Re: squid incept https
26.08.2015 12:37, Леонид Кальмаев пишет: > Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 > порт, далее говорим что мы хотим получить, в случае хттп мы просто просим > нужную нам странички и все методом гет. Если у нес используется https то > перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа > ничего не видит просто есть соединение и все. в случае если есть bamp то мы > создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. > таким образом просматриваем содержимое . А проблема напомню в следующим что > загружается голая страничка без � �тилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. > Более подробно с работой и установкой соединения можно ознакомится тут > http://habrahabr.ru/post/191954/ Вот это правило: -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 как раз и занимается тем что меняет адрес назначения на локальный. И сквид не видит куда именно хотел подключиться клиент без разбора всего SSL соединения.
Re: squid incept https
Леонид Кальмаев - debian-russian@lists.debian.org @ Thu, 27 Aug 2015 10:21:50 +0600: ЛК Руслан, Я просил помощи в реализации именно этого решения. Есть ЛК поставленная задача резать всё что не угодно руководству. И это не дыра в ЛК безопасности а нормальное решение для ограничения трафика. Так, к слову. Это дыра не в безопасности, а в приватности. И сильно подозреваю, что без надлежащего юридического оформления за это можно ответить по закону. И отвечать будет в первую очередь тот, кто реализовал решение. Опять же, у него меньше денег на адвоката... Это безотносительно к технической стороне ситуации, в которой я в данном случае не разбираюсь. Но поведение браузера похоже на загрузить страницу с невалидным сертификатом как-то уговорили, а про стили и картинки он и не спросил, просто молча отказался грузить. Я бы все-таки более внимательно посмотрел на то, как конфигурируется ситуация с подменой сертификата (в этом случае сертификат все же надо установить) и как - без (чистый туннель). Я бы не исключил, что конфигурируются они существенно по-разному, а не просто отключить ssl_bump.
Re: squid incept https
On Thu, Aug 27, 2015 at 10:21:50AM +0600, Леонид Кальмаев wrote: Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. Не хотел в 10 раз влезать в этот бесполезный спор, уродов не переделать, но реально интересно, что это за сайт такой в https которого надо залезть, чтобы отделить кошерный трафик от некошерного? В этой рассылке не принят топквотинг. Это в правилах есть.
Re: squid incept https
Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: squid incept https
Hello Леонид, On Wed, 26 Aug 2015 13:53:56 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Как не знает? в заговке начального пакета все есть куда подключаться. Другое дело что сквид тогда не видит что происходит в нутри этого tcp соединения. И я не смогу порезать загрузку видео или музыки. 26 авг 2015 г. 13:42 пользователь Alexander Gerasiov g...@cs.msu.su написал: Hello Леонид, On Wed, 26 Aug 2015 10:38:35 +0600 Леонид Кальмаев kalmae...@gmail.com wrote: Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. Туннель куда? Не подменив сертификат, он не узнает куда подключаться. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su Homepage: http://gerasiov.net Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 В каком еще заголовке начального пакета? У тебя же прозрачный прокси и нет connect'а, почитай внимательно описание этой опции на http://www.squid-cache.org/Doc/config/ssl_bump/ и вообще разберись с тем что и как ты делаешь, у тебя путаница в голове.
Re: squid incept https
В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев
Re: squid incept https
Александр смотрите, при установке соединения tcp мы обращаемся на 80 или 443 порт, далее говорим что мы хотим получить, в случае хттп мы просто просим нужную нам странички и все методом гет. Если у нес используется https то перед этим мы создаем шифрованное соединение в котором сквид без ssl_bampа ничего не видит просто есть соединение и все. в случае если есть bamp то мы создаем 2 соединение одно от клиента до сквида второе от сквида до сервера. таким образом просматриваем содержимое . А проблема напомню в следующим что загружается голая страничка без стилей и картинок через https. Данная проблема есть как с ssl_bump так и без оного. Более подробно с работой и установкой соединения можно ознакомится тут http://habrahabr.ru/post/191954/
Re: squid incept https
Руслан, Я просил помощи в реализации именно этого решения. Есть поставленная задача резать всё что не угодно руководству. И это не дыра в безопасности а нормальное решение для ограничения трафика. 26 августа 2015 г., 15:45 пользователь Руслан Коротаев korot...@ufamail.ru написал: В сообщении от [Ср 2015-08-26 09:36 +0600] Леонид Кальмаев kalmae...@gmail.com пишет: Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Squid может прозрачно проксировать https-трафик через Squid-in-the-middle [1], но это по сути дыра в безопасности (man-in-the-middle). при этом если явно указать что прокси находится на ip:port все работает. Да, так и надо, лучше сделать обычный прокси (метод connect) и сказать пользователям, так надежнее и безопаснее. [1] http://wiki.squid-cache.org/Features/SslBump -- http://google.com/+РусланКоротаев http://google.com/+%D0%A0%D1%83%D1%81%D0%BB%D0%B0%D0%BD%D0%9A%D0%BE%D1%80%D0%BE%D1%82%D0%B0%D0%B5%D0%B2
Re: squid incept https
Нет сертификат не ставил на клиент. Ошибка безопасности пока не смущала, контент страницы должен был грузится. Проблема сохраняется если указать ssl_bump none all , с таким конфигом он просто должен сделать тунель и не подменять сертификаты. 26 августа 2015 г., 10:29 пользователь Vasiliy P. Melnik ba...@vpm.net.ua написал: сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
Re: squid incept https
сертификат клиенту добавили ? http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https 26 августа 2015 г., 6:36 пользователь Леонид Кальмаев kalmae...@gmail.com написал: Доброго времени суток! Собрал скид с подержкой ssl и пытаюсь настроить прозрачный прокси. С http проблем нет все перехватывается и работает. А вот с https затык страничка загружается без наполнения т.е. нет картинок стилей и других вещей. В логах не нашел чего то подозрительного. Сквид собирался по этой инструкции http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/ . Конфиг простейший http_access allow all dns_v4_first on shutdown_lifetime 1 seconds always_direct allow all http_port 192.168.10.1:3128 intercept http_port 3140 https_port 192.168.10.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/myCA.pem sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 ssl_bump server-first all # ssl_bump none all Для проверки sslcrtd_program /usr/lib/squid3/ssl_crtd -s /var/lib/squid3/ssl_db -M 4MB. sslcrtd_children 8 startup=1 idle=1 перенаправление трафика сделано так -A PREROUTING -i br0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3129 -A PREROUTING -i br0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 при этом если явно указать что прокси находится на ip:port все работает.
Re: squid conf
привет всем, после настройки сквида керио впн клиент не подключается. как исправит. даже открыл 4090 не помогает.
Re: squid conf
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 30.01.2014 14:33, Martin Danielyan пишет: привет всем, после настройки сквида керио впн клиент не подключается. как исправит. даже открыл 4090 не помогает. жесть - -- Истово бью челом, системный управитель сети, раб Божий, Виталий. -BEGIN PGP SIGNATURE- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJS6hLCAAoJEFVXfR2g/jxFWmgIAIzI17sutilDxiAILPt637ck FqFn6iYam8NjRsrA3cfjJC6vS4UCIRLtGO2OtId5s7PQVMtkP5SVj9j8FsA74/O7 VdO8HvS3OYj5a0uyqc8EpuD9YVQFkS5V/er4PcK90iCvoT2rAuWebCDjMFGnNRuR z9dvozdxgOYtmddR7BQ41Nr9oGT03lb7E1auGxSBAAUQpRBS4I/45cyd6avlgNxf ramJ1fkb0z8r+azb0ah3q2Vec4m4AeQCp5L4IbAcp/1jftte1wOLWlaPD1p2BzRs ebnPRtNLeNeKyofC8dV1xiy7nmuOq2OepqLg0avk20n4fpWvqpxrXJ9gkQfxJ6k= =m1V0 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52ea12c2.8040...@ruta.ru
Re: squid conf
28.01.2014 21:21, Martin Danielyan пишет: Привет всем. у меня возникла проблем в centos 6.5 c squid 3.4.2, после цонфигуре make дает ошибку make [1]: *** [assert.lo] Error 1 make [1]: Leaving directory /root/Downloads/squid-3.4.2/compat make: *** [all-recursive] Error 1 прекратите компилировать и ставьте из пакетов. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2BAC8-CentOS.Squid-3.4_-Beta не говоря уже о том, что это не debian
Re: Squid transparent ntlm?
