Проблема со squid

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
union
проходил мимо

Проблема со squid

Непрочитанное сообщение union » 2011-05-03 16:43:06

Всем добрый вечер, прошу проконсультировать по вопросу настройки сквида. Установил себе Freebsd, поднял на ней шлюз и все что нужно для работы с инетом. Но вот возник сразу косяк, очень долго инет идет через шлюз, у меня два канала , один просто стоит роутер, а второй как раз шлюзак и вот инет через шлюз ну прямо сильно заметно что тупит, а когда на него сажаю юзеров 5-7 то он просто отказывается работать, хотя проц он не грузит, настройки все по умолчанию стоят. Мне по сути от сквида нужно что бы он фиксировал кто куда ходит и что бы я мог заблочить определенные сайты определенным ip т.е. минималистические задачи. Конфиг squid прилагаю чуть ниже

За ранее спасибо!!!!!!!!

Код: Выделить всё

http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icp_access allow localnet
icp_access deny all
hierarchy_stoplist cgi-bin ?
 cache_mem 512 MB
 cache_dir ufs /var/squid/cache 1024 16 256
access_log /var/squid/logs/access.log squid
 cache_log /var/squid/logs/cache.log
logfile_rotate 30
 pid_filename /var/squid/logs/squid.pid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
acl manager-ban src 192.168.20.243
acl ban-site url_regex vkontakte.ru odnoklasniki.ru facebook.com anonimvk.ru music.yandex.ru
acl VIP src 192.168.20.243
http_access allow VIP
http_access deny ban-site
http_access allow manager-ban
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
broken_vary_encoding allow apache
 ignore_expect_100 on
coredump_dir /var/squid/cache 
Последний раз редактировалось f_andrey 2011-05-03 17:07:01, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема со squid

Непрочитанное сообщение vadim64 » 2011-05-03 19:59:17

не совсем понятно, что именно вы имеете в виду под "один просто стоит роутер" и "второй как раз шлюзак"
обьясните пожалуйста по подробнее
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-03 22:13:15

просто у меня два канала и на один канал я хочу повесить фрюху (а вторая будет чисто резервная) Тут дело не в том как я хочу что делать, а то почему squid так сильно тупит? Может просто выключить кеш? только я не знаю как ((((((

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-03 22:26:34

Есть статья на этом сайте почитайте ее, уж больно много в вашем конфиге багов на мой взгляд... Неплохо бы увидеть и rc.conf...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Проблема со squid

Непрочитанное сообщение manefesto » 2011-05-04 6:37:02

что это???
http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
я такой яростный шо аж пиздеЦ
Изображение

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-04 11:31:14

Вот мой rc.conf

Код: Выделить всё

defaultrouter="внешний ip"
gateway_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="my_bsd.riga.lcl"

ifconfig_re0="inet 192.168.20.254 netmask 255.255.255.0"
ifconfig_re1="inet мой ip внешний netmask 255.255.255.128"

inetd_enable="NO"
kern_securelevel_enable="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
fsck_y_enable="YES"
background_fsck="NO"

sshd_enable="YES"
webmin_enable="YES"
linux_enable="YES"

openfire_enable="YES"
squid_enable="YES"

ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f"
ipnat_rules="/etc/ipnat.rules"

tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"

firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_quiet="YES"
firewall_logging="YES"
firewall_type="close"


apache22_enable="YES"
mysql_enable="YES"
keymap="ru.koi8-r"
scrnmap="koi8-r2cp866"

а по поводу

Код: Выделить всё

http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
я же как понимаю это надо писать для прозрачного прокси..... вот я и написал это.....
Последний раз редактировалось vadim64 2011-05-04 11:41:02, всего редактировалось 1 раз.
Причина: юзайте [code][/code]

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-04 17:39:41

Статьи читали? Зачем вам ipnat и ipfw одновременно...
Оставьте

Код: Выделить всё

http_port 192.168.20.254:3128 transparent
У вас 3-и acl-ки с одинаковым названием localnet, у вас сам squid то стартует
Покажите

