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
cert=/etc/squid/myCA.pem
sslcrtd_program /usr/lib/squid3/ssl_crtd
-s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
idle=1 ssl_bump server-first all
#  ssl_bump none all Для проверки
sslcrtd_program /usr/lib/squid3/ssl_crtd
-s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1
idle=1 перенаправление трафика сделано так
-A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT
--to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80
-j REDIRECT --to-ports 3128
   
при этом если явно указать что прокси находится на ip:port все
работает.
   
   
   
   
 
 
 
  --
  Best regards,
   Alexander Gerasiov
 
   Contacts:
   e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype:
  gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8
  2AAC 33F1
 
 



-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  Homepage: http://gerasiov.net  Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


В каком еще заголовке начального пакета? У тебя же прозрачный прокси и
нет connect'а, почитай внимательно описание этой опции на
http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с
тем что и как ты делаешь, у тебя путаница в голове.

Re: squid incept https

[Руслан Коротаев]

В сообщении от [Ср 2015-08-26 09:36 +0600]
Леонид Кальмаев kalmae...@gmail.com пишет:

 Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
 проблем нет все перехватывается и работает. А вот с https затык страничка
 загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не
 нашел чего то подозрительного. 

Squid может прозрачно проксировать https-трафик через
Squid-in-the-middle [1], но это по сути дыра в безопасности
(man-in-the-middle).

 при этом если явно указать что прокси находится на ip:port все работает.

Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать
пользователям, так надежнее и безопаснее.

[1] http://wiki.squid-cache.org/Features/SslBump

-- 
http://google.com/+РусланКоротаев

Re: squid incept https

[Леонид Кальмаев]

Александр смотрите, при установке соединения tcp мы обращаемся на 80 или
443 порт, далее говорим что мы хотим получить, в случае хттп мы просто
просим нужную нам странички и все методом гет. Если у нес используется
https то перед этим мы создаем шифрованное соединение в котором  сквид без
ssl_bampа ничего не видит просто есть соединение и все.  в случае если есть
bamp то мы создаем 2 соединение одно  от клиента до сквида второе от сквида
до сервера. таким образом просматриваем содержимое . А проблема напомню в
следующим что загружается голая страничка без стилей и картинок через
https. Данная проблема есть как с ssl_bump так и без оного.
Более подробно с работой и установкой соединения можно ознакомится тут
http://habrahabr.ru/post/191954/

Re: squid incept https

[Леонид Кальмаев]

Руслан, Я просил помощи в реализации именно этого решения. Есть
поставленная задача резать всё что не угодно руководству. И это не дыра в
безопасности а нормальное решение для ограничения трафика.

26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru
написал:

 В сообщении от [Ср 2015-08-26 09:36 +0600]
 Леонид Кальмаев kalmae...@gmail.com пишет:

  Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
  проблем нет все перехватывается и работает. А вот с https затык страничка
  загружается без наполнения т.е. нет картинок стилей и других вещей. В
 логах не
  нашел чего то подозрительного.

 Squid может прозрачно проксировать https-трафик через
 Squid-in-the-middle [1], но это по сути дыра в безопасности
 (man-in-the-middle).

  при этом если явно указать что прокси находится на ip:port все работает.

 Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать
 пользователям, так надежнее и безопаснее.

 [1] http://wiki.squid-cache.org/Features/SslBump

 --
 http://google.com/+РусланКоротаев
 http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2

Re: squid incept https

[Леонид Кальмаев]

Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала,
контент страницы должен был грузится. Проблема сохраняется если указать
ssl_bump none all , с таким конфигом он  просто должен сделать тунель и не
подменять сертификаты.

26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua
написал:

 сертификат клиенту добавили ?


 http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https

 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com
  написал:

 Доброго времени суток!
 Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
 проблем нет все перехватывается и работает. А вот с https затык страничка
 загружается без наполнения т.е. нет картинок стилей и других вещей. В логах
 не нашел чего то подозрительного.
 Сквид собирался по этой инструкции
 http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
 Конфиг простейший
 http_access allow all
 dns_v4_first on
 shutdown_lifetime 1 seconds
 always_direct allow all
 http_port 192.168.10.1:3128 intercept
 http_port 3140
 https_port 192.168.10.1:3129 intercept ssl-bump
 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
 cert=/etc/squid/myCA.pem
 sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB.
 sslcrtd_children 8 startup=1 idle=1
 ssl_bump server-first all
 #  ssl_bump none all Для проверки
 sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB.
 sslcrtd_children 8 startup=1 idle=1
 перенаправление трафика сделано так
 -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

 при этом если явно указать что прокси находится на ip:port все работает.

Re: squid incept https

[Vasiliy P. Melnik]

сертификат клиенту добавили ?

http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https

26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com
написал:

 Доброго времени суток!
 Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http
 проблем нет все перехватывается и работает. А вот с https затык страничка
 загружается без наполнения т.е. нет картинок стилей и других вещей. В логах
 не нашел чего то подозрительного.
 Сквид собирался по этой инструкции
 http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ .
 Конфиг простейший
 http_access allow all
 dns_v4_first on
 shutdown_lifetime 1 seconds
 always_direct allow all
 http_port 192.168.10.1:3128 intercept
 http_port 3140
 https_port 192.168.10.1:3129 intercept ssl-bump
 generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
 cert=/etc/squid/myCA.pem
 sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB.
 sslcrtd_children 8 startup=1 idle=1
 ssl_bump server-first all
 #  ssl_bump none all Для проверки
 sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB.
 sslcrtd_children 8 startup=1 idle=1
 перенаправление трафика сделано так
 -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129
 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

 при этом если явно указать что прокси находится на ip:port все работает.

Re: squid conf

[Martin Danielyan]

привет всем, после настройки сквида керио впн клиент не подключается. как 
исправит.

даже открыл 4090 не помогает.

Re: squid conf

[Виталий Мечётный]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

30.01.2014 14:33, Martin Danielyan пишет:
 
 
 привет всем, после настройки сквида керио впн клиент не
 подключается. как исправит. даже открыл 4090 не помогает.
 жесть

- -- 
Истово бью челом,
системный управитель сети,
раб Божий, Виталий.

-BEGIN PGP SIGNATURE-
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJS6hLCAAoJEFVXfR2g/jxFWmgIAIzI17sutilDxiAILPt637ck
FqFn6iYam8NjRsrA3cfjJC6vS4UCIRLtGO2OtId5s7PQVMtkP5SVj9j8FsA74/O7
VdO8HvS3OYj5a0uyqc8EpuD9YVQFkS5V/er4PcK90iCvoT2rAuWebCDjMFGnNRuR
z9dvozdxgOYtmddR7BQ41Nr9oGT03lb7E1auGxSBAAUQpRBS4I/45cyd6avlgNxf
ramJ1fkb0z8r+azb0ah3q2Vec4m4AeQCp5L4IbAcp/1jftte1wOLWlaPD1p2BzRs
ebnPRtNLeNeKyofC8dV1xiy7nmuOq2OepqLg0avk20n4fpWvqpxrXJ9gkQfxJ6k=
=m1V0
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/52ea12c2.8040...@ruta.ru

Re: squid conf

[Alex Kuklin]

28.01.2014 21:21, Martin Danielyan пишет:
Привет всем. у меня возникла проблем в centos 6.5 c squid 3.4.2, после 
цонфигуре make дает ошибку

make [1]: *** [assert.lo] Error 1
make [1]: Leaving directory /root/Downloads/squid-3.4.2/compat
make: *** [all-recursive] Error 1


прекратите компилировать и ставьте из пакетов.
http://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2BAC8-CentOS.Squid-3.4_-Beta

не говоря уже о том, что это не debian

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 14:11, Victor Wagner wrote:



Нет я имел в виду или прозрачный прокси или прозрачная
аутентификация (kerberos | ntlm)

А с какой угодно непрозрачной аутентификацией прозрачное проксирование
совместимо? Потому что мне представлялось так, что прозрачное
проксирование, оно потому и прозрачное, что прикидывается прямым
соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ
что либо - не должно, и соответственно несовместимо ни с какой
аутентификацией.

Очевидно, что прокси может использовать только те виды аутентификации,
которые поддерживаются браузером.

Представим себе что целевой сайт, на который хочет попасть
пользователь, использует тот же вид аутентификации, что и прокси.

Какой из доступных нам видов аутентификации позволит одновременно
аутентифицироваться на прокси и на сайте, если браузер и не подозревает
что есть какая-то прокси, и думает что все добавленные ей заголовки
http-ответа идут непосредственно с сайта?

А как мы будем https аутентифицировать?

Все правильно вы описали - или прозрачный прокси или аутентификация в 
принципе (в том числе и прозрачная).


третьего не дано.

Можно по ip авторизовать проксиком, но опять же не факт что проксик так 
умеет в режими transparent


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 09:13, Petr Bondarenko wrote:

Здравствуйте!

А подскажите мне люди добрые,
не научился ли Squid последних версий работать в режиме
transparent и юзать при этом NTLM-авторизацию?

такое ни когда не будет работать по определенным техническим причинам
Последний раз давно работал с сквидом, и тогда он умел либо NTLM либо 
прозрачность.




забудьте про ntlm, на дворе 21-й век.
нужно юзать kerberos





--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Squid transparent ntlm?

[Victor Wagner]

On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote:

 не научился ли Squid последних версий работать в режиме
 transparent и юзать при этом NTLM-авторизацию?
 такое ни когда не будет работать по определенным техническим причинам
 забудьте про ntlm, на дворе 21-й век.
 нужно юзать kerberos

А kerberos совместим с прозранчым проксированием?
И если да, то как?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20130626095913.ga10...@wagner.pp.ru

Re: Squid transparent ntlm?

[Владимир Скубриев]

On 26.06.2013 13:59, Victor Wagner wrote:

On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote:


не научился ли Squid последних версий работать в режиме
transparent и юзать при этом NTLM-авторизацию?

такое ни когда не будет работать по определенным техническим причинам
забудьте про ntlm, на дворе 21-й век.
нужно юзать kerberos

А kerberos совместим с прозранчым проксированием?
И если да, то как?