On 26.06.2013 14:11, Victor Wagner wrote: Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) А с какой угодно непрозрачной аутентификацией прозрачное проксирование совместимо? Потому что мне представлялось так, что прозрачное проксирование, оно потому и прозрачное, что прикидывается прямым соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ что либо - не должно, и соответственно несовместимо ни с какой аутентификацией. Очевидно, что прокси может использовать только те виды аутентификации, которые поддерживаются браузером. Представим себе что целевой сайт, на который хочет попасть пользователь, использует тот же вид аутентификации, что и прокси. Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? А как мы будем https аутентифицировать? Все правильно вы описали - или прозрачный прокси или аутентификация в принципе (в том числе и прозрачная). третьего не дано. Можно по ip авторизовать проксиком, но опять же не факт что проксик так умеет в режими transparent -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 26.06.2013 09:13, Petr Bondarenko wrote: Здравствуйте! А подскажите мне люди добрые, не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам Последний раз давно работал с сквидом, и тогда он умел либо NTLM либо прозрачность. забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote: не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos А kerberos совместим с прозранчым проксированием? И если да, то как? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626095913.ga10...@wagner.pp.ru
Re: Squid transparent ntlm?
On 26.06.2013 13:59, Victor Wagner wrote: On 2013.06.26 at 12:06:49 +0400, Владимир Скубриев wrote: не научился ли Squid последних версий работать в режиме transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам забудьте про ntlm, на дворе 21-й век. нужно юзать kerberos А kerberos совместим с прозранчым проксированием? И если да, то как? Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: Squid transparent ntlm?
On 2013.06.26 at 14:02:01 +0400, Владимир Скубриев wrote: transparent и юзать при этом NTLM-авторизацию? такое ни когда не будет работать по определенным техническим причинам Нет я имел в виду или прозрачный прокси или прозрачная аутентификация (kerberos | ntlm) А с какой угодно непрозрачной аутентификацией прозрачное проксирование совместимо? Потому что мне представлялось так, что прозрачное проксирование, оно потому и прозрачное, что прикидывается прямым соединением с целевым хостом. Поэтому добавлять в цепочку запрос-ответ что либо - не должно, и соответственно несовместимо ни с какой аутентификацией. Очевидно, что прокси может использовать только те виды аутентификации, которые поддерживаются браузером. Представим себе что целевой сайт, на который хочет попасть пользователь, использует тот же вид аутентификации, что и прокси. Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? А как мы будем https аутентифицировать? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626101108.ga10...@wagner.pp.ru
Re: Squid transparent ntlm?
On Wed, Jun 26, 2013 at 02:11:08PM +0400, Victor Wagner wrote: Какой из доступных нам видов аутентификации позволит одновременно аутентифицироваться на прокси и на сайте, если браузер и не подозревает что есть какая-то прокси, и думает что все добавленные ей заголовки http-ответа идут непосредственно с сайта? Браузер не обязан считать, что все заголовки идут непосредственно с сайта, благо коды ответов http для авторизации на прокси и на сайте отличаются: 401 (сайт) и 407 (прокси). Плюс наличие заголовков Proxy-Authorization и т.п. То есть прозрачная авторизация на прокси и авторизация на сайте совместимы и технически возможны. Проблема в другом. Нет механизма аутентифицикации прокси для браузера, т.е. метода подтвердить, что именно свой, локальный прокси запрашивает авторизацию. Поэтому браузер не может противостоять элементарной атаке, когда вредительский сайт выдаёт код 407, т.е. прикидывается локальным прокси-сервером, чтобы получить юзеровский логин и пароль. По этой причине все производители браузеров игнорируют код 407 в прямых ответах, этот код и соотвествующе ему хедеры обрабатываются только для явно проксируемых соединений. А как мы будем https аутентифицировать? Ситуация аналогична: браузер может отличить ответ с первыми байтами HTTP/x.x 407 от ssl-ного ServerHello, но всё это нахрен не нужно. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130626204602.gn20...@sie.protva.ru
Re: squid отдает данные из кеша ч ерез раз обновляя данные?
23 июля 2010 г. 14:58 пользователь Peter Pentchev r...@ringlet.net написал: Думаю, вопрос Дениса бил как точно парсятся. Если делается fscanf() (или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется ли заранее, строка пуста ли? Если такой проверки нет и по какой-то причине wget выдаст празный файл, то *scanf() и strto*() выпарсят с него один нуль. Проверьте каким-то образом, wget не выдает ли 0-length files - или допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить. Всего лучшего, Петр Спасибо за ответ Петр. Наверное это моя проблема, не смог внятно объяснить. Да и сам по ходу разбирательства нюансы узнаю. Парсер не встроен в программу. Парсер обрабатывает файлы, которые программа из интернета доставляет через прокси и складывает. Например ожидаемые данные: 1 2 3 5 4 6 5 4 8 А вот как было: 1 2 3 0 0 0 5 4 6 0 0 0 5 4 8 0 0 0 Каждая строка - новый файл. И каждый запрос программой - новый набор цифр. Каждый запрос - исполнение у агента на веб сервере рнр скрипта, а значит данные постоянно отдаются новые, пусть в явном выражении они и не изменились, например. В заголовках ответа у агента нет experation date. Непонятно откуда? Откуда могли все же взяться они - нули? То что это три нуля внутри файла, правильно разделенные управляющими байтам (перенос строки), вводит в заблуждение и указывает что не с потолка взялись. Это правильные данные, но они появляются по команде. Но команды такой не было иначе во втором примере даже вперемешку с нулями данные _не_продолжали_ расти, а опять начинались бы с первого десятка. (то есть ресет имел бы место, но его не было) Есть три составляющие: программа (исходников нет), сквид (промежуточное звено, веб сервер + рнр скрип у агента Откуда могли все же взяться они - нули? С уважением, Дмитрий ПЫ начинаю думать о проблемах на сервере агента.
Re: squid 2 схемы автор изации
Появилась необходимость сделать прокси-сервер с авторизацией для виндовых клиентов. Логины-пароли хранятся в AD. С ntlm авторизацией отлично работает IE и Mozilla - но не работает Opera (уверен, что найдется еще несколько альтернативно одарённых web-клиентов) С basic авторизацией через squid_ldap_auth работает всё - но надо вводить пароль, что неудобно. Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не получилось, squid начинает кушать 100% процессора) Можно, все замечательно работает. По крайней мере в squid-2.7.STABLE3 auth_param ntlm program /usr/bin/ntlm_auth -d 1 --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm keep_alive on auth_param basic program /root/squid_ldap_auth -R -P -v3 -b DC=domain,DC=ru \ -D user -W /etc/squid/ldappsw -H ldap://1.1.1.1:3268 -f sAMAccountName=%s auth_param basic children 2 auth_param basic realm domain.ru Proxy Единственная проблема с авторизацией - это строчка типа http_reply_access allow !auth_users all это, к сожалению, не работает -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c4e83c9.5060...@lmz.ru
Re: squid 2 схемы автор изации
Игорь Чумак пишет: Добрый день! Появилась необходимость сделать прокси-сервер с авторизацией для виндовых клиентов. Логины-пароли хранятся в AD. С ntlm авторизацией отлично работает IE и Mozilla - но не работает Opera (уверен, что найдется еще несколько альтернативно одарённых web-клиентов) С basic авторизацией через squid_ldap_auth работает всё - но надо вводить пароль, что неудобно. Можно ли включить эти 2 схемы в 1 экземпляре squid? (у меня не получилось, squid начинает кушать 100% процессора) Или запустить 2 экземпляра squid с общим дисковым кешем? Или есть другие идеи? Эм...я лично у себя не развожу зоопарк и не ставлю пользователям альтернативное ПО (как бы не упрашивали). Все используют IE. Знаю что IE сакс, но при должном обновлении системы через wsus особо голову ничего не волнует. -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 (ext. 100) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c4950e4.80...@korona-auto.com
Re: squid отдает данные из кеша ч ерез раз обновляя данные?
Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет. Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? Байт в байт возвращает, что получил. Данные парсятся как раз по управляющим байтам. В прочем, это видно в консоли от запроса до ответа и содержимого. И по этой причине грешу на squid, как промежуточное звено, что он то отдавал данные из интернета, затем из кеша, опять из интернета и затем опять из кеша. А в кеше были нулевые значения скорей всего. сквид кэш делает не от фонаря а на основании expires ответа от сервера Почитал подробней о http. Вот заголовки которые получаю без прокси дома: wget -S http://***.ru/index1.php; Запрос HTTP послан, ожидается ответ... HTTP/1.0 200 OK Date: Fri, 23 Jul 2010 10:27:02 GMT Server: Apache Vary: Accept-Encoding Content-Length: 9 Content-Type: text/html; charset=WINDOWS-1251 X-Cache: MISS from turbine3.ht-systems.ru Connection: keep-alive Длина: 9 [text/html] Сохраняется в каталог: `index1.php.4'. 100%[] 9 --.-K/s в 0s 2010-07-23 14:27:02 (2,17 MB/s) - `index1.php.4' сохранён [9/9] $ cat index1.php.4 437 262 75 А вот, что получаю через прокси: wget -S http://***.ru/index1.php; Запрос Proxy послан, ожидается ответ... HTTP/1.0 200 OK Date: Fri, 23 Jul 2010 10:10:34 GMT Server: Apache Vary: Accept-Encoding Content-Length: 14 Content-Type: text/html; charset=WINDOWS-1251 X-Cache: MISS from turbine3.ht-systems.ru X-Cache: MISS from proxy X-Cache-Lookup: MISS from proxy:3128 Via: 1.0 proxy:3128 (squid/2.6.STABLE12) Proxy-Connection: keep-alive Длина: 14 [text/html] Сохраняется в каталог: `index1.php.3'. 100%[] 9 --.-K/s в 0s $ cat index1.php.3 437 262 75 При выполнении wget -N http://***.ru/index1.php; данные всегда новые - не кешируются значит? Поля в заголовке Last-Modified в обоих случаях нет. Как сквид работает с данными без этого поля? Кстати говоря таких потоков передачи 3 и все они глючили как описано выше. Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен? Программисту софтины или админу сквида предъявлять претензии? дизайнеру всей системы, похоже Угу. Или переделывать и усложнять, или допиливать.
Re: squid отдает да нные из кеша через раз обновляя данные?
On Fri, Jul 23, 2010 at 02:47:24PM +0400, Dmitry A. Zhiglov wrote: Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Узнал следующее. Данные формирует php скрипт, о перезаписи файла речь не идет. Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? Байт в байт возвращает, что получил. Данные парсятся как раз по управляющим байтам. Думаю, вопрос Дениса бил как точно парсятся. Если делается fscanf() (или sscanf() или вообще *scanf()) или strtod()/strtol(), проверяется ли заранее, строка пуста ли? Если такой проверки нет и по какой-то причине wget выдаст празный файл, то *scanf() и strto*() выпарсят с него один нуль. Проверьте каким-то образом, wget не выдает ли 0-length files - или допишите програму чтоб проверяла, не пустая ли строка прежде чем парсить. Всего лучшего, Петр -- Peter Pentchev r...@space.bgr...@ringlet.netr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 because I didn't think of a good beginning of it. signature.asc Description: Digital signature
Re: squid отдает данные из к еша через раз обновляя д анные?
On Thu, 22 Jul 2010 21:50:09 +0400 Dmitry A. Zhiglov dmitry.zhig...@gmail.com wrote: Уважаемое сообщество, прошу помощи в понимании следующей ситуации. Есть программа на С под задачу - зайти через прокси в интернет (squid 2.6STABLE12 + ad), забрать файл с данными (три цифры внутри файла) и положить его в папку. И вот так с частотой 1 раз в секунду. Вчера наблюдал ситуацию, когда в консоль программа писала значения один раз корректные, затем нули, затем опять корректные значения. попали в момент перезаписи файла? он ведь и перезаписывается раз в секунду как раз наверно? Данные у источника в интернете не изменялись в нуль, это проверялось. Лечилось перезапуском программы. Программист утверждает, что программа тупая как валенок. Забирает по http то, что ей отдает сервер. что отдаёт программа когда в файле один только EOF? В прочем, это видно в консоли от запроса до ответа и содержимого. И по этой причине грешу на squid, как промежуточное звено, что он то отдавал данные из интернета, затем из кеша, опять из интернета и затем опять из кеша. А в кеше были нулевые значения скорей всего. сквид кэш делает не от фонаря а на основании expires ответа от сервера Кстати говоря таких потоков передачи 3 и все они глючили как описано выше. Подскажите, кто имеет опыт работы со сквидом. Такой глюк(?) с прокси возможен? Программисту софтины или админу сквида предъявлять претензии? дизайнеру всей системы, похоже -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100723015918.6f6af...@gmail.com
Re: Squid Proxy Disclaimer
Igor Drobot wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfb790f.5050...@yandex.ru
Re: Squid Proxy Disclaimer
On Tue, May 25, 2010 at 11:15:27AM +0400, Ed wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? Это captive portal называется. -- WBR, Michael Shigorin m...@altlinux.ru -- Linux.Kiev http://www.linux.kiev.ua/ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100525072811.ga5...@osdn.org.ua
Re: Squid Proxy Disclaimer
Я думаю это делается путем редиректа 80 порта на другой порт, на котором висит апач. -- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfb8aae.6070...@korona-auto.com
Re: Squid Proxy Disclaimer
Добрый вечер, On 05/25/2010 09:15 AM, Ed wrote: Igor Drobot wrote: помогите пожалуйста к squidу3 прикрутить функцию домашней страницы где отображается дисклеймер. Если кто то через прокси заходит это как? захожу я на гугль, а мне ООО Рога и копыта? Ну почти, просто срабатывает редирект на сайт с дисклеймер просто прочитать и всё. И все просторы интернета доступны. * /Это captive portal называется./ Спасибо в гугле посидел на дунную тему много инфы нашёл, которая дала понять что нужно писать cвою программу... * /Я думаю это делается путем редиректа 80 порта на другой порт, на котором висит апач. / Да но это должно происходить только идин раз! в определённое /X/ время. Типа напоминания дисклеймера. Хотя и идея бекенда дисклеймера уже есть. Программку уже написал осталось на ошибки сегментации и дырки памяти проверить. скоро будет :-)
Re: squid: запретить скач ивать exe-файлы
Чумак Игорь wrote: 25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. расширение может быть любым - pif, scr, dll, ... плюс есть дропперы - которые докачивают недостающие части по http, для них расширение совершенно роли не играет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd5a061.1010...@yandex.ru
Re: squid: запретить ск ачивать exe-файлы
Ed пишет: Чумак Игорь wrote: 25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. расширение может быть любым - pif, scr, dll, ... В конфигах того же dansguardian это учтено плюс есть дропперы - которые докачивают недостающие части по http, для них расширение совершенно роли не играет. Я бы на месте аффтаров недостающие части ещё и шифровал - сигнатурный анализ сразу идёт лесом. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd5a6c6.70...@gmail.com
Re: squid: запретить скач ивать exe-файлы
25.04.2010 15:34, Ed пишет: антивирусных решений для сквида много, однако все они достаточно тяжеловесны. хочу просто запретить скачивать файлы, начинающиеся с MZ. как ни странно, готового решения не нашёл. ближе всего оказался c-icap - там есть определение типов файлов по сигнатурам, но используется только для принятия решения - проверять ли с помощью clamav (что в общем-то достаточно бесполезное занятие - базы clamav достаточно слабые). вот думаю - дорабатывать c-icap напильником или же я просто плохо искал? Чем плох dansguardian? Зачем проверять сигнатуры, если достаточно проверки на расширение. Кроме того, зараза с расширением .vbs тоже бывает. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bd44d60.50...@gmail.com
Re: squid,разделение п ользователей на кла ссы
06.04.2010 20:16, Roman Makurin пишет: Посмотрел, ncsa модуль, не умеет присваивать группы пользователям, так вот, собственно и вопрос, как можно получить желаемое ? А что мешает написать свой хелпер к сквиду? Я в свое время именно так и сделал - написал на perl хелперы авторизации, статуса и группы. Данные хранятся в MySQL. В принципе в твоей задаче можно ограничиться только одним хелпером (совместить авторизацию и группу) -- With best regards, Alexander Wolf -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bbd6581.3090...@uni-altai.ru
Re: squid,разделение пользовате лей на классы
6 апреля 2010 г. 19:16 пользователь Roman Makurin dro...@gmail.com написал: Посмотрел, ncsa модуль, не умеет присваивать группы пользователям, так вот, собственно и вопрос, как можно получить желаемое ? Если есть какие-то более удачные решения в данном случае, буду рад узнать о них :) squidGuard работает нормально. -- Stanislav
Re: squid tcp_outgoing_address + dhcp
-[ cybr...@yandex.ru 18/11/2009 20:49 (GMT +3) On Tue, 17 Nov 2009 15:35:03 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Запустить несколько сквидов и отдавать каждой подсети свой. Правда кэширование несколько ухудшится. Можно с парентами поиграться попробовать, но маловероятно. -- Best regards, Mikhail xmpp: ant...@stopicq.ru irc: Bart-mdv- @ SolarNet SolarNet: http://www.solarnet.ru/ signature.asc Description: This is a digitally signed message part.
