Статейка "Пилим squid и sams в примерах" RELEASE

[andik]

доброго времени суток.
Пытаюсь запустить squid в режиме прозрачного прокси. Все остальные прелести пока оставил на потом.
В дальнейшем планируется невидимым жестом завернуть некоторых особо активных пользователей с asa 5505 на прокси, но пока нужно хотя бы яндекс увидеть, но вместо яндекса выдается ошибка.
The requested URL could not be retrieved
Access Denied.

Что имеем:

OS

Код: Выделить всё

 uname -a
FreeBSD mail.domain.ru 6.0-RELEASE-p18 FreeBSD 6.0-RELEASE-p18 #0: Fri Jan 11 10:28:16 MSK 2008     root@mail.domain.ru:/usr/obj/usr/src/sys/somedir i386

* имя сервера заменил на domain, уж простите.


SQUID

Код: Выделить всё

 squid -v
Squid Cache: Version 3.0.STABLE7
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-storeio=ufs diskd null' '--enable-kqueue' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd6.0' 'build_alias=i386-portbld-freebsd6.0' 'host_alias=i386-portbld-freebsd6.0' 'target_alias=i386-portbld-freebsd6.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4'

IPFW

Код: Выделить всё

ipfw list
....
....
00026 fwd 10.45.45.10,3128 tcp from 10.45.45.0/24 to any dst-port 80
....

В access.log падает следующее:

Код: Выделить всё

1289982532.284     51 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289982532.701      0 10.45.45.120 TCP_DENIED/403 2235 GET http://ya.ru/favicon.ico - NONE/- text/html
1289982535.704      0 10.45.45.120 TCP_DENIED/403 2267 GET http://ya.ru/favicon.ico - NONE/- text/html
1289983272.207      0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289983275.531      0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html

squid.conf

Код: Выделить всё

# cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^#
http_port 10.45.45.10:3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /usr/local/squid/logs/access.log squid
logfile_rotate 12
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320
cache_dir ufs /usr/local/squid/cache 500 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.45.45.0/24  # RFC1918 possible internal network
acl allowblacklist src 10.45.45.1 10.45.45.185 10.45.45.215
acl SSL_ports port 443
acl SSL_ports port 9443         # FILIALES.PAYMENT.RU
acl Safe_ports port 21          # ftp
acl Safe_ports port 70          # gopher
acl Safe_ports port 80          # http
acl Safe_ports port 210         # wais
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 443         # https
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 631         # cups
acl Safe_ports port 777         # multiling http
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 1025-65535  # unregistered ports
acl CONNECT method CONNECT
http_access allow allowblacklist
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
icp_port 3130
coredump_dir /usr/local/squid/cache

Подскажите пожалуйста, где я был не прав?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gonzo111]

каким боком это относится к моей статье ?????

создайте отельную тему в FreeBSD/UNIX для начинающих
"Памагите!! первый раз в жизни настраиваю сквид,
перелез с Венды на FreeBSD 6.0 (!!!!),
маны читать хочу..."
и там помогут

[andik]

Удивишься, если я отвечу, каким боком! Squid-oм!
Я вроде вежливо попросил помощи, привел всю, ну или почти всю нужную инфу и... получил пинок.
Раз уж я такой неправильный и кинул вопрос не в ту тему, ну что ж, можно было и перенести и сделать замечание.
А мой пост так и останется висеть без ответа, а можно было бы указать, на то, что я забыл самое главное:
http_access allow localnet
Вот думаю, есть ли смысл спросить про https или пойти "создавать тему FreeBSD/UNIX для начинающих "?

[saniok77]

нужна помощь? плачу деньги! заблокировать доступ к основным торентам в небольшом городе! очень надо kvan999@mail.ru

[ADRE]

нужна помощь? плачу деньги! заблокировать доступ к основным торентам в небольшом городе! очень надо kvan999@mail.ru

составьте список торрентов, занесите в файл, составьте acl, рекофиг сквида и всё, если у вас чистый прокси...
--
Ежеле нет, то просто запилите порты

[Sindikat88]

Гонзо, спасибо за статью.
Всё встало и работает. Только не дает покоя одна ошибка, которая выдается в странице стата:

Код: Выделить всё

Warning: date() [function.date]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Moscow' for 'MSD/4.0/DST' instead in /usr/local/share/sqstat/sqstat.class.php on line 209

Кто нибудь с таким сталкивался?