Нет я имел в виду или прозрачный прокси или прозрачная аутентификация 
(kerberos | ntlm)


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: Squid transparent ntlm?

[Victor Wagner]

On 2013.06.26 at 14:02:01 +0400, Владимир Скубриев wrote:

 transparent и юзать при этом NTLM-авторизацию?
 такое ни когда не будет работать по определенным техническим причинам
 Нет я имел в виду или прозрачный прокси или прозрачная
 аутентификация (kerberos | ntlm)

А с какой угодно непрозрачной аутентификацией прозрачное проксирование
совместимо? Потому что мне представлялось так, что прозрачное
проксирование, оно потому и прозрачное, что прикидывается прямым
соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ
что либо - не должно, и соответственно несовместимо ни с какой
аутентификацией.

Очевидно, что прокси может использовать только те виды аутентификации,
которые поддерживаются браузером.

Представим себе что целевой сайт, на который хочет попасть
пользователь, использует тот же вид аутентификации, что и прокси.

Какой из доступных нам видов аутентификации позволит одновременно
аутентифицироваться на прокси и на сайте, если браузер и не подозревает
что есть какая-то прокси, и думает что все добавленные ей заголовки
http-ответа идут непосредственно с сайта?

А как мы будем https аутентифицировать?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20130626101108.ga10...@wagner.pp.ru

Re: Squid transparent ntlm?

[Eugene Berdnikov]

On Wed, Jun 26, 2013 at 02:11:08PM +0400, Victor Wagner wrote:
 Какой из доступных нам видов аутентификации позволит одновременно
 аутентифицироваться на прокси и на сайте, если браузер и не подозревает
 что есть какая-то прокси, и думает что все добавленные ей заголовки
 http-ответа идут непосредственно с сайта?

 Браузер не обязан считать, что все заголовки идут непосредственно с сайта,
 благо коды ответов http для авторизации на прокси и на сайте отличаются:
 401 (сайт) и 407 (прокси). Плюс наличие заголовков Proxy-Authorization
 и т.п. То есть прозрачная авторизация на прокси и авторизация на сайте 
 совместимы и технически возможны.

 Проблема в другом. Нет механизма аутентифицикации прокси для браузера,
 т.е. метода подтвердить, что именно свой, локальный прокси запрашивает
 авторизацию. Поэтому браузер не может противостоять элементарной атаке,
 когда вредительский сайт выдаёт код 407, т.е. прикидывается локальным
 прокси-сервером, чтобы получить юзеровский логин и пароль.
 По этой причине все производители браузеров игнорируют код 407 в прямых
 ответах, этот код и соотвествующе ему хедеры обрабатываются только для
 явно проксируемых соединений.

 А как мы будем https аутентифицировать?

 Ситуация аналогична: браузер может отличить ответ с первыми байтами
 HTTP/x.x 407  от ssl-ного ServerHello, но всё это нахрен не нужно.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20130626204602.gn20...@sie.protva.ru

Re: squid отдает данные из кеша ч ерез раз обновляя данные?

[Dmitry A. Zhiglov]

23 июля 2010 г. 14:58 пользователь Peter Pentchev r...@ringlet.net написал:

 Думаю, вопрос Дениса бил как точно парсятся.  Если делается fscanf()
 (или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется
 ли заранее, строка пуста ли?  Если такой проверки нет и по какой-то
 причине wget выдаст празный файл, то *scanf() и strto*() выпарсят
 с него один нуль.

 Проверьте каким-то образом, wget не выдает ли 0-length files - или
 допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить.

 Всего лучшего,
 Петр


Спасибо за ответ Петр.

Наверное это моя проблема, не смог внятно объяснить. Да и сам по ходу
разбирательства нюансы узнаю.

Парсер не встроен в программу. Парсер обрабатывает файлы, которые
программа из интернета доставляет через прокси и складывает.

Например ожидаемые данные:
1 2 3
5 4 6
5 4 8

А вот как было:
1 2 3
0 0 0
5 4 6
0 0 0
5 4 8
0 0 0

Каждая строка - новый файл.
И каждый запрос программой - новый набор цифр.
Каждый запрос - исполнение у агента на веб сервере рнр скрипта, а
значит данные постоянно отдаются новые, пусть в явном выражении они и
не изменились, например.
В заголовках ответа у агента нет experation date.

Непонятно откуда? Откуда могли все же взяться они - нули? То что это
три нуля внутри файла, правильно разделенные управляющими байтам
(перенос строки), вводит в заблуждение и указывает что не с потолка
взялись. Это правильные данные, но они появляются по команде. Но
команды такой не было иначе во втором примере даже вперемешку с нулями
данные _не_продолжали_ расти, а опять начинались бы с первого десятка.
(то есть ресет имел бы место, но его не было)

Есть три составляющие: программа (исходников нет), сквид
(промежуточное звено, веб сервер + рнр скрип у агента

Откуда могли все же взяться они - нули?

С уважением,
Дмитрий

ПЫ начинаю думать о проблемах на сервере агента.

Re: squid 2 схемы автор изации

[Kirill]

Появилась необходимость сделать прокси-сервер с авторизацией для 
виндовых клиентов. Логины-пароли хранятся в AD.
С ntlm авторизацией отлично работает IE и Mozilla - но не работает 
Opera (уверен, что найдется еще несколько альтернативно одарённых 
web-клиентов)
С basic авторизацией через squid_ldap_auth работает всё - но надо 
вводить пароль, что неудобно.


Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не 
получилось, squid начинает кушать 100% процессора)

   Можно, все замечательно работает. По крайней мере в squid-2.7.STABLE3

auth_param ntlm program /usr/bin/ntlm_auth -d 1 
--helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 25
auth_param ntlm keep_alive on
auth_param basic program /root/squid_ldap_auth -R -P -v3 -b 
DC=domain,DC=ru \
   -D user -W /etc/squid/ldappsw -H ldap://1.1.1.1:3268 -f 
sAMAccountName=%s

auth_param basic children 2
auth_param basic realm domain.ru Proxy

  
   Единственная проблема с авторизацией - это строчка типа

   http_reply_access allow !auth_users all
   это, к сожалению, не работает


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4c4e83c9.5060...@lmz.ru

Re: squid 2 схемы автор изации

[Korona Auto Ltd./ Andrey N. Prokofiev]

Игорь Чумак пишет:

Добрый день!
Появилась необходимость сделать прокси-сервер с авторизацией для 
виндовых клиентов. Логины-пароли хранятся в AD.
С ntlm авторизацией отлично работает IE и Mozilla - но не работает 
Opera (уверен, что найдется еще несколько альтернативно одарённых 
web-клиентов)
С basic авторизацией через squid_ldap_auth работает всё - но надо 
вводить пароль, что неудобно.


Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не 
получилось, squid начинает кушать 100% процессора)

Или запустить 2 экземпляра squid с общим дисковым кешем?
Или есть другие идеи?


Эм...я лично у себя не развожу зоопарк и не ставлю пользователям 
альтернативное ПО (как бы не упрашивали). Все используют IE. Знаю что IE 
сакс, но при должном обновлении системы через wsus особо голову ничего 
не волнует.


--
WBR, Andrey N. Prokofiev
IT department of the Korona Auto Ltd.
Jabber ID: a...@korona-auto.com
E-mail: a...@korona-auto.com
Work Phone: +7-812-640-56-01 (ext. 100)



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4c4950e4.80...@korona-auto.com

Re: squid отдает данные из кеша ч ерез раз обновляя данные?

[Dmitry A. Zhiglov]

 Уважаемое сообщество, прошу помощи в понимании следующей ситуации.

 Есть программа на С под задачу - зайти через прокси в интернет (squid
 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и
 положить его в папку. И вот так с частотой 1 раз в секунду.

 Вчера наблюдал ситуацию, когда в консоль программа писала значения
 один раз корректные, затем нули, затем опять корректные значения.

 попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду 
 как раз наверно?


Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет.



 Данные у источника в интернете не изменялись в нуль, это
 проверялось. Лечилось перезапуском программы.

 Программист утверждает, что программа тупая как валенок. Забирает по
 http то, что ей отдает сервер.

 что отдаёт программа когда в файле один только EOF?


Байт в байт возвращает, что получил. Данные парсятся как раз по
управляющим байтам.



 В прочем, это видно в консоли от
 запроса до ответа и содержимого. И по этой причине грешу на squid, как
 промежуточное звено, что он то отдавал данные из интернета, затем из
 кеша, опять из интернета и затем опять из кеша. А в кеше были
 нулевые значения скорей всего.

 сквид кэш делает не от фонаря а на основании expires ответа от сервера


Почитал подробней о http.

Вот заголовки которые получаю без прокси дома:

wget -S http://***.ru/index1.php;

Запрос HTTP послан, ожидается ответ...
  HTTP/1.0 200 OK
  Date: Fri, 23 Jul 2010 10:27:02 GMT
  Server: Apache
  Vary: Accept-Encoding
  Content-Length: 9
  Content-Type: text/html; charset=WINDOWS-1251
  X-Cache: MISS from turbine3.ht-systems.ru
  Connection: keep-alive
Длина: 9 [text/html]
Сохраняется в каталог: `index1.php.4'.

100%[] 9
 --.-K/s   в 0s

2010-07-23 14:27:02 (2,17 MB/s) - `index1.php.4' сохранён [9/9]

$ cat  index1.php.4

437
262
75


А вот, что получаю через прокси:

wget -S http://***.ru/index1.php;

Запрос Proxy послан, ожидается ответ...
  HTTP/1.0 200 OK
  Date: Fri, 23 Jul 2010 10:10:34 GMT
  Server: Apache
  Vary: Accept-Encoding
  Content-Length: 14
  Content-Type: text/html; charset=WINDOWS-1251
  X-Cache: MISS from turbine3.ht-systems.ru
  X-Cache: MISS from proxy
  X-Cache-Lookup: MISS from proxy:3128
  Via: 1.0 proxy:3128 (squid/2.6.STABLE12)
  Proxy-Connection: keep-alive
Длина: 14 [text/html]
Сохраняется в каталог: `index1.php.3'.