Re: squid tcp_outgoing_address + dhcp
On Wed, 18 Nov 2009 20:49:33 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Никак, предоставить эту возможность ядру. а ядро разве не будет считать пакет прошедший через squid исходящим от самого шлюза? А для записи в другие таблицы - использовать хуки dhclient'а Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом использовать сохраненное значение в exit-hook. не подскажете толковых текстов на русском про хуки? Это небольшой набор скриптов, какая тут может быть документация? man dhclient-script, и другая документация из dhcp3-client. и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы man pppd раздел scripts. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
On Thu, 19 Nov 2009 23:51:55 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Извиняюсь, невнимательно прочел, что условие маршрутизации - по адресам клиентов. У tcp_outgoing_address есть еще второй параметр - имя acl, для которого его применять. Подробности здесь - http://www.squid-cache.org/Doc/config/tcp_outgoing_address/ Единственное, что придется переписывать конфиг squid'а, но это достаточно легко делается, если делать include небольшого конфига со значениями tcp_outgoing_address только. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
Пересылаемое сообщение 18.11.09, 20:48, cybr...@yandex.ru: On Tue, 17 Nov 2009 15:35:03 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает А для записи в другие таблицы - использовать хуки dhclient'а Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом использовать сохраненное значение в exit-hook. не подскажете толковых текстов на русском про хуки? и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы Завершение пересылаемого сообщения -- Здесь спама нет http://mail.yandex.ru/nospam/sign -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
On Wed, 18 Nov 2009 20:49:33 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. а как тогда раскидать трафик по разным линкам? вроде в 2.7 других средств нету, и имена интерфейсов оно не понимает Никак, предоставить эту возможность ядру. А для записи в другие таблицы - использовать хуки dhclient'а Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом использовать сохраненное значение в exit-hook. не подскажете толковых текстов на русском про хуки? Это небольшой набор скриптов, какая тут может быть документация? man dhclient-script, и другая документация из dhcp3-client. и в моём случае это скорее хуки pppd, т.к. скайлинковские модемы man pppd раздел scripts. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
,-[Tue, Nov 17, 2009 at 15:35 +0300, cybr...@yandex.ru:] |как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? | вроде бы, тут может помочь iproute2 ) -- __ mpd status: [paused] Thin Lizzy - Saga Of The Ageing Orphan ** * jabber: devil_ins...@jabber.ru * * Registered linux user #450844* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid tcp_outgoing_address + dhcp
On Tue, 17 Nov 2009 15:35:03 +0300 cybr...@yandex.ru wrote: Возникла такая проблема, на шлюзе со сквидом имеется n внешних интерфейсов, получающих адреса по dhcp, необходимо трафик с разных диапазонов адресов локалки раскидывать по разным внешним интерфейсам. И ещё вопрос, как сделать так, чтобы шлюз по умолчанию приходящий по dhcp, записывался не в общесистемную таблицу маршрутов, а в отдельную для каждого провайдера/интерфейса? tcp_outgoing_address не определять. А для записи в другие таблицы - использовать хуки dhclient'а Только, если хочешь, чтоб шлюз по умолчанию не прописывался в общую таблицу - надо сего куда-нибудь сохранить в enter-hook, разопределить его, а потом использовать сохраненное значение в exit-hook. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
Dmitry E. Oboukhov un...@debian.org writes: однако есть проблема: обрабатывается только 128 директив http_port, остальные просто игнорируются. причем что странно ни записи в лог об ошибке ни какого другого сообщения тишь гладь и благодать. а мне надо 1500 айпишников/портов распределить (конфиг генерился скриптом) что-то я гуглю гуглю и ненагуглю в чем может быть проблема? лимит на количество сокетов? врядли, он бы ругался во первых а во вторых поставил в стартовом скрипте 4096 вообще если бы упиралось в какой-то лимит, то squid бы видимо ругался про ошибки такие-то и сякие-то, но ругани совсем нет. не знаю что ковырять, посоветуйте куда посмотреть В исходники; #define MAXHTTPPORTS128 if (MAXHTTPPORTS == NHttpSockets) { debug(1, 1) (WARNING: You have too many 'http_port' lines.\n); debug(1, 1) ( The limit is %d\n, MAXHTTPPORTS); continue; } -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хо ста
В общем настроил я в таком стиле: http_port 6961 acl port_6961 myport 6961 tcp_outgoing_address address1 port_6961 http_port 6962 acl port_6962 myport 6962 tcp_outgoing_address address2 port_6962 и так далее. все работает, подключаемся к прокси прокси:6961 получается исходящий адрес address1, если к прокси прокси:6962 то address2 и так далее. однако есть проблема: обрабатывается только 128 директив http_port, остальные просто игнорируются. причем что странно ни записи в лог об ошибке ни какого другого сообщения тишь гладь и благодать. а мне надо 1500 айпишников/портов распределить (конфиг генерился скриптом) что-то я гуглю гуглю и ненагуглю в чем может быть проблема? лимит на количество сокетов? врядли, он бы ругался во первых а во вторых поставил в стартовом скрипте 4096 вообще если бы упиралось в какой-то лимит, то squid бы видимо ругался про ошибки такие-то и сякие-то, но ругани совсем нет. не знаю что ковырять, посоветуйте куда посмотреть PS: возможно ли squid запустить под inetd? нет ссылки на пример? -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: squid и имя хоста
Dmitry E. Oboukhov wrote: PS: возможно ли squid запустить под inetd? нет ссылки на пример? По остальным вопросам не отвечу (возможно стоит посмотреть, с какими опциями собран squid что лежит в пакете), а тут спрошу сам, а зачем, если не секрет? Учитывая, что сама по себе процедура запуск squid'а не быстрая, идея дергать сквида по каждому запросу представляется мне очень странной фантазией. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хо ста
PS: возможно ли squid запустить под inetd? нет ссылки на пример? По остальным вопросам не отвечу (возможно стоит посмотреть, с какими опциями собран squid что лежит в пакете), а тут спрошу сам, а зачем, если не секрет? Учитывая, что сама по себе процедура запуск squid'а не быстрая, идея дергать сквида по каждому запросу представляется мне очень странной фантазией. затем что если 128 это сквидовое ограничение то используя inetd его бы можно было преодолеть (если вариант inetd бы имелся как таковой, но по ходу его нет) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: squid и имя хоста
On Fri, Jan 16, 2009 at 12:58:03PM +0300, Dmitry E. Oboukhov wrote: AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в AGG протоколе HTTP. хорошо, переформулируем задачу. имеется фирма, которая владеет хостом с N IP-шниками. IP-шники разных подсетей. на хосте ставим squid. нужно чтобы разные отделы (или даже сотриудники) используя этот сквид ходили бы с разных IP в интернет (рабочий процесс этого требует) вопрос как наиболее просто, не привязываясь к локалкочным IP это реализовать? желательно не привязываясь и к авторизации на проксе. то есть чтобы пользователь сменил какую-то настройку и пошел с другого IP-адреса в инет. Да, можно: DNAT'ом разные сети разводятся по разным портам squid'а, acl-ями разные порты разводятся по разным tcp_outgoing_address, а они уже роутером разводятся по разным каналом. Это работает. Теоретически можно было бы сделать гораздо проще, задав acl на src клиента, но для tcp_outgoing_address это не работает из-за особенностей реализации acl'ей в сквиде. Отдельных сотрудников тоже можно развести по разным каналам, связав правилами доступа порты с авторизацией. может можно заставить squid слушать множество портов и менять номер порта? можно ли в acl'ях узнать номер порта с которого зашел клиент? Можно: читайте доки, они рулёз. (c) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
On Friday 16 January 2009 11:58:03 Dmitry E. Oboukhov wrote: может можно заставить squid слушать множество портов можно. и менять номер порта? Кто кого? клиент может менять номер порта, к которому подключается. сквид после забиндивания на порт менять его не будет. можно ли в acl'ях узнать номер порта с которого зашел клиент? можно
Re: squid и имя хоста
На Fri, 16 Jan 2009 12:24:11 +0300 Dmitry E. Oboukhov un...@debian.org записано: есть squid на хосте. этот хост имеет несколько DNS имен. имеется несколько клиентов, которые идут в интернет прописав прокси в таком виде: клиент1: squid.first.host.name:3121 клиент2: squid.second.host.name:3121 и так далее при этом все имена прокси squid.first.host.name, squid.second.host.name, итп указывают на один IP адрес. Задача: написать разные acl для клиента1 и клиента2 можно ли? Нет, нельзя. Вспомни, что передает клиент серверу или прокси в протоколе HTTP. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хо ста
AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в AGG протоколе HTTP. хорошо, переформулируем задачу. имеется фирма, которая владеет хостом с N IP-шниками. IP-шники разных подсетей. на хосте ставим squid. нужно чтобы разные отделы (или даже сотриудники) используя этот сквид ходили бы с разных IP в интернет (рабочий процесс этого требует) вопрос как наиболее просто, не привязываясь к локалкочным IP это реализовать? желательно не привязываясь и к авторизации на проксе. то есть чтобы пользователь сменил какую-то настройку и пошел с другого IP-адреса в инет. может можно заставить squid слушать множество портов и менять номер порта? можно ли в acl'ях узнать номер порта с которого зашел клиент? -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: squid и имя хоста