[KIper]

Подскажите, а SqStat с транспарент сквидом работает?

[Sindikat88]

Гонзо, спасибо за статью.
Всё встало и работает. Только не дает покоя одна ошибка, которая выдается в странице стата:

Код: Выделить всё

Warning: date() [function.date]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Moscow' for 'MSD/4.0/DST' instead in /usr/local/share/sqstat/sqstat.class.php on line 209

Кто нибудь с таким сталкивался?

Отвечу сам себе:
В sqstat.class.php
в начале скрипта надо прописать

Код: Выделить всё

date_default_timezone_set('Europe/Moscow');

[Darling]

Проблема с SqStat при использовании авторизации NCSA http://forum.lissyara.su/viewtopic.php?f=3&t=32795. Поможете разобраться?

[Mooninite]

Добрый день.

Отметил чекбокс "Включить ограничение скорости доступа пользователей (delaypool)". Однако ограничения не заработали и конфиг сквида по какой-то причине остался без изменений, хотя комментарий в начале файла указывает, что sams его пересоздавал.
Подскажите, в чём может быть причина и каким образом можно всё таки включить ограничения?

Спасибо!

[mc-sim]

gonzo111, подскажи, пожалуйста!
В чем великий смысл правила

Код: Выделить всё

delay_access номер_пула deny all

?
Что-то я никак не пойму...

[Talay]

Вот так выходит после установки:

SqStat error
Error (1): Cannot get data. Server answered: HTTP/1.0 407 Proxy Authentication Required

погуглил и все методы решения почти сделал, что то мешает, что не могу понять

[Talay]

извинте за дабл постинг , я что то не могу залить файл в пост

squid.rar

конфиг сквида

(47.96 КБ) 65 скачиваний

[Bugaev]

доброго времени суток.
Пытаюсь запустить squid в режиме прозрачного прокси. Все остальные прелести пока оставил на потом.
В дальнейшем планируется невидимым жестом завернуть некоторых особо активных пользователей с asa 5505 на прокси, но пока нужно хотя бы яндекс увидеть, но вместо яндекса выдается ошибка.
The requested URL could not be retrieved
Access Denied.

Что имеем:

OS

Код: Выделить всё

 uname -a
FreeBSD mail.domain.ru 6.0-RELEASE-p18 FreeBSD 6.0-RELEASE-p18 #0: Fri Jan 11 10:28:16 MSK 2008     root@mail.domain.ru:/usr/obj/usr/src/sys/somedir i386

* имя сервера заменил на domain, уж простите.


SQUID

Код: Выделить всё

 squid -v
Squid Cache: Version 3.0.STABLE7
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-storeio=ufs diskd null' '--enable-kqueue' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd6.0' 'build_alias=i386-portbld-freebsd6.0' 'host_alias=i386-portbld-freebsd6.0' 'target_alias=i386-portbld-freebsd6.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4'

IPFW

Код: Выделить всё

ipfw list
....
....
00026 fwd 10.45.45.10,3128 tcp from 10.45.45.0/24 to any dst-port 80
....

В access.log падает следующее:

Код: Выделить всё

1289982532.284     51 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289982532.701      0 10.45.45.120 TCP_DENIED/403 2235 GET http://ya.ru/favicon.ico - NONE/- text/html
1289982535.704      0 10.45.45.120 TCP_DENIED/403 2267 GET http://ya.ru/favicon.ico - NONE/- text/html
1289983272.207      0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289983275.531      0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html

Подскажите пожалуйста, где я был не прав?

в сквиде в3 строчка
http_port 10.45.45.10:3128 transparent
должна выглядеть так
http_port 10.45.45.10:3128 intercept

[mc-sim]

в сквиде в3 строчка
http_port 10.45.45.10:3128 transparent
должна выглядеть так
http_port 10.45.45.10:3128 intercept

не совсем верно.
В 3.1 такое изменение. (пруф)

[WCSN]

кста...
Чиним мониторинг реального времени SqStat...