100%[] 9
--.-K/s   в 0s

$ cat  index1.php.3

437
262
75

При выполнении  wget -N http://***.ru/index1.php; данные всегда новые
- не кешируются значит?

Поля в заголовке Last-Modified в обоих случаях нет. Как сквид работает
с данными без этого поля?



 Кстати говоря таких потоков передачи 3 и все они глючили как описано выше.

 Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси 
 возможен?
 Программисту софтины или админу сквида предъявлять претензии?

 дизайнеру всей системы, похоже


Угу. Или переделывать и усложнять, или допиливать.

Re: squid отдает да нные из кеша через раз обновляя данные?

[Peter Pentchev]

On Fri, Jul 23, 2010 at 02:47:24PM +0400, Dmitry A. Zhiglov wrote:
  Уважаемое сообщество, прошу помощи в понимании следующей ситуации.
 
  Есть программа на С под задачу - зайти через прокси в интернет (squid
  2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и
  положить его в папку. И вот так с частотой 1 раз в секунду.
 
  Вчера наблюдал ситуацию, когда в консоль программа писала значения
  один раз корректные, затем нули, затем опять корректные значения.
 
  попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду 
  как раз наверно?
 
 
 Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет.
 
 
 
  Данные у источника в интернете не изменялись в нуль, это
  проверялось. Лечилось перезапуском программы.
 
  Программист утверждает, что программа тупая как валенок. Забирает по
  http то, что ей отдает сервер.
 
  что отдаёт программа когда в файле один только EOF?
 
 
 Байт в байт возвращает, что получил. Данные парсятся как раз по
 управляющим байтам.

Думаю, вопрос Дениса бил как точно парсятся.  Если делается fscanf()
(или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется
ли заранее, строка пуста ли?  Если такой проверки нет и по какой-то
причине wget выдаст празный файл, то *scanf() и strto*() выпарсят
с него один нуль.

Проверьте каким-то образом, wget не выдает ли 0-length files - или
допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить.

Всего лучшего,
Петр

-- 
Peter Pentchev  r...@space.bgr...@ringlet.netr...@freebsd.org
PGP key:http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
because I didn't think of a good beginning of it.


signature.asc
Description: Digital signature

Re: squid отдает данные из к еша через раз обновляя д анные?

[Denis Feklushkin]

On Thu, 22 Jul 2010 21:50:09 +0400
Dmitry A. Zhiglov dmitry.zhig...@gmail.com wrote:

 Уважаемое сообщество, прошу помощи в понимании следующей ситуации.
 
 Есть программа на С под задачу - зайти через прокси в интернет (squid
 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и
 положить его в папку. И вот так с частотой 1 раз в секунду.
 
 Вчера наблюдал ситуацию, когда в консоль программа писала значения
 один раз корректные, затем нули, затем опять корректные значения.

попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как 
раз наверно?

 Данные у источника в интернете не изменялись в нуль, это
 проверялось. Лечилось перезапуском программы.
 
 Программист утверждает, что программа тупая как валенок. Забирает по
 http то, что ей отдает сервер.

что отдаёт программа когда в файле один только EOF?

 В прочем, это видно в консоли от
 запроса до ответа и содержимого. И по этой причине грешу на squid, как
 промежуточное звено, что он то отдавал данные из интернета, затем из
 кеша, опять из интернета и затем опять из кеша. А в кеше были
 нулевые значения скорей всего.

сквид кэш делает не от фонаря а на основании expires ответа от сервера

 Кстати говоря таких потоков передачи 3 и все они глючили как описано выше.
 
 Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен?
 Программисту софтины или админу сквида предъявлять претензии?

дизайнеру всей системы, похоже


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100723015918.6f6af...@gmail.com

Re: Squid Proxy Disclaimer

[Ed]

Igor Drobot wrote:
помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где 
отображается дисклеймер. Если кто то через прокси заходит


это как? захожу я на гугль, а мне ООО Рога и копыта?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bfb790f.5050...@yandex.ru

Re: Squid Proxy Disclaimer

[Michael Shigorin]

On Tue, May 25, 2010 at 11:15:27AM +0400, Ed wrote:
 помогите пожалуйста к squidу3 прикрутить функцию домашней
 страницы где отображается дисклеймер. Если кто то через прокси
 заходит
 это как? захожу я на гугль, а мне ООО Рога и копыта?

Это captive portal называется.

-- 
  WBR, Michael Shigorin m...@altlinux.ru
  -- Linux.Kiev http://www.linux.kiev.ua/


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100525072811.ga5...@osdn.org.ua

Re: Squid Proxy Disclaimer

[Korona Auto Ltd./ Andrey N. Prokofiev]

Я думаю это делается путем редиректа 80 порта на другой порт, на котором 
висит апач.


--
WBR, Andrey N. Prokofiev
IT department of the Korona Auto Ltd.
Jabber ID: a...@korona-auto.com
E-mail: a...@korona-auto.com
Work Phone: +7-812-640-56-01



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bfb8aae.6070...@korona-auto.com

Re: Squid Proxy Disclaimer

[Igor Drobot]

Добрый вечер,


On 05/25/2010 09:15 AM, Ed wrote:

Igor Drobot wrote:
помогите пожалуйста к squidу3 прикрутить функцию домашней страницы 
где отображается дисклеймер. Если кто то через прокси заходит


это как? захожу я на гугль, а мне ООО Рога и копыта?



Ну почти, просто срабатывает редирект на сайт с дисклеймер просто 
прочитать и всё. И все просторы интернета доступны.



   * /Это captive portal называется./

Спасибо в гугле посидел на дунную тему много инфы нашёл, которая дала 
понять что нужно писать cвою программу...


   * /Я думаю это делается путем редиректа 80 порта на другой порт, на
 котором висит апач. /

Да но это должно происходить только идин раз! в определённое /X/ время. 
Типа напоминания дисклеймера.

Хотя и идея бекенда дисклеймера уже есть.


Программку уже написал осталось на ошибки сегментации и дырки памяти 
проверить. скоро будет :-)

Re: squid: запретить скач ивать exe-файлы

[Ed]

Чумак Игорь wrote:

25.04.2010 15:34, Ed пишет:
антивирусных решений для сквида много, однако все они достаточно 
тяжеловесны.


хочу просто запретить скачивать файлы, начинающиеся с MZ.
как ни странно, готового решения не нашёл. ближе всего оказался 
c-icap - там есть определение типов файлов по сигнатурам, но 
используется только для принятия решения - проверять ли с помощью 
clamav (что в общем-то достаточно бесполезное занятие - базы clamav 
достаточно слабые).


вот думаю - дорабатывать c-icap напильником или же я просто плохо искал?


Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно 
проверки на расширение.


расширение может быть любым - pif, scr, dll, ...
плюс есть дропперы - которые докачивают недостающие части по http, для 
них расширение совершенно роли не играет.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a061.1010...@yandex.ru

Re: squid: запретить ск ачивать exe-файлы

[Игорь Чумак]

Ed пишет:

Чумак Игорь wrote:

25.04.2010 15:34, Ed пишет:
антивирусных решений для сквида много, однако все они достаточно 
тяжеловесны.


хочу просто запретить скачивать файлы, начинающиеся с MZ.
как ни странно, готового решения не нашёл. ближе всего оказался 
c-icap - там есть определение типов файлов по сигнатурам, но 
используется только для принятия решения - проверять ли с помощью 
clamav (что в общем-то достаточно бесполезное занятие - базы clamav 
достаточно слабые).


вот думаю - дорабатывать c-icap напильником или же я просто плохо 
искал?



Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно 
проверки на расширение.


расширение может быть любым - pif, scr, dll, ...

В конфигах того же dansguardian это учтено
плюс есть дропперы - которые докачивают недостающие части по http, 
для них расширение совершенно роли не играет.


Я бы на месте аффтаров недостающие части ещё и шифровал - сигнатурный 
анализ сразу идёт лесом.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a6c6.70...@gmail.com

Re: squid: запретить скач ивать exe-файлы

[Чумак Игорь]

25.04.2010 15:34, Ed пишет:
антивирусных решений для сквида много, однако все они достаточно 
тяжеловесны.


хочу просто запретить скачивать файлы, начинающиеся с MZ.
как ни странно, готового решения не нашёл. ближе всего оказался c-icap 
- там есть определение типов файлов по сигнатурам, но используется 
только для принятия решения - проверять ли с помощью clamav (что в 
общем-то достаточно бесполезное занятие - базы clamav достаточно слабые).


вот думаю - дорабатывать c-icap напильником или же я просто плохо искал?


Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно 
проверки на расширение. Кроме того, зараза с расширением .vbs тоже бывает.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd44d60.50...@gmail.com

Re: squid,разделение п ользователей на кла ссы

[Alexander Wolf]

06.04.2010 20:16, Roman Makurin пишет:

Посмотрел, ncsa модуль, не умеет присваивать группы пользователям,
так вот, собственно и вопрос, как можно получить желаемое ?


А что мешает написать свой хелпер к сквиду? Я в свое время именно так и 
сделал - написал на perl хелперы авторизации, статуса и группы. Данные 
хранятся в MySQL. В принципе в твоей задаче можно ограничиться только 
одним хелпером (совместить авторизацию и группу)



--
With best regards, Alexander Wolf


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bbd6581.3090...@uni-altai.ru

Re: squid,разделение пользовате лей на классы

[Stanislav Vlasov]

6 апреля 2010 г. 19:16 пользователь Roman Makurin dro...@gmail.com написал:
 Посмотрел, ncsa модуль, не умеет присваивать группы пользователям,
 так вот, собственно и вопрос, как можно получить желаемое ?

 Если есть какие-то более удачные решения в данном случае, буду
 рад узнать о них :)

squidGuard работает нормально.