16.01.09, 12:58, Dmitry E. Oboukhov un...@debian.org: AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в AGG протоколе HTTP. хорошо, переформулируем задачу. имеется фирма, которая владеет хостом с N IP-шниками. IP-шники разных подсетей. на хосте ставим squid. нужно чтобы разные отделы (или даже сотриудники) используя этот сквид ходили бы с разных IP в интернет (рабочий процесс этого требует) вопрос как наиболее просто, не привязываясь к локалкочным IP это реализовать? желательно не привязываясь и к авторизации на проксе. то есть чтобы пользователь сменил какую-то настройку и пошел с другого IP-адреса в инет. может можно заставить squid слушать множество портов и менять номер порта? можно ли в acl'ях узнать номер порта с которого зашел клиент? Почему ты боишься IP? DHCP в сети? Правильное решение проблемы - динамическая регистрация PTR'ов на DNS сервере и ACL по имени хоста пользователя. Есть другое правильное решение (для виндов) - NTLM авторизация (в этом случае авторизация идёт по имени пользователя или по группе AD). -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хо ста
нет нет. тут задача такая, сотрудник должен иметь возможность зайти на сайт с разных IP. например хочет посмотреть на сайт из европы или из америки то есть привязка к топологии локалки не подходит. GS Почему ты боишься IP? DHCP в сети? GS Правильное решение проблемы - динамическая регистрация PTR'ов на DNS сервере и ACL по имени хоста пользователя. GS Есть другое правильное решение (для виндов) - NTLM авторизация (в этом случае авторизация идёт по имени пользователя или по группе AD). вот к авторизации пока что тоже не хочется привязываться но если ничего не придумается, видимо придется -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: squid и имя хоста
На Fri, 16 Jan 2009 12:58:03 +0300 Dmitry E. Oboukhov un...@debian.org записано: AGG Нет, нельзя. Вспомни, что передает клиент серверу или прокси в AGG протоколе HTTP. хорошо, переформулируем задачу. имеется фирма, которая владеет хостом с N IP-шниками. IP-шники разных подсетей. на хосте ставим squid. нужно чтобы разные отделы (или даже сотриудники) используя этот сквид ходили бы с разных IP в интернет (рабочий процесс этого требует) вопрос как наиболее просто, не привязываясь к локалкочным IP это реализовать? желательно не привязываясь и к авторизации на проксе. некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su: некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две программы, хоть ты им разные имена и укажешь. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
На Fri, 16 Jan 2009 15:31:36 +0300 George Shuklin n...@narod.ru записано: 16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su: некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две программы, хоть ты им разные имена и укажешь. Так Дима и написал, что у него все же несколько локальных ip -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
16.01.09, 15:40, Alexander GQ Gerasiov g...@cs.msu.su: На Fri, 16 Jan 2009 15:31:36 +0300 George Shuklin n...@narod.ru записано: 16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su: некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две программы, хоть ты им разные имена и укажешь. Так Дима и написал, что у него все же несколько локальных ip Если так, то самым простым решением будет несколько сквидов на разных интерфейсах (со своими АЦЛ). Если при этом ещё думать про кеширование, то слушающие сквиды без кеша и с маленьким кешем памяти, а кеширующий сквид биндится на локалхост и, собственно, кеширует. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хо ста
На Fri, 16 Jan 2009 15:31:36 +0300 George Shuklin n...@narod.ru записано: 16.01.09, 13:22, Alexander GQ Gerasiov g...@cs.msu.su: некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две программы, хоть ты им разные имена и укажешь. Так Дима и написал, что у него все же несколько локальных ip GS Если так, то самым простым решением будет несколько сквидов на разных интерфейсах (со своими АЦЛ). Если при этом ещё думать про кеширование, то слушающие сквиды без кеша и с маленьким кешем памяти, а кеширующий сквид биндится на локалхост и, собственно, кеширует. а одним squid никак не обойтись? например повесить его на разные порты :3121 :3122 нельзя внутри определить клиента пришедшего на 3121 от клиента на 3122? -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: squid POST size restritions
Maxim Tyurin пишет: Игорь Чумак writes: Maxim Tyurin пишет: Hi! Появилась задача - ограничить размер POST в squid. Не запретить его вообще, а сделать ограничение запретить POST для определенного ip/hostname если размер POST больше n байт Как такое можно организовать в squid? Что-то как это сделать не могу придумать :( # TAG: request_body_max_size (KB) # This specifies the maximum size for an HTTP request body. # In other words, the maximum size of a PUT/POST request. # A user who attempts to send a request with a body larger # than this limit receives an Invalid Request error message. # If you set this parameter to a zero, there will be no limit # imposed. # #Default: # request_body_max_size 10 MB А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с установленным request_body_max_size и перенаправить на него POST запросы с определённых IP (см cache_peer, cache_peer_access) Про эту опцию я отлично знаю. Насчет нескольких экземпляров У меня таких ip немало. А запускать даже 4 сквида это сильно расточительно. Зачем 4? 1 основной (в котором есть кеширование , есть acl post_limit src xxx cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited cache_peer_access squid_post_limited allow post_limit cache_peer_access squid_post_limited deny all ) 2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size P.S. Нашел патч для сквида. Протестирую. Если заработает как надо - напишу. -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid POST size restritions
Игорь Чумак writes: Зачем 4? 1 основной (в котором есть кеширование , есть acl post_limit src xxx cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited cache_peer_access squid_post_limited allow post_limit cache_peer_access squid_post_limited deny all ) 2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size Потому что у меня сейчас 4 группы с разным лимитом. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid POST size restritions
Maxim Tyurin пишет: Игорь Чумак writes: Зачем 4? 1 основной (в котором есть кеширование , есть acl post_limit src xxx cache_peer 127.0.0.1 parent 3129 0 name=squid_post_limited cache_peer_access squid_post_limited allow post_limit cache_peer_access squid_post_limited deny all ) 2 - который слушает 127.0.0.1:3129 и умеет request_body_max_size Потому что у меня сейчас 4 группы с разным лимитом. Я конечно понимаю, что хозяин-барин.. ;) Но в чём сакральный смысл?? В моём squid'е (например) за сегодня 5579 POST-запросов (суммарный размер 50 603 463), из них top 10 147914 183002 183886 186493 186509 186566 187103 190415 1223085 20435357 За вчера - 20133 (суммарный размер 147 184 631), top 10 соответственно 269494 426804 474985 654485 831959 1365769 2244130 5550800 5658777 33327620 , т.е. получается, что 10мб - единичные запросы, 1..10мб - немного чаще.. Не вижу смысла огород городить. (у вас возможно картина другая..) -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid POST size restritions
Maxim Tyurin пишет: Hi! Появилась задача - ограничить размер POST в squid. Не запретить его вообще, а сделать ограничение запретить POST для определенного ip/hostname если размер POST больше n байт Как такое можно организовать в squid? Что-то как это сделать не могу придумать :( # TAG: request_body_max_size (KB) # This specifies the maximum size for an HTTP request body. # In other words, the maximum size of a PUT/POST request. # A user who attempts to send a request with a body larger # than this limit receives an Invalid Request error message. # If you set this parameter to a zero, there will be no limit # imposed. # #Default: # request_body_max_size 10 MB А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с установленным request_body_max_size и перенаправить на него POST запросы с определённых IP (см cache_peer, cache_peer_access) -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid POST size restritions
Игорь Чумак writes: Maxim Tyurin пишет: Hi! Появилась задача - ограничить размер POST в squid. Не запретить его вообще, а сделать ограничение запретить POST для определенного ip/hostname если размер POST больше n байт Как такое можно организовать в squid? Что-то как это сделать не могу придумать :( # TAG: request_body_max_size (KB) # This specifies the maximum size for an HTTP request body. # In other words, the maximum size of a PUT/POST request. # A user who attempts to send a request with a body larger # than this limit receives an Invalid Request error message. # If you set this parameter to a zero, there will be no limit # imposed. # #Default: # request_body_max_size 10 MB А вот для определённого IP.. Можно запустить ещё 1 экземпляр squid с установленным request_body_max_size и перенаправить на него POST запросы с определённых IP (см cache_peer, cache_peer_access) Про эту опцию я отлично знаю. Насчет нескольких экземпляров У меня таких ip немало. А запускать даже 4 сквида это сильно расточительно. P.S. Нашел патч для сквида. Протестирую. Если заработает как надо - напишу. -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid. Выборочная очистка кеша.
Vitaliy Nosov [EMAIL PROTECTED] wrote: [-- text/plain, кодировка base64, кодировка: windows-1251, 9 строк --] Здраствуйте. Возник вопрос следующего плана - можно ли почистить кеш сквида выборочно. Очистить все записи, касающиеся какого-то ресурса (www.ru, к примеру). Можно. Выбрать grep'ом все объекты с нужного сайта и через squidclient PURGE отпуржить. Просто есть сайт, который попал в кеш и, несмотря на наличие в конфиге соответсвующего acl-а и директивы always_direct, все равно берется из Деректива always_direct не для этого. Да не кэширования - cache deny $acl. кеша. reload_into_ims выключено. Зачем? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid как прозрачный прокси, проблемы с http s
И правильно, что не работает. SSL для того и был придуман, чтобы предотвращать атаки типа man-in-the-middle, где man - это в данном случае squid :) Правильный путь - NAT. Если NAT по каким-то причинам не подходит, то смотрите в сторону настройки в squid метода CONNECT для 443 порта, но имейте в виду, что в любом случае кэшироваться ничего не будет. Roman Makurin пишет: А вообще можно сделать прозрачный прокси для https соединений или нет ? Спасибо -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid как прозрачный прокси, проблемы с https
Roman Makurin - debian-russian@lists.debian.org @ Sat, 31 May 2008 20:13:10 +0400: RM Всем привет! RM В наличии etch, squid-2.6.20. Настроил как прозрачный proxy: RM http_port 3128 transparent RM acl HOME_NET src 192.168.1.0/24 RM http_access allow HOME_NET RM добавил правило iptables: RM iptable -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT RM --to-ports 3128 RM если добавить аналогичное правило для 443(https) порта RM iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT RM --to-ports 3128 RM то firefox мне выдает какую-то непонятную ошибку: RM === RM Ошибка при установлении защищённого соединения RM При соединении с bugs.launchpad.net произошла ошибка. RM SSL получило запись, длина которой превышает максимально допустимую. RM (Код ошибки: ssl_error_rx_record_too_long) RM * Страница, которую вы пытаетесь просмотреть, не может быть RM отображена, так как достоверность полученных данных не может быть RM проверена. RM * Пожалуйста свяжитесь с владельцами веб-сайта и проинформируйте RM их об этой проблеме. В качестве альтернативы вы можете сообщить о RM некорректно работающем сайте с помощью команды, находящейся в меню RM «Справка». RM === RM Что-то мне подсказывает что где-то я напортачил. В google ничего RM толкового мне не сказали. Видимо, там подразумевают, что ты уже знаешь, почему https не может ходить через прокси так же, как обычный http... А если не знаешь, то https тебе не нужен и даже вреден. RM А вообще можно сделать прозрачный прокси для https соединений или нет ? Может быть, и можно, но смысл в этом близкий к нулевому. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] mv /dev/rookie /dev/hands -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid и кеширование больших объектов в памяти
В сообщении от 2 August 2007 10:44 Mihail Y. Samoylov написал(a): машинами со squid'ом акселерировать раздачу фильмов. Специфика такова, что десяток файлов фильмов в день скачиваются сотни раз, остальные - несколько раз. И если сунуть этот десяток файлов в память(её хватает, 8Гб), жить станет легче, жить станет веселее и можно замечательно утилизировать каналы. P.S. Кеширование на уровне файловой системы и RAM-диска не предлагать - не хватает интеллектуальносьти: будет кешироваться одинаково и популярный файл и файл, скачанный раз. Э-э-э, немного не такое решение у меня в голове возникло, но: Можно попробовать создать рамдиск, и дописать некую программу, которая определяет популярность файлов и популярные файлы перекидывает на рамдиск и перестраивает ссылки втуда. Второй вариант - попробовать добавить интелектуальности кешу, дописать программу, которая популярным файлам делает mmap и заставляет их держать в памяти. Но не уверен, что таким способом удастся обмануть кеш.