-- 
Stanislav

Re: squid tcp_outgoing_address + dhcp

[Mikhail A Antonov]

-[ cybr...@yandex.ru 18/11/2009 20:49 (GMT +3)
  On Tue, 17 Nov 2009 15:35:03 +0300
 
  cybr...@yandex.ru wrote:
   Возникла такая проблема, на шлюзе со сквидом имеется n внешних
   интерфейсов, получающих адреса по dhcp, необходимо трафик с разных
   диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И
   ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по
   dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную
   для каждого провайдера/интерфейса?
 
  tcp_outgoing_address не определять.

 а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств
 нету, и имена интерфейсов оно не понимает

Запустить несколько сквидов и отдавать каждой подсети свой. Правда кэширование
несколько ухудшится. Можно с парентами поиграться попробовать, но маловероятно.

-- 
Best regards,
 Mikhail
xmpp: ant...@stopicq.ru
irc: Bart-mdv- @ SolarNet
SolarNet: http://www.solarnet.ru/


signature.asc
Description: This is a digitally signed message part.

Re: squid tcp_outgoing_address + dhcp

[cybrgen]

 On Wed, 18 Nov 2009 20:49:33 +0300
 cybr...@yandex.ru wrote:
 
Возникла такая проблема, на шлюзе со сквидом имеется n внешних 
интерфейсов, получающих адреса по dhcp, необходимо трафик с разных 
диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И 
ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по 
dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную 
для каждого провайдера/интерфейса?
   tcp_outgoing_address не определять.
  а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств 
  нету, и имена интерфейсов оно не понимает
 
 Никак, предоставить эту возможность ядру.
а ядро разве не будет считать пакет прошедший через squid исходящим от самого 
шлюза?
  
   А для записи в другие таблицы - использовать хуки dhclient'а
   Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую 
   таблицу - 
   надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом 
   использовать сохраненное значение в exit-hook.
  не подскажете толковых текстов на русском про хуки? 
 
 Это небольшой набор скриптов, какая тут может быть документация?
 man dhclient-script, и другая документация из dhcp3-client.
 
  и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы
 
 man pppd раздел scripts.
 
 -- 
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 
  


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid tcp_outgoing_address + dhcp

[Alexey Trunyov]

On Thu, 19 Nov 2009 23:51:55 +0300
cybr...@yandex.ru wrote:

 Возникла такая проблема, на шлюзе со сквидом имеется n внешних 
 интерфейсов, получающих адреса по dhcp, необходимо трафик с разных 
 диапазонов адресов локалки раскидывать по разным внешним интерфейсам. 
 И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по 
 dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную 
 для каждого провайдера/интерфейса?
tcp_outgoing_address не определять.
   а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств 
   нету, и имена интерфейсов оно не понимает

Извиняюсь, невнимательно прочел, что условие маршрутизации - по адресам 
клиентов.

У tcp_outgoing_address есть еще второй параметр - имя acl, для которого его 
применять.
Подробности здесь - http://www.squid-cache.org/Doc/config/tcp_outgoing_address/

Единственное, что придется переписывать конфиг squid'а, но это достаточно легко 
делается, если делать include небольшого
конфига со значениями tcp_outgoing_address только.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid tcp_outgoing_address + dhcp

[cybrgen]

 Пересылаемое сообщение 
18.11.09, 20:48, cybr...@yandex.ru:



 On Tue, 17 Nov 2009 15:35:03 +0300
 cybr...@yandex.ru wrote:
  Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, 
  получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов 
  локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как 
  сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в 
  общесистемную таблицу маршрутов, а в отдельную для каждого 
  провайдера/интерфейса?
 tcp_outgoing_address не определять.

а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, 
и имена интерфейсов оно не понимает

 А для записи в другие таблицы - использовать хуки dhclient'а
 Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - 
 надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом 
 использовать сохраненное значение в exit-hook.
 

не подскажете толковых текстов на русском про хуки? и в моём случае это скорее 
хуки pppd, т.к. скайлинковские модемы
 Завершение пересылаемого сообщения 


-- 
Здесь спама нет http://mail.yandex.ru/nospam/sign


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid tcp_outgoing_address + dhcp

[Alexey Trunyov]

On Wed, 18 Nov 2009 20:49:33 +0300
cybr...@yandex.ru wrote:

   Возникла такая проблема, на шлюзе со сквидом имеется n внешних 
   интерфейсов, получающих адреса по dhcp, необходимо трафик с разных 
   диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И 
   ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, 
   записывался не в общесистемную таблицу маршрутов, а в отдельную для 
   каждого провайдера/интерфейса?
  tcp_outgoing_address не определять.
 
 а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств 
 нету, и имена интерфейсов оно не понимает

Никак, предоставить эту возможность ядру.
 
  А для записи в другие таблицы - использовать хуки dhclient'а
  Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу 
  - 
  надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом 
  использовать сохраненное значение в exit-hook.
  
 
 не подскажете толковых текстов на русском про хуки? 

Это небольшой набор скриптов, какая тут может быть документация?
man dhclient-script, и другая документация из dhcp3-client.

 и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы

man pppd раздел scripts.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid tcp_outgoing_address + dhcp

[Evgeniy M. Solodookhin]

,-[Tue, Nov 17, 2009 at 15:35 +0300, cybr...@yandex.ru:]

|как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в 
общесистемную таблицу маршрутов, а в отдельную для каждого 
провайдера/интерфейса?
|
вроде бы, тут может помочь iproute2
)

-- 
__
mpd status: [paused]
Thin Lizzy - Saga Of The Ageing Orphan
**
*  jabber:  devil_ins...@jabber.ru   *
*   Registered linux user #450844*
**


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid tcp_outgoing_address + dhcp

[Alexey Trunyov]

On Tue, 17 Nov 2009 15:35:03 +0300
cybr...@yandex.ru wrote:

 Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, 
 получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов 
 локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать 
 так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в 
 общесистемную таблицу маршрутов, а в отдельную для каждого 
 провайдера/интерфейса?

tcp_outgoing_address не определять.
А для записи в другие таблицы - использовать хуки dhclient'а

Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - 
надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом 
использовать сохраненное значение в exit-hook.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хоста

[Степан Голосунов]

Dmitry E. Oboukhov un...@debian.org writes:
 однако есть проблема:
 обрабатывается только 128 директив http_port, остальные просто игнорируются.
 причем что странно ни записи в лог об ошибке ни какого другого сообщения
 тишь гладь и благодать.
 а мне надо 1500 айпишников/портов распределить (конфиг генерился скриптом)

 что-то я гуглю гуглю и ненагуглю в чем может быть проблема?

 лимит на количество сокетов? врядли, он бы ругался во первых
 а во вторых поставил в стартовом скрипте 4096

 вообще если бы упиралось в какой-то лимит, то squid бы видимо ругался
 про ошибки такие-то и сякие-то, но ругани совсем нет.

 не знаю что ковырять, посоветуйте куда посмотреть

В исходники;
#define MAXHTTPPORTS128


if (MAXHTTPPORTS == NHttpSockets) {
debug(1, 1) (WARNING: You have too many 'http_port' lines.\n);
debug(1, 1) ( The limit is %d\n, MAXHTTPPORTS);
continue;
}


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хо ста

[Dmitry E. Oboukhov]

В общем настроил я 
в таком стиле:

http_port 6961
acl port_6961 myport 6961
tcp_outgoing_address address1 port_6961

http_port 6962
acl port_6962 myport 6962
tcp_outgoing_address address2 port_6962

и так далее.
все работает, подключаемся к прокси прокси:6961 получается исходящий
адрес address1, если к прокси прокси:6962 то address2 и так далее.

однако есть проблема:
обрабатывается только 128 директив http_port, остальные просто игнорируются.
причем что странно ни записи в лог об ошибке ни какого другого сообщения
тишь гладь и благодать.
а мне надо 1500 айпишников/портов распределить (конфиг генерился скриптом)

что-то я гуглю гуглю и ненагуглю в чем может быть проблема?

лимит на количество сокетов? врядли, он бы ругался во первых
а во вторых поставил в стартовом скрипте 4096

вообще если бы упиралось в какой-то лимит, то squid бы видимо ругался
про ошибки такие-то и сякие-то, но ругани совсем нет.

не знаю что ковырять, посоветуйте куда посмотреть

PS: возможно ли squid запустить под inetd? нет ссылки на пример?

--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: squid и имя хоста

[Dmitry Marin]

Dmitry E. Oboukhov wrote:



PS: возможно ли squid запустить под inetd? нет ссылки на пример?


По остальным вопросам не отвечу (возможно стоит посмотреть, с какими 
опциями собран squid что лежит в пакете), а тут спрошу сам, а зачем, 
если не секрет? Учитывая, что сама по себе процедура запуск squid'а не 
быстрая, идея дергать сквида по каждому запросу представляется мне очень 
странной фантазией.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хо ста

[Dmitry E. Oboukhov]

 PS: возможно ли squid запустить под inetd? нет ссылки на пример?

 По остальным вопросам не отвечу (возможно стоит посмотреть, с какими
 опциями собран squid что лежит в пакете), а тут спрошу сам, а зачем,
 если не секрет? Учитывая, что сама по себе процедура запуск squid'а не
 быстрая, идея дергать сквида по каждому запросу представляется мне очень
 странной фантазией.

затем что если 128 это сквидовое ограничение то используя inetd его бы 
можно было преодолеть (если вариант inetd бы имелся как таковой, но по
ходу его нет)
--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: squid и имя хоста

[Eugene Berdnikov]

On Fri, Jan 16, 2009 at 12:58:03PM +0300, Dmitry E. Oboukhov wrote:
 AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в
 AGG протоколе HTTP.
 
 хорошо, переформулируем задачу.
 
 имеется фирма, которая владеет хостом с N IP-шниками.
 IP-шники разных подсетей.
 
 на хосте ставим squid.
 
 нужно чтобы разные отделы (или даже сотриудники) используя этот
 сквид ходили бы с разных IP в интернет (рабочий процесс этого 
 требует)
 
 вопрос как наиболее просто, не привязываясь к локалкочным
 IP это реализовать? желательно не привязываясь и к авторизации
 на проксе.
 