Re: Squid и кеширование б ольших объектов в памяти
On Thu, Aug 02, 2007 at 02:44:43PM +0700, Mihail Y. Samoylov wrote: машинами со squid'ом акселерировать раздачу фильмов. Специфика такова, что десяток файлов фильмов в день скачиваются сотни раз, остальные - несколько раз. И если сунуть этот десяток файлов в память(её хватает, 8Гб), жить станет легче, жить станет веселее и можно замечательно Может проще nginx будет использовать? Он в такой ситуации работает заметно лучше apache. http://www.sysoev.ru/nginx/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid и кеширование больших объектов в памяти
А это... Вы проксируете толстый поток пользователей или вы сильно раздаете статику? Если второе, то лучше не апач вообще, и не апач со сквидом, а что-то хорошо статику умеющее отдавать. lighttpd, например. У Чтв, 2007-08-02 у 14:44 +0700, Mihail Y. Samoylov пише: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Доброго дня. Есть ли у кого-нибудь опыт тюнинга allocator'а памяти Squid'a? Хочется машинами со squid'ом акселерировать раздачу фильмов. Специфика такова, что десяток файлов фильмов в день скачиваются сотни раз, остальные - несколько раз. И если сунуть этот десяток файлов в память(её хватает, 8Гб), жить станет легче, жить станет веселее и можно замечательно утилизировать каналы. Но. Если сквиду указывать максимальный размер кешируемого в память файла (maximum_object_size_in_memory) больше определённого порога, он при попытке сунуть фильм, например, он, судя по трейсу, начинает allocate'ить память кусками чуть ли не по килобайту, полностью грузит процессор и скорость чудовищно проседает (сотни килобайт\с). И отсюда вопрос - что можно сделать, чтобы можно было файлы большого объёма нормально складывать в память? P.S. Кеширование на уровне файловой системы и RAM-диска не предлагать - не хватает интеллектуальносьти: будет кешироваться одинаково и популярный файл и файл, скачанный раз. - -- Think different, think doomsday. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFGsYtrVBz7lY1Imj0RAnukAJ93kKSKqgh9St3ywraVq6eAvBk4tACdHQUI 2EhSwEEDAffScj7V9dZiQHA= =beMp -END PGP SIGNATURE- -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid и кеширование б ольших объектов в пам яти
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pavel Ammosov пишет: Может проще nginx будет использовать? Он в такой ситуации работает заметно лучше apache. Alexander Vlasov пишет: А это... Вы проксируете толстый поток пользователей или вы сильно раздаете статику? Если второе, то лучше не апач вообще, и не апач со сквидом, а что-то хорошо статику умеющее отдавать. lighttpd, например. Динамики там вообще нет. Это фильмы. Много фильмов. Схема выглядит вот так: Balancer-Squid1 - Референс-хранилище. -Squid2 ... -SquidN Все редиректы и запросы работают на уровне HTTP. Проблема с тем, что железка под референс-хранилище, могущая вместить за раз весь объём контента стоит крайне негуманных денег и даже если отдавать всё с неё напрямую, мы утыкаемся в её производительность. Поэтому и придумана схема с кешированием контента пачкой относительно дешёвых серверов. Nginx и так используется, для отдачи файлов с референса на сквиды. Когда мы использовали Nginx на референсе, всё равно его производительности не хватало. - -- Think different, think doomsday. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFGspxvVBz7lY1Imj0RAjcaAJ4kN/Hht5bHzF8k9oAjyzUf0i4NpgCeJkyW Hby/KMX2tiet6Rn1TCHP2R8= =6SSS -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid и кеширование боль ших объектов в памяти
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Alexey Boyko пишет: Э-э-э, немного не такое решение у меня в голове возникло, но: Можно попробовать создать рамдиск, и дописать некую программу, которая определяет популярность файлов и популярные файлы перекидывает на рамдиск и перестраивает ссылки втуда. Второй вариант - попробовать добавить интелектуальности кешу, дописать программу, которая популярным файлам делает mmap и заставляет их держать в памяти. Но не уверен, что таким способом удастся обмануть кеш. Обидно то, что этот функционал уже реализован в Squid, но из-за заточенности его allocator'a под мелкие файлы, нормально использовать его под толстенькие файлики не получается. - -- Think different, think doomsday. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFGspziVBz7lY1Imj0RAp9oAKCJ4ihyjpK62gZQ1XADf3Ol/5jYlQCguvtw CZ3QwofzLxjFnUE2iostYWg= =boYU -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid после обновлени я до etch
On Sat, Sep 09, 2006 at 10:23:23PM +0600, Nikolay wrote: После обновления системы sarge+backports до etch перестал запускаться squid. Sep 9 22:18:20 igate (squid): comm_select_init: epoll_create(): (38) Function not implemented Запусти его на ядре 2.6 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid после обновления до etch
On 9/9/06, Pavel Ammosov [EMAIL PROTECTED] wrote: On Sat, Sep 09, 2006 at 10:23:23PM +0600, Nikolay wrote: После обновления системы sarge+backports до etch перестал запускаться squid. Sep 9 22:18:20 igate (squid): comm_select_init: epoll_create(): (38) Function not implemented Запусти его на ядре 2.6 Или пресобери 2.4 c патчем для поддержки epoll http://www.xmailserver.org/linux-patches/nio-improve.html#patches -- Alexej Bestchiokov EMail/JID: [EMAIL PROTECTED] phone: +7 495 7853149
Re: squid aufs
Hi Pavel, * Pavel Shurubura [EMAIL PROTECTED] * 2006-04-13 10:45: Для этого надо будет удалять кэш или можно просто поменять в конфиге и сказать squid'у reload ? Да, я просто поменял и перезапустил -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid + ... + clamav
Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто не пробовал? Пока остановился на DansGuardian из бэкпортов. Вроде работает. Правда подтормаживает немного, но тут еще подкрутим. Кстати, никто не в курсе, где бы потеститься на предмет разного рода троянов и пр. вирей? cracks.am, eicar.org уже пробовал, vx.netlux.org временно недоступен. Что еще есть? -- С наилучшими пожеланиями, Расул Гасанов. ФКБ Петрокоммерц в г. Новочеркасске, отдел автоматизации, т. (863-52) 4-63-52
Re: squid + ... + clamav
В сообщении от 16 Март 2006 11:35 Расул Гасанов написал(a): Добрый день. Испытываю желание прикрутить к существующему squid'у антивирусный фильтр на основе clamav. Что порекомендует community? Заранее спасибо. c-icap P.S. Debian 3.1. -- With Besr Regards Andrey A. MINEEV
Re: squid + ... + clamav
Расул Гасанов wrote: Испытываю желание прикрутить к существующему squid'у антивирусный фильтр на основе clamav. Что порекомендует community? Заранее спасибо. когда я смотрел в последний раз - за всё написанное хотелось руки оторвать. были даже мысли свое написать - но времени нет и база у clamav сильно на почтовые вирусы ориентирована. я для пробы прогонял через drweb/bdc кучу мелких exe, вcтретившихся в http-трафике - как и ожидалось практически одни трояны. прогнал через clamav - определилось около 30%. предоставил неопределившиеся для анализа команде clamav - через несколько месяцев что-то включили в базы, но далеко не всё. насколько я понимаю, у них ресурсов не хватает на всю эту пакость. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid + ... + clamav
Ed пишет: Испытываю желание прикрутить к существующему squid'у антивирусный фильтр на основе clamav. Что порекомендует community? Заранее спасибо. когда я смотрел в последний раз - за всё написанное хотелось руки оторвать. были даже мысли свое написать - но времени нет и база у clamav сильно на почтовые вирусы ориентирована. я для пробы прогонял через drweb/bdc кучу мелких exe, вcтретившихся в http-трафике - как и ожидалось практически одни трояны. прогнал через clamav - определилось около 30%. предоставил неопределившиеся для анализа команде clamav - через несколько месяцев что-то включили в базы, но далеко не всё. чем пользуешься в таком случае? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid + ... + clamav
Расул Гасанов, 16.03.2006 10:35: Добрый день. Испытываю желание прикрутить к существующему squid'у антивирусный фильтр на основе clamav. Что порекомендует community? Заранее спасибо. P.S. Debian 3.1. Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто не пробовал? -- С наилучшими пожеланиями, Расул Гасанов. ФКБ Петрокоммерц в г. Новочеркасске, отдел автоматизации, т. (863-52) 4-63-52
Re: squid + ... + clamav
Расул Гасанов wrote: Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто не пробовал? вот-вот... именно про такое я говорил руки поотрывать -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid + ... + clamav
Ed [EMAIL PROTECTED] wrote: Расул Гасанов wrote: Кстати, вот нашел viralator (http://viralator.sourceforge.net/). Никто не пробовал? вот-вот... именно про такое я говорил руки поотрывать Есть squidclam. Даже работает. Но вся беда в том, что даже icap сделан через зад (ну, он предназначался для фильтров контента). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid+mrtg+apache?