 то есть чтобы пользователь сменил какую-то настройку
 и пошел с другого IP-адреса в инет.

 Да, можно: DNAT'ом разные сети разводятся по разным портам squid'а,
 acl-ями разные порты разводятся по разным tcp_outgoing_address,
 а они уже роутером разводятся по разным каналом. Это работает.

 Теоретически можно было бы сделать гораздо проще, задав acl на src
 клиента, но для tcp_outgoing_address это не работает из-за
 особенностей реализации acl'ей в сквиде.

 Отдельных сотрудников тоже можно развести по разным каналам,
 связав правилами доступа порты с авторизацией.

 может можно заставить squid слушать множество портов и менять номер
 порта? можно ли в acl'ях узнать номер порта с которого зашел клиент?

 Можно: читайте доки, они рулёз. (c)
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хоста

[Alexey Boyko]

On Friday 16 January 2009 11:58:03 Dmitry E. Oboukhov wrote:

 может можно заставить squid слушать множество портов

можно.

 и менять номер порта? 

Кто кого? клиент может менять номер порта, к которому подключается. сквид 
после забиндивания на порт менять его не будет.

 можно ли в acl'ях узнать номер порта с которого зашел клиент? 

можно

Re: squid и имя хоста

[Alexander GQ Gerasiov]

На Fri, 16 Jan 2009 12:24:11 +0300
Dmitry E. Oboukhov un...@debian.org записано:

 
 есть squid на хосте.
 
 этот хост имеет несколько DNS имен.
 
 имеется несколько клиентов, которые идут в интернет прописав
 прокси в таком виде:
 
 клиент1:  squid.first.host.name:3121
 клиент2:  squid.second.host.name:3121
 и так далее
 
 при этом все имена прокси squid.first.host.name, 
 squid.second.host.name, итп указывают на один IP адрес.
 
 Задача: написать разные acl для клиента1 и клиента2
 
 можно ли?
Нет, нельзя. Вспомни, что передает клиент серверу или прокси в
протоколе HTTP.

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:g...@cs.msu.su Jabber:  g...@jabber.ru
 Homepage:  http://gq.net.ru ICQ: 7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хо ста

[Dmitry E. Oboukhov]

AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в
AGG протоколе HTTP.

хорошо, переформулируем задачу.

имеется фирма, которая владеет хостом с N IP-шниками.
IP-шники разных подсетей.

на хосте ставим squid.

нужно чтобы разные отделы (или даже сотриудники) используя этот
сквид ходили бы с разных IP в интернет (рабочий процесс этого 
требует)

вопрос как наиболее просто, не привязываясь к локалкочным
IP это реализовать? желательно не привязываясь и к авторизации
на проксе.

то есть чтобы пользователь сменил какую-то настройку
и пошел с другого IP-адреса в инет.


может можно заставить squid слушать множество портов и менять номер
порта? можно ли в acl'ях узнать номер порта с которого зашел клиент?
--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: squid и имя хоста

[George Shuklin]

16.01.09, 12:58, Dmitry E. Oboukhov un...@debian.org:

 AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в
 AGG протоколе HTTP.
 хорошо, переформулируем задачу.
 имеется фирма, которая владеет хостом с N IP-шниками.
 IP-шники разных подсетей.
 на хосте ставим squid.
 нужно чтобы разные отделы (или даже сотриудники) используя этот
 сквид ходили бы с разных IP в интернет (рабочий процесс этого 
 требует)
 вопрос как наиболее просто, не привязываясь к локалкочным
 IP это реализовать? желательно не привязываясь и к авторизации
 на проксе.
 то есть чтобы пользователь сменил какую-то настройку
 и пошел с другого IP-адреса в инет.
 может можно заставить squid слушать множество портов и менять номер
 порта? можно ли в acl'ях узнать номер порта с которого зашел клиент?

Почему ты боишься IP? DHCP в сети? 

Правильное решение проблемы - динамическая регистрация PTR'ов на DNS сервере и 
ACL по имени хоста пользователя.

Есть другое правильное решение (для виндов) - NTLM авторизация (в этом случае 
авторизация идёт по имени пользователя или по группе AD).

-- 
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хо ста

[Dmitry E. Oboukhov]

нет нет.

тут задача такая, 
сотрудник должен иметь возможность зайти на сайт с разных IP.
например хочет посмотреть на сайт из европы или из америки

то есть привязка к топологии локалки не подходит.


GS Почему ты боишься IP? DHCP в сети?

GS Правильное решение проблемы - динамическая регистрация PTR'ов на DNS 
сервере и ACL по имени хоста пользователя.

GS Есть другое правильное решение (для виндов) - NTLM авторизация (в этом 
случае авторизация идёт по имени пользователя или по группе AD).

вот к авторизации пока что тоже не хочется привязываться
но если ничего не придумается, видимо придется
--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: squid и имя хоста

[Alexander GQ Gerasiov]

На Fri, 16 Jan 2009 12:58:03 +0300
Dmitry E. Oboukhov un...@debian.org записано:

 AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в
 AGG протоколе HTTP.
 
 хорошо, переформулируем задачу.
 
 имеется фирма, которая владеет хостом с N IP-шниками.
 IP-шники разных подсетей.
 
 на хосте ставим squid.
 
 нужно чтобы разные отделы (или даже сотриудники) используя этот
 сквид ходили бы с разных IP в интернет (рабочий процесс этого 
 требует)
 
 вопрос как наиболее просто, не привязываясь к локалкочным
 IP это реализовать? желательно не привязываясь и к авторизации
 на проксе.
некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а
dns именами...

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:g...@cs.msu.su Jabber:  g...@jabber.ru
 Homepage:  http://gq.net.ru ICQ: 7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хоста

[George Shuklin]

16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su:

 некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а
 dns именами...
Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса 
указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две 
программы, хоть ты им разные имена и укажешь.


-- 
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хоста

[Alexander GQ Gerasiov]

На Fri, 16 Jan 2009 15:31:36 +0300
George Shuklin n...@narod.ru записано:

 16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su:
 
  некоторый софт позволяет задавать bind к интерфейсам не
  айпишниками, а dns именами...
 Это означает, что софт делает ресолв перед биндингом. Если у тебя два
 адреса указывают на один ИП ты не сможешь забиндить на один и тот же
 порт слушать две программы, хоть ты им разные имена и укажешь.
Так Дима и написал, что у него все же несколько локальных ip

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:g...@cs.msu.su Jabber:  g...@jabber.ru
 Homepage:  http://gq.net.ru ICQ: 7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хоста

[George Shuklin]

16.01.09, 15:40, Alexander GQ Gerasiov g...@cs.msu.su:

 На Fri, 16 Jan 2009 15:31:36 +0300
 George Shuklin n...@narod.ru записано:
  16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su:
  
   некоторый софт позволяет задавать bind к интерфейсам не
   айпишниками, а dns именами...
  Это означает, что софт делает ресолв перед биндингом. Если у тебя два
  адреса указывают на один ИП ты не сможешь забиндить на один и тот же
  порт слушать две программы, хоть ты им разные имена и укажешь.
 Так Дима и написал, что у него все же несколько локальных ip
Если так, то самым простым решением будет несколько сквидов на разных 
интерфейсах (со своими АЦЛ). Если при этом ещё думать про кеширование, то 
слушающие сквиды без кеша и с маленьким кешем памяти, а кеширующий сквид 
биндится на локалхост и, собственно, кеширует.

-- 
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: squid и имя хо ста

[Dmitry E. Oboukhov]

 На Fri, 16 Jan 2009 15:31:36 +0300
 George Shuklin n...@narod.ru записано:
 16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su:
 
 некоторый софт позволяет задавать bind к интерфейсам не
 айпишниками, а dns именами...
 Это означает, что софт делает ресолв перед биндингом. Если у тебя два
 адреса указывают на один ИП ты не сможешь забиндить на один и тот же
 порт слушать две программы, хоть ты им разные имена и укажешь.
 Так Дима и написал, что у него все же несколько локальных ip
GS Если так, то самым простым решением будет несколько сквидов на разных 
интерфейсах (со своими АЦЛ). Если при этом ещё думать про кеширование, то 
слушающие сквиды без кеша и с маленьким кешем памяти, а кеширующий сквид 
биндится на локалхост и, собственно, кеширует.
а одним squid никак не обойтись?

например повесить его на разные порты 

:3121
:3122

нельзя внутри определить клиента пришедшего на 3121 от клиента на 3122?
--
... mpd is off

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: squid POST size restritions

[Игорь Чумак]

Maxim Tyurin пишет:

Игорь Чумак writes:

  

Maxim Tyurin пишет:


Hi!
Появилась задача - ограничить размер POST в squid.
Не запретить его вообще, а сделать ограничение
запретить POST для определенного ip/hostname если размер POST больше n
байт

Как такое можно организовать в squid?
Что-то как это сделать не могу придумать :(
  
  

#  TAG: request_body_max_size   (KB)
#   This specifies the maximum size for an HTTP request body.
#   In other words, the maximum size of a PUT/POST request.
#   A user who attempts to send a request with a body larger
#   than this limit receives an Invalid Request error message.
#   If you set this parameter to a zero, there will be no limit
#   imposed.
#
#Default:
# request_body_max_size 10 MB

А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с
установленным request_body_max_size и перенаправить на него POST
запросы с определённых IP (см cache_peer, cache_peer_access)



Про эту опцию я отлично знаю.
Насчет нескольких экземпляров У меня таких ip немало.
А запускать даже 4 сквида это сильно расточительно.

  

Зачем 4?
1 основной (в котором есть кеширование , есть
acl post_limit src xxx
cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited
cache_peer_access squid_post_limited allow post_limit
cache_peer_access squid_post_limited deny all
)
2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size
  


  
P.S. Нашел патч для сквида. Протестирую.

Если заработает как надо - напишу.
  



--



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid POST size restritions

[Maxim Tyurin]

Игорь Чумак writes:

 Зачем 4?
 1 основной (в котором есть кеширование , есть
 acl post_limit src xxx
 cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited
 cache_peer_access squid_post_limited allow post_limit
 cache_peer_access squid_post_limited deny all
 )
 2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size

Потому что у меня сейчас 4 группы с разным лимитом.
-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid POST size restritions

[Игорь Чумак]

Maxim Tyurin пишет:

Игорь Чумак writes:

  

Зачем 4?
1 основной (в котором есть кеширование , есть
acl post_limit src xxx
cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited
cache_peer_access squid_post_limited allow post_limit
cache_peer_access squid_post_limited deny all
)
2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size



Потому что у меня сейчас 4 группы с разным лимитом.
  

Я конечно понимаю, что хозяин-барин.. ;) Но в чём сакральный смысл??

В моём squid'е (например) за сегодня 5579 POST-запросов (суммарный 
размер  50 603 463), из них top 10

147914
183002
183886
186493
186509
186566
187103
190415
1223085
20435357

За вчера - 20133 (суммарный размер 147 184 631), top 10 соответственно
269494
426804
474985
654485
831959
1365769
2244130
5550800
5658777
33327620

, т.е. получается, что 10мб - единичные запросы, 1..10мб - немного чаще..
Не вижу смысла огород городить.
(у вас возможно картина другая..)

--




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid POST size restritions

[Игорь Чумак]

Maxim Tyurin пишет:

Hi!
Появилась задача - ограничить размер POST в squid.
Не запретить его вообще, а сделать ограничение
запретить POST для определенного ip/hostname если размер POST больше n
байт

Как такое можно организовать в squid?
Что-то как это сделать не могу придумать :(
  

#  TAG: request_body_max_size   (KB)
#   This specifies the maximum size for an HTTP request body.
#   In other words, the maximum size of a PUT/POST request.
#   A user who attempts to send a request with a body larger
#   than this limit receives an Invalid Request error message.
#   If you set this parameter to a zero, there will be no limit
#   imposed.
#
#Default:
# request_body_max_size 10 MB

А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с 
установленным request_body_max_size и перенаправить на него POST запросы 
с определённых IP (см cache_peer, cache_peer_access)


--



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid POST size restritions

[Maxim Tyurin]

Игорь Чумак writes:

 Maxim Tyurin пишет:
 Hi!
 Появилась задача - ограничить размер POST в squid.
 Не запретить его вообще, а сделать ограничение
 запретить POST для определенного ip/hostname если размер POST больше n
 байт

 Как такое можно организовать в squid?
 Что-то как это сделать не могу придумать :(
   
 #  TAG: request_body_max_size   (KB)
 #   This specifies the maximum size for an HTTP request body.
 #   In other words, the maximum size of a PUT/POST request.
 #   A user who attempts to send a request with a body larger
 #   than this limit receives an Invalid Request error message.
 #   If you set this parameter to a zero, there will be no limit
 #   imposed.
 #
 #Default:
 # request_body_max_size 10 MB

 А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с
 установленным request_body_max_size и перенаправить на него POST
 запросы с определённых IP (см cache_peer, cache_peer_access)

Про эту опцию я отлично знаю.
Насчет нескольких экземпляров У меня таких ip немало.
А запускать даже 4 сквида это сильно расточительно.

P.S. Нашел патч для сквида. Протестирую.
Если заработает как надо - напишу.
-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid. Выборочная очистка кеша.

[Andrey Melnikoff]

Vitaliy Nosov [EMAIL PROTECTED] wrote:
 [-- text/plain, кодировка base64, кодировка: windows-1251, 9 строк --]

 Здраствуйте.

 Возник вопрос следующего плана - можно ли почистить кеш сквида 
 выборочно. Очистить все записи, касающиеся какого-то ресурса (www.ru, к 
 примеру).
Можно. Выбрать grep'ом все объекты с нужного сайта и через squidclient PURGE
отпуржить.

 Просто есть сайт, который попал в кеш и, несмотря на наличие в конфиге 
 соответсвующего acl-а и директивы always_direct, все равно берется из 
Деректива always_direct не для этого. Да не кэширования - 
cache deny $acl. 

 кеша. reload_into_ims выключено.
Зачем?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid как прозрачный прокси, проблемы с http s

[Nick Phoenix]

И правильно, что не работает. SSL для того и был придуман, чтобы 
предотвращать атаки типа man-in-the-middle, где man - это в данном 
случае squid  :)
Правильный путь - NAT. Если NAT по каким-то причинам не подходит, то 
смотрите в сторону настройки в squid метода CONNECT для 443 порта, но 
имейте в виду, что в любом случае кэшироваться ничего не будет.


Roman Makurin пишет:
А вообще можно сделать прозрачный прокси для https соединений или нет ? 


Спасибо

  



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid как прозрачный прокси, проблемы с https

[Artem Chuprina]

Roman Makurin - debian-russian@lists.debian.org  @ Sat, 31 May 2008 20:13:10 
+0400:

 RM Всем привет!

 RM В наличии etch, squid-2.6.20. Настроил как прозрачный proxy:

 RM http_port 3128 transparent

 RM acl HOME_NET src 192.168.1.0/24
 RM http_access allow HOME_NET

 RM добавил правило iptables:

 RM iptable -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
 RM --to-ports 3128

 RM если добавить аналогичное правило для 443(https) порта

 RM iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT
 RM --to-ports 3128

 RM то firefox мне выдает какую-то непонятную ошибку:

 RM ===
 RM Ошибка при установлении защищённого соединения
 RM При соединении с bugs.launchpad.net произошла ошибка.
 RM SSL получило запись, длина которой превышает максимально допустимую.

 RM (Код ошибки: ssl_error_rx_record_too_long)

 RM *   Страница, которую вы пытаетесь просмотреть, не может быть
 RM отображена, так как достоверность полученных данных не может быть
 RM проверена.

 RM *   Пожалуйста свяжитесь с владельцами веб-сайта и проинформируйте
 RM их об этой проблеме. В качестве альтернативы вы можете сообщить о
 RM некорректно работающем сайте с помощью команды, находящейся в меню
 RM «Справка».
 RM ===

 RM Что-то мне подсказывает что где-то я напортачил. В google ничего
 RM толкового мне не сказали.

Видимо, там подразумевают, что ты уже знаешь, почему https не может
ходить через прокси так же, как обычный http...  А если не знаешь, то
https тебе не нужен и даже вреден.

 RM А вообще можно сделать прозрачный прокси для https соединений или нет ? 

Может быть, и можно, но смысл в этом близкий к нулевому.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

mv /dev/rookie /dev/hands


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid и кеширование больших объектов в памяти

[Alexey Boyko]

В сообщении от 2 August 2007 10:44 Mihail Y. Samoylov написал(a):

 машинами со squid'ом акселерировать раздачу фильмов. Специфика такова,
 что десяток файлов фильмов в день скачиваются сотни раз, остальные -
 несколько раз. И если сунуть этот десяток файлов в память(её хватает,
 8Гб), жить станет легче, жить станет веселее и можно замечательно
 утилизировать каналы.
 P.S.
 Кеширование на уровне файловой системы и RAM-диска не предлагать - не
 хватает интеллектуальносьти: будет кешироваться одинаково и популярный
 файл и файл, скачанный раз.

Э-э-э, немного не такое решение у меня в голове возникло, но:

Можно попробовать создать рамдиск, и дописать некую программу, которая 
определяет 
популярность файлов и популярные файлы перекидывает на рамдиск и перестраивает 
ссылки втуда.

Второй вариант - попробовать добавить интелектуальности кешу, дописать 
программу, 
которая популярным файлам делает mmap и заставляет их держать в памяти. 
Но не уверен, что таким способом удастся обмануть кеш.

Re: Squid и кеширование б ольших объектов в памяти

[Pavel Ammosov]

On Thu, Aug 02, 2007 at 02:44:43PM +0700, Mihail Y. Samoylov wrote:
 машинами со squid'ом акселерировать раздачу фильмов. Специфика такова,
 что десяток файлов фильмов в день скачиваются сотни раз, остальные -
 несколько раз. И если сунуть этот десяток файлов в память(её хватает,
 8Гб), жить станет легче, жить станет веселее и можно замечательно

Может проще nginx будет использовать? Он в такой ситуации работает
заметно лучше apache.

http://www.sysoev.ru/nginx/


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid и кеширование больших объектов в памяти

[Alexander Vlasov]

А это... Вы проксируете толстый поток пользователей или вы сильно
раздаете статику? Если второе, то лучше не апач вообще, и не апач со
сквидом, а что-то хорошо статику умеющее отдавать. lighttpd, например.

У Чтв, 2007-08-02 у 14:44 +0700, Mihail Y. Samoylov пише:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Доброго дня.
 
 Есть ли у кого-нибудь опыт тюнинга allocator'а памяти Squid'a? Хочется
 машинами со squid'ом акселерировать раздачу фильмов. Специфика такова,
 что десяток файлов фильмов в день скачиваются сотни раз, остальные -
 несколько раз. И если сунуть этот десяток файлов в память(её хватает,
 8Гб), жить станет легче, жить станет веселее и можно замечательно
 утилизировать каналы.
 Но.
 Если сквиду указывать максимальный размер кешируемого в память файла
 (maximum_object_size_in_memory) больше определённого порога, он при
 попытке сунуть фильм, например, он, судя по трейсу, начинает
 allocate'ить память кусками чуть ли не по килобайту, полностью грузит
 процессор и скорость чудовищно проседает (сотни килобайт\с). И отсюда
 вопрос - что можно сделать, чтобы можно было файлы большого объёма
 нормально складывать в память?
 
 P.S.
 Кеширование на уровне файловой системы и RAM-диска не предлагать - не
 хватает интеллектуальносьти: будет кешироваться одинаково и популярный
 файл и файл, скачанный раз.
 - --
 Think different, think doomsday.
 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.4.6 (GNU/Linux)
 
 iD8DBQFGsYtrVBz7lY1Imj0RAnukAJ93kKSKqgh9St3ywraVq6eAvBk4tACdHQUI
 2EhSwEEDAffScj7V9dZiQHA=
 =beMp
 -END PGP SIGNATURE-
 
 
-- 
Alexander Vlasov
ZULU-UANIC
JID: zulu at jabber.kiev.ua


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid и кеширование б ольших объектов в пам яти

[Mihail Y. Samoylov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Pavel Ammosov пишет:

 Может проще nginx будет использовать? Он в такой ситуации работает
 заметно лучше apache.