On Tue, Mar 07, 2006 at 03:27:43PM +0600, Шубин В.А. wrote: Здравствуйте! Столкнулся с проблемой. Установил squid (все работает) и для мониторинга сетевого интерфейса связку mrtg+snmpd+apache. Сделал соответствующие изменения в конфигах snmpd и mrtg, создал index.html для mrtg и решил посмотреть, как все это выглядит, НО тут облом-с, при попытки доступа через броузер к сайту по IP-адресу, броузер долго думает и ничего не происходит. В логах apache пусто. Конфиги apache после установки не трогал, все по-дефолту. Не могу получить доступ даже к дефолтовой странице apache. iptables? -- Best regards, Yauhen Kharuzhy y.kharuzhy_(at)_sam-solutions.net A: No Q: Should I quote below my post? signature.asc Description: Digital signature
Re: Squid на ppp
Pavel Ammosov пишет: On Tue, Feb 28, 2006 at 10:20:34PM +0300, Mad Cat wrote: Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы список ресолверов не менялся при подключении. Помогло. Спасибо. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid на ppp
On Wed, Mar 01, 2006 at 08:27:18AM +0500, Nizamov Shawkat wrote: Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? Насколько я помню в саржевском squid это уже прописано. Возможно, в testing, не помню точно. -- Best regards, Yauhen Kharuzhy y.kharuzhy_(at)_sam-solutions.net A: No Q: Should I quote below my post? signature.asc Description: Digital signature
Re: Squid на ppp
On Tue, Feb 28, 2006 at 10:20:34PM +0300, Mad Cat wrote: Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы список ресолверов не менялся при подключении. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid на ppp
Pavel Ammosov - debian-russian@lists.debian.org @ Wed, 1 Mar 2006 13:37:54 +0300: Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? PA Да, надо прописать серверы DNS провайдера в /etc/resolv.conf, так чтобы PA список ресолверов не менялся при подключении. Разумнее понять кэширующий DNS. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Юзер обожает терпеть мелкие неудобства Victor Wagner -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid на ppp
Artem Chuprina пишет: Разумнее понять кэширующий DNS. согласен. но есть еще одно решение - поправить скрипт запуска сквида, добавив ключ -D. -DDisable initial DNS tests. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid на ppp
On Tue, 28 Feb 2006 22:20:34 +0300 Mad Cat wrote: Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? Видимо, настроен cache_peer. Надо в параметрах ему написать no-query. См. squid.conf. -- Матвийчук Олег aka Matvey, LRU#349092 http://mathway.narod.ru I am the ILOVEGNU signature virus. Just copy me to your signature. This email was infected under the terms of the GNU General Public License. Никто не повис, ничто не повисло... signature.asc Description: PGP signature
Re: Squid на ppp
Поднял себе сабж с целью кэширования и учета своего диалап трафика. Проблема возникает следующая: Squid запускается вместе с системой, когда соединение еще не установлено. При установке соединения необходимо перезапускать squid (/etc/init.d/squid restart), иначе трафик через него не идёт. Можно ли с этим бороться? Если да, то как? прописать /etc/init.d/squid reload в /etc/ppp/if-up -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и acces.log
Sergey Didanov - debian-russian @ Mon, 17 Oct 2005 07:40:15 +0300: SD Информация о каком трафике сохраняется в acces.log? SD Только входящем? SD Входящем + исходящем(запросы)? В access.log по определению сохраняется информация о запросе и ответе на него. Если тебя интересует, к чему относится указанный там размер, то так и надо спрашивать. По-моему, только к ответу. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Ну какая работа со строками может быть в языке, название которого является не строкой, а символом? Sergue E. Leontiev в [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
Matvey wrote: On Thu, 13 Oct 2005 20:06:24 +0300 Sergey Didanov [EMAIL PROTECTED] wrote: Стоит такая задача: ... пользователи могли использовать только 75% канала. Такое можно сделать? Читаешь про delay_pools в squid.conf. Только осторожнее, народ пишет, что есть грабли при переконфигурации сквида: http://www.opennet.ru/opennews/art.shtml?num=6150 -- С уважением. | WBR. | Алексей. | Alexey. | | mailto:[EMAIL PROTECTED] | jabber:[EMAIL PROTECTED]| ' -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
On Thu, 13 Oct 2005 23:10:21 +0300 Sergey Didanov [EMAIL PROTECTED] wrote: В Чтв, 13/10/2005 в 21:17 +0300, Matvey пишет: delay_pools 1 delay_class 1 1 Так вроде класс 1 это для узлов а не для сетей??? # The delay pool classes are: # # class 1 Everything is limited by a single aggregate # bucket. # Вы же хотите резать сетку в целом, а не каждый хост в отдельности? delay_access 1 allow my_net delay_access 1 deny all delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем буфера в байтах. А указать часть от доступного канала можно? Я не нашел. Может вам повезет больше? ;) У вас переменная ширина канала? Как вы себе представляете определение его фактической ширины в данный момент? Если у вас АТМ с VBR или что-то такого плана, кроме как поставить 0.75 от среднего заказанного значения, ничего не вижу. -- Матвийчук Олег aka Matvey, LRU#349092 http://mathway.narod.ru I am the ILOVEGNU signature virus. Just copy me to your signature. This email was infected under the terms of the GNU General Public License. Птичка Божия не знает не забот и не хлопот Лишь летает и воняет, хриплым голосом поет Blind Guardian - The Bard's Song - In The Fores -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
Matvey wrote: Стоит такая задача: Есть сервак подключенный к инету. На другом интерфейсе подключена сеть 192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб пользователи могли использовать только 75% канала. Такое можно сделать? читаешь про delay_pools в squid.conf. afaik delay_pools в squid влиет только на то, как тот отдает клиентам - скачивает же он на максимальной скорости. то есть если я правильно понял и речь про ограничение использования внешнего канала - squid не пойдет. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
E afaik delay_pools в squid влиет только на то, как тот отдает клиентам - E скачивает же он на максимальной скорости. E то есть если я правильно понял и речь про ограничение использования E внешнего канала - squid не пойдет. Ничего не пойдет. Ответы на запросы будут летать с максимальной скоростью. Отдавать сквид будет по своим правилам. -- Best regards, Mihail. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
On 20:06 Thu 13 Oct , Sergey Didanov wrote: Стоит такая задача: Есть сервак подключенный к инету. На другом интерфейсе подключена сеть 192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб пользователи могли использовать только 75% канала. Такое можно сделать? я делил eth1 на два eth1 и eth1:0 и один ограничивал shaper'ом apt-get install shaper ну и пользователи естественно шли на тот eth который ограничен но мне надо было весь трафик ограничить (не только сквидный) может и тебе такой способ подойдет... а вообще сам сквид умеет скоростями управлять, надо на него доки читать :) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
On Thu, 13 Oct 2005 20:06:24 +0300 Sergey Didanov [EMAIL PROTECTED] wrote: Стоит такая задача: Есть сервак подключенный к инету. На другом интерфейсе подключена сеть 192.168.1.0/24. Пользователи ходят в инет через squid. Необходимо чтоб пользователи могли использовать только 75% канала. Такое можно сделать? Читаешь про delay_pools в squid.conf. Если канал фиксированной ширины, должно получится что-то вроде: acl my_net src 192.168.1.0/24 delay_pools 1 delay_class 1 1 delay_access 1 allow my_net delay_access 1 deny all delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем буфера в байтах. -- Матвийчук Олег aka Matvey, LRU#349092 http://mathway.narod.ru I am the ILOVEGNU signature virus. Just copy me to your signature. This email was infected under the terms of the GNU General Public License. Птичка Божия не знает не забот и не хлопот Лишь летает и воняет, хриплым голосом поет A Perfect Circle - The Hollow -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid и delay_pools
В Чтв, 13/10/2005 в 21:17 +0300, Matvey пишет: delay_pools 1 delay_class 1 1 Так вроде класс 1 это для узлов а не для сетей??? delay_access 1 allow my_net delay_access 1 deny all delay_parameters 1 0.75 канала/0.75 канала # скорость заполнения/объем буфера в байтах. А указать часть от доступного канала можно? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid и скорость работы нета
Может кто сталкивался. Постаил сквид (машина Celeron 1.80 GHz 356 DDR) скорость передачи не поднимаетсявышечем 59-98 KB/s хотя канал 128 KB/s, че делать куду копать. 98 - это более менее нормально для такого канала. скорость зависит еще и от канала того сайта с которого идет скачка. может и 3 кб/с быть :))) и ничего с этим провайдер сделать не сможет Попутный вопрос есть подозрение на провайдера (что он канал урезает), чем его замерить можно? скачать с него самого что нибудь -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid
Squid /, Squid , : /etc/squid.conf authenticate_program authenticate_program /usr/lib/squid/ncsa_auth /usr/lib/squid/squid.user - htpasswd /usr/lib/squid/squid.user .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid
[EMAIL PROTECTED] wrote: 8 2005 ., 14:42:38: ,?squid.conf 5 . :) auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/users auth_param basic children 3 auth_param basic realm Gala.Net proxy server auth_param basic credentialsttl 2 hours auth_param basic casesensitive on authenticate_ttl 1 hour authenticate_ip_ttl 1 hour authenticate_cache_garbage_interval 1 hour http_access allow from_local http_access allow from_office http_access allow homeworker !many_ip http_access deny all , / :( . acl auth_users proxy_auth REQUIRED http_access allow from_local auth_users http_access deny all -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Squid
[EMAIL PROTECTED] wrote: acl auth_users proxy_auth REQUIRED http_access allow from_local auth_users http_access deny all - auth_users , ? from_local . . : , from_local auth_user (, ). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]