Alexander Vlasov пишет:

 А это... Вы проксируете толстый поток пользователей или вы сильно
 раздаете статику? Если второе, то лучше не апач вообще, и не апач со
 сквидом, а что-то хорошо статику умеющее отдавать. lighttpd, например.

Динамики там вообще нет. Это фильмы. Много фильмов. Схема выглядит вот так:

Balancer-Squid1 - Референс-хранилище.
 -Squid2
 ...
 -SquidN

Все редиректы и запросы работают на уровне HTTP.

Проблема с тем, что железка под референс-хранилище, могущая вместить за
раз весь объём контента стоит крайне негуманных денег и даже если
отдавать всё с неё напрямую, мы утыкаемся в её производительность.
Поэтому и придумана схема с кешированием контента пачкой относительно
дешёвых серверов.

Nginx и так используется, для отдачи файлов с референса на сквиды. Когда
мы использовали Nginx на референсе, всё равно его производительности не
хватало.

- --
Think different, think doomsday.
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGspxvVBz7lY1Imj0RAjcaAJ4kN/Hht5bHzF8k9oAjyzUf0i4NpgCeJkyW
Hby/KMX2tiet6Rn1TCHP2R8=
=6SSS
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid и кеширование боль ших объектов в памяти

[Mihail Y. Samoylov]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Alexey Boyko пишет:
 Э-э-э, немного не такое решение у меня в голове возникло, но:
 
 Можно попробовать создать рамдиск, и дописать некую программу, которая 
 определяет 
 популярность файлов и популярные файлы перекидывает на рамдиск и 
 перестраивает ссылки втуда.
 
 Второй вариант - попробовать добавить интелектуальности кешу, дописать 
 программу, 
 которая популярным файлам делает mmap и заставляет их держать в памяти. 
 Но не уверен, что таким способом удастся обмануть кеш.

Обидно то, что этот функционал уже реализован в Squid, но из-за
заточенности его allocator'a под мелкие файлы, нормально использовать
его под толстенькие файлики не получается.

- --
Think different, think doomsday.
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGspziVBz7lY1Imj0RAp9oAKCJ4ihyjpK62gZQ1XADf3Ol/5jYlQCguvtw
CZ3QwofzLxjFnUE2iostYWg=
=boYU
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid после обновлени я до etch

[Pavel Ammosov]

On Sat, Sep 09, 2006 at 10:23:23PM +0600, Nikolay wrote:
 После обновления системы sarge+backports до etch перестал запускаться squid. 
 
 Sep  9 22:18:20 igate (squid): comm_select_init: epoll_create(): (38) 
 Function 
 not implemented

Запусти его на ядре 2.6


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid после обновления до etch

[proforg]

On 9/9/06, Pavel Ammosov [EMAIL PROTECTED] wrote:

On Sat, Sep 09, 2006 at 10:23:23PM +0600, Nikolay wrote:
 После обновления системы sarge+backports до etch перестал запускаться squid.

 Sep  9 22:18:20 igate (squid): comm_select_init: epoll_create(): (38) Function
 not implemented

Запусти его на ядре 2.6


Или пресобери 2.4 c патчем для поддержки epoll
http://www.xmailserver.org/linux-patches/nio-improve.html#patches

--
Alexej Bestchiokov
EMail/JID: [EMAIL PROTECTED]
phone: +7 495 7853149

Re: squid aufs

[Sergey Chumakov]

Hi Pavel,

* Pavel Shurubura [EMAIL PROTECTED]
* 2006-04-13 10:45:
   Для этого надо будет удалять кэш или можно просто
 поменять в конфиге и сказать squid'у  reload ?

Да, я просто поменял и перезапустил

-- 
Best regards,
Sergey Chumakov 2:450/77[.43]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid + ... + clamav

[Расул Гасанов]

Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто 
не пробовал?




Пока остановился на DansGuardian из бэкпортов. Вроде работает. Правда 
подтормаживает немного, но тут еще подкрутим.
Кстати, никто не в курсе, где бы потеститься на предмет разного рода 
троянов и пр. вирей? cracks.am, eicar.org уже пробовал, vx.netlux.org 
временно недоступен. Что еще есть?


--
С наилучшими пожеланиями, Расул Гасанов.
ФКБ Петрокоммерц в г. Новочеркасске,
отдел автоматизации, т. (863-52) 4-63-52

Re: squid + ... + clamav

[Andrey A. MINEEV]

В сообщении от 16 Март 2006 11:35 Расул Гасанов написал(a):
 Добрый день.

 Испытываю желание прикрутить к существующему squid'у антивирусный фильтр
   на основе clamav. Что порекомендует community?
 Заранее спасибо.
c-icap

 P.S. Debian 3.1.

-- 
With Besr Regards
Andrey A. MINEEV

Re: squid + ... + clamav

[Ed]

Расул Гасанов wrote:

Испытываю желание прикрутить к существующему squid'у антивирусный 
фильтр  на основе clamav. Что порекомендует community?

Заранее спасибо.



когда я смотрел в последний раз - за всё написанное хотелось руки 
оторвать. были даже мысли свое написать - но времени нет и база у clamav 
сильно на почтовые вирусы ориентирована.


я для пробы прогонял через drweb/bdc кучу мелких exe, вcтретившихся в 
http-трафике - как и ожидалось практически одни трояны. прогнал через 
clamav - определилось около 30%. предоставил неопределившиеся для 
анализа команде clamav - через несколько месяцев что-то включили в базы, 
но далеко не всё.


насколько я понимаю, у них ресурсов не хватает на всю эту пакость.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid + ... + clamav

[Rinat]

Ed пишет:
Испытываю желание прикрутить к существующему squid'у антивирусный 
фильтр  на основе clamav. Что порекомендует community?

Заранее спасибо.



когда я смотрел в последний раз - за всё написанное хотелось руки 
оторвать. были даже мысли свое написать - но времени нет и база у clamav 
сильно на почтовые вирусы ориентирована.


я для пробы прогонял через drweb/bdc кучу мелких exe, вcтретившихся в 
http-трафике - как и ожидалось практически одни трояны. прогнал через 
clamav - определилось около 30%. предоставил неопределившиеся для 
анализа команде clamav - через несколько месяцев что-то включили в базы, 
но далеко не всё.

чем пользуешься в таком случае?


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid + ... + clamav

[Расул Гасанов]

Расул Гасанов,

16.03.2006 10:35:

Добрый день.

Испытываю желание прикрутить к существующему squid'у антивирусный фильтр 
  на основе clamav. Что порекомендует community?

Заранее спасибо.

P.S. Debian 3.1.



Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто 
не пробовал?


--
С наилучшими пожеланиями, Расул Гасанов.
ФКБ Петрокоммерц в г. Новочеркасске,
отдел автоматизации, т. (863-52) 4-63-52

Re: squid + ... + clamav

[Ed]

Расул Гасанов wrote:

Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто 
не пробовал?



вот-вот... именно про такое я говорил руки поотрывать


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid + ... + clamav

[Andrey Melnikoff]

Ed [EMAIL PROTECTED] wrote:
 Расул Гасанов wrote:

  Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто 
  не пробовал?
 вот-вот... именно про такое я говорил руки поотрывать
Есть squidclam. Даже работает. Но вся беда в том, что даже icap сделан через
зад (ну, он предназначался для фильтров контента).



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid+mrtg+apache?

[Yauhen Kharuzhy]

On Tue, Mar 07, 2006 at 03:27:43PM +0600, Шубин В.А. wrote:
 Здравствуйте!
 
  
 
 Столкнулся с проблемой. Установил squid (все работает) и для мониторинга
 сетевого интерфейса связку 
 
 mrtg+snmpd+apache. Сделал соответствующие изменения в конфигах snmpd и mrtg,
 создал index.html 
 
 для mrtg и решил посмотреть, как все это выглядит, НО тут облом-с, при
 попытки доступа через 
 
 броузер к сайту по IP-адресу, броузер долго думает и ничего не происходит. В
 логах apache пусто. 
 
 Конфиги apache после установки не трогал, все по-дефолту. Не могу получить
 доступ даже к 
 
 дефолтовой странице apache.

iptables?

-- 
Best regards,
Yauhen Kharuzhy y.kharuzhy_(at)_sam-solutions.net
  
A: No
Q: Should I quote below my post?


signature.asc
Description: Digital signature

Re: Squid на ppp

[Mad Cat]

Pavel Ammosov пишет:


On Tue, Feb 28, 2006 at 10:20:34PM +0300, Mad Cat wrote:
 


Поднял себе сабж с целью кэширования и учета своего диалап трафика.
Проблема возникает следующая: Squid запускается вместе с системой, когда 
соединение еще не установлено. При установке соединения необходимо 
перезапускать squid (/etc/init.d/squid restart), иначе трафик через него 
не идёт.

Можно ли с этим бороться? Если да, то как?
   



Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы
список ресолверов не менялся при подключении.
 


Помогло. Спасибо.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid на ppp

[Yauhen Kharuzhy]

On Wed, Mar 01, 2006 at 08:27:18AM +0500, Nizamov Shawkat wrote:
  Поднял себе сабж с целью кэширования и
  учета своего диалап трафика.
  Проблема возникает следующая: Squid
  запускается вместе с системой, когда
  соединение еще не установлено. При
  установке соединения необходимо
  перезапускать squid (/etc/init.d/squid restart), иначе
  трафик через него
  не идёт.
  Можно ли с этим бороться? Если да, то как?
 

Насколько я помню в саржевском squid это уже прописано. Возможно, в
testing, не помню точно.

-- 
Best regards,
Yauhen Kharuzhy y.kharuzhy_(at)_sam-solutions.net
  
A: No
Q: Should I quote below my post?


signature.asc
Description: Digital signature

Re: Squid на ppp

[Pavel Ammosov]

On Tue, Feb 28, 2006 at 10:20:34PM +0300, Mad Cat wrote:
 Поднял себе сабж с целью кэширования и учета своего диалап трафика.
 Проблема возникает следующая: Squid запускается вместе с системой, когда 
 соединение еще не установлено. При установке соединения необходимо 
 перезапускать squid (/etc/init.d/squid restart), иначе трафик через него 
 не идёт.
 Можно ли с этим бороться? Если да, то как?

Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы
список ресолверов не менялся при подключении.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid на ppp

[Artem Chuprina]

Pavel Ammosov - debian-russian@lists.debian.org  @ Wed, 1 Mar 2006 13:37:54 
+0300:

  Поднял себе сабж с целью кэширования и учета своего диалап трафика.
  Проблема возникает следующая: Squid запускается вместе с системой, когда 
  соединение еще не установлено. При установке соединения необходимо 
  перезапускать squid (/etc/init.d/squid restart), иначе трафик через него 
  не идёт.
  Можно ли с этим бороться? Если да, то как?

 PA Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы
 PA список ресолверов не менялся при подключении.

Разумнее понять кэширующий DNS.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Юзер обожает терпеть мелкие неудобства
Victor Wagner


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid на ppp

[Oleg A. Rybnikov]

Artem Chuprina пишет:



Разумнее понять кэширующий DNS.

 

согласен. но есть еще одно решение - поправить скрипт запуска сквида, 
добавив ключ -D.


-DDisable initial DNS tests.


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid на ppp

[Matvey]

On Tue, 28 Feb 2006 22:20:34 +0300
Mad Cat wrote:

 Поднял себе сабж с целью кэширования и учета своего диалап трафика.
 Проблема возникает следующая: Squid запускается вместе с системой, когда 
 соединение еще не установлено. При установке соединения необходимо 
 перезапускать squid (/etc/init.d/squid restart), иначе трафик через него 
 не идёт.
 Можно ли с этим бороться? Если да, то как?
 
Видимо, настроен cache_peer. Надо в параметрах ему написать no-query. См.
squid.conf.

-- 
Матвийчук Олег aka Matvey, LRU#349092
http://mathway.narod.ru

I am the ILOVEGNU signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.

Никто не повис, ничто не повисло...


signature.asc
Description: PGP signature

Re: Squid на ppp

[Nizamov Shawkat]

 Поднял себе сабж с целью кэширования и
 учета своего диалап трафика.
 Проблема возникает следующая: Squid
 запускается вместе с системой, когда
 соединение еще не установлено. При
 установке соединения необходимо
 перезапускать squid (/etc/init.d/squid restart), иначе
 трафик через него
 не идёт.
 Можно ли с этим бороться? Если да, то как?


прописать /etc/init.d/squid reload в /etc/ppp/if-up



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и acces.log

[Artem Chuprina]

Sergey Didanov - debian-russian  @ Mon, 17 Oct 2005 07:40:15 +0300:

 SD Информация о каком трафике сохраняется в acces.log?
 SD Только входящем?
 SD Входящем + исходящем(запросы)?

В access.log по определению сохраняется информация о запросе и ответе на
него.  Если тебя интересует, к чему относится указанный там размер, то
так и надо спрашивать.  По-моему, только к ответу.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Ну какая работа со строками может быть в языке, название которого является
не строкой, а символом?
Sergue E. Leontiev в [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Alexey Remizov]

Matvey wrote:
 On Thu, 13 Oct 2005 20:06:24 +0300
 Sergey Didanov [EMAIL PROTECTED] wrote:
 
 
Стоит такая задача:
...
пользователи могли использовать только 75% канала.
Такое можно сделать?

 Читаешь про delay_pools в squid.conf.

Только осторожнее, народ пишет, что есть грабли при переконфигурации сквида:

http://www.opennet.ru/opennews/art.shtml?num=6150

-- 
С уважением. | WBR. |
Алексей. | Alexey.  |
|
mailto:[EMAIL PROTECTED] |
jabber:[EMAIL PROTECTED]|
'


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Matvey]

On Thu, 13 Oct 2005 23:10:21 +0300
Sergey Didanov [EMAIL PROTECTED] wrote:

 В Чтв, 13/10/2005 в 21:17 +0300, Matvey пишет:
 
  delay_pools 1
  delay_class 1 1 
   Так вроде класс 1 это для узлов а не для сетей???
 
#   The delay pool classes are:
#
#   class 1 Everything is limited by a single aggregate
#   bucket.
#
Вы же хотите резать сетку в целом, а не каждый хост в отдельности?

  delay_access 1 allow my_net
  delay_access 1 deny all
  delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем
  буфера в байтах.
   А указать часть от доступного канала можно?
 
Я не нашел. Может вам повезет больше? ;)

У вас переменная ширина канала? Как вы себе представляете определение его 
фактической
ширины в данный момент? Если у вас АТМ с VBR или что-то такого плана, кроме 
как поставить 0.75 от среднего заказанного значения, ничего не вижу.

-- 
Матвийчук Олег aka Matvey, LRU#349092
http://mathway.narod.ru

I am the ILOVEGNU signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.

Птичка Божия не знает не забот и не хлопот
Лишь летает и воняет, хриплым голосом поет Blind Guardian - The Bard's Song - 
In The Fores


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Ed]

Matvey wrote:


Стоит такая задача:
Есть сервак подключенный к инету. На другом интерфейсе подключена сеть
192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб
пользователи могли использовать только 75% канала.
Такое можно сделать?


читаешь про delay_pools в squid.conf.
 



afaik delay_pools в squid влиет только на то, как тот отдает клиентам - 
скачивает же он на максимальной скорости.


то есть если я правильно понял и речь про ограничение использования 
внешнего канала - squid не пойдет.



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Mihail A Antonov]

E afaik delay_pools в squid влиет только на то, как тот отдает клиентам -
E скачивает же он на максимальной скорости.

E то есть если я правильно понял и речь про ограничение использования
E внешнего канала - squid не пойдет.

Ничего не пойдет.
Ответы на запросы будут летать с максимальной скоростью.
Отдавать сквид будет по своим правилам.

-- 
Best regards,
   Mihail.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Dmitry E. Oboukhov]

On 20:06 Thu 13 Oct , Sergey Didanov wrote:
 Стоит такая задача:
 Есть сервак подключенный к инету. На другом интерфейсе подключена сеть
 192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб
 пользователи могли использовать только 75% канала.
 Такое можно сделать?
я делил eth1 на два
eth1 и eth1:0
и один ограничивал shaper'ом
apt-get install shaper

ну и пользователи естественно шли на тот eth который ограничен

но мне надо было весь трафик ограничить (не только сквидный)
может и тебе такой способ подойдет...

а вообще сам сквид умеет скоростями управлять, надо на него доки читать
:)


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Matvey]

On Thu, 13 Oct 2005 20:06:24 +0300
Sergey Didanov [EMAIL PROTECTED] wrote:

 Стоит такая задача:
 Есть сервак подключенный к инету. На другом интерфейсе подключена сеть
 192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб
 пользователи могли использовать только 75% канала.
 Такое можно сделать?
 
Читаешь про delay_pools в squid.conf.

Если канал фиксированной ширины, должно получится что-то вроде:

acl my_net src 192.168.1.0/24

delay_pools 1
delay_class 1 1 
delay_access 1 allow my_net
delay_access 1 deny all
delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем
буфера в байтах.

-- 
Матвийчук Олег aka Matvey, LRU#349092
http://mathway.narod.ru

I am the ILOVEGNU signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public License.

Птичка Божия не знает не забот и не хлопот
Лишь летает и воняет, хриплым голосом поет A Perfect Circle - The Hollow


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: squid и delay_pools

[Sergey Didanov]

В Чтв, 13/10/2005 в 21:17 +0300, Matvey пишет:

 delay_pools 1
 delay_class 1 1 
Так вроде класс 1 это для узлов а не для сетей???

 delay_access 1 allow my_net
 delay_access 1 deny all
 delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем
 буфера в байтах.
А указать часть от доступного канала можно?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid и скорость работы нета

[Nizamov Shavkat]

 Может кто сталкивался. Постаил сквид (машина Celeron 1.80 GHz 356 DDR)
 скорость передачи не поднимаетсявышечем 59-98 KB/s хотя канал 128 KB/s,
 че делать куду копать.

98 - это более менее нормально для такого канала. скорость зависит еще и
от канала того сайта с которого идет скачка. может и 3 кб/с быть :))) и
ничего с этим провайдер сделать не сможет

 Попутный вопрос есть подозрение на провайдера
 (что он канал урезает), чем его замерить можно?

скачать с него самого что нибудь


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid

[=?windows-1251?B?z+7t7uzg8OXiIMAuzS4=?=]

   Squid  /,
  Squid  ,

 :  /etc/squid.conf   authenticate_program

authenticate_program /usr/lib/squid/ncsa_auth /usr/lib/squid/squid.user

  -
htpasswd /usr/lib/squid/squid.user 


 
   ..






-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid

[Andrey Melnikoff]

[EMAIL PROTECTED] wrote:

   8  2005 ., 14:42:38:


  ,?squid.conf 5  .

  :)

  auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users
  auth_param basic children 3
  auth_param basic realm  Gala.Net proxy server
  auth_param basic credentialsttl 2 hours
  auth_param basic casesensitive on

  authenticate_ttl 1 hour
  authenticate_ip_ttl 1 hour
  authenticate_cache_garbage_interval 1 hour

  http_access allow from_local
  http_access allow from_office
  http_access allow homeworker !many_ip
  http_access deny all

  ,
 /
   :(
 .

acl auth_users proxy_auth REQUIRED
http_access allow from_local auth_users
http_access deny all


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Squid

[Andrey Melnikoff]

[EMAIL PROTECTED] wrote:

  acl auth_users proxy_auth REQUIRED
  http_access allow from_local auth_users
  http_access deny all

-  auth_users ,  ?
  from_local  .
  .   :
 , from_local
auth_user (,  ).



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]