Код: Выделить всё

ps -ax | grep squid 

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-04 20:46:18

через ipnat я пробрасываю порты (например радмин)

и вот процессы на squid

Код: Выделить всё

ps -ax | grep squid 
20089  ??  Is     0:00.00 /usr/local/sbin/squid -D
20091  ??  S      0:02.91 (squid) -D (squid)
22673  p1  S+     0:00.00 grep squid
И тогда тупой вопрос. Т.е. ipnat в этой связке мешает нормально функционировать squid?
Последний раз редактировалось vadim64 2011-05-04 20:49:40, всего редактировалось 1 раз.
Причина: [code][/code]

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-04 22:13:30

Да просто 2-а файера одновременно... Как там пакетики бегают я не решусь даже предположить...
Мой совет, возьмите один из них и настройте ваш роутер, а прокидывать порты извне в вашем случае я считаю незачем, используйте волшебное слово VPN для доступа извне в вашу локалку.

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-04 23:48:49

т.е. 2 фаера?
у меня только один фаер ipfw и все

окей тогда я сейчас отключу ipnat, а что тогда прописывать в ipfw ?
И второй вопрос какой лучше vpn ставить mpd5 или open vpn ?

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-05 7:49:44

Какой душе больше нравится тот и используй, у меня клиенты большей частью виндовые, поэтому я использую клиента из их поставки, а на сервере mpd

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-05 8:17:19

и вот еще одна непонятка, я как раз думаю именно в ней и косяк. Сейчас тестю скорость в интернет через яндекс и у меня скорость получается 9009/333 кб.сек хотя скорость должна быть стабильно в обе стороны 5-10 мб.сек . Перекинул провод на котором просто весит роутер ситуация такая же (т.е. не провайдер режит, а что то не так настроил во фрюхе, потому как с компа у которого шлюз настроен через роутер скорость 5000/5000 кб сек)
Где могут так резаться пакеты при приеме???

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-05 23:16:07

Люди не ужели все так плохо ? ((((((

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема со squid

Непрочитанное сообщение vadim64 » 2011-05-06 11:43:20

да нет, врядли всё плохо.
просто учитывая ваши конфиги никто не хочет разбираться с вами, потому что вы сами ещё не достаточно разобрались. а я вот вообще не очень со сквидом знаком. вы в более божеский вид приведите свой конф, что бы люди не спрашивали у вас, читали ли вы вообще статьи. если после подробного разбора вами конфига сквида и фаервола проблема останется - выкладывайте всё сюда.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-06 11:54:18

vadim64
хорошо все выложу и постараюсь по быстрому эту проблему разрулить, просто тут по сообщениям очень интересно стало что бы убрать nat и все повесить на ipfw. просто какие для этого нужны правила прописывать для squid.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема со squid

Непрочитанное сообщение vadim64 » 2011-05-06 11:56:36

покажьте что там у вас в правилах фаервола
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-06 12:26:55

vadim64 писал(а):покажьте что там у вас в правилах фаервола
Для начала, если есть свободный комп, то поставьте на него минимальный набор софта, а именно только то, что надо для роутера, это ос и squid, ну и тузлы для редактирования конфигов, если поставляемые с ос редакторы вас не устраивают, и настраивайте. Все остальное установить можно будет позже.

Для начала вам хватит вот такого rc.conf

Код: Выделить всё

defaultrouter="внешний ip"
gateway_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="my_bsd.riga.lcl"

ifconfig_re0="inet 192.168.20.254 netmask 255.255.255.0"
ifconfig_re1="inet мой ip внешний netmask 255.255.255.128"

sendmail_enable="NONE"
sshd_enable="YES"

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="re1"
firewall_type="OPEN"

Не забудьте прописать в resolve.conf ip dns-сервера провайдера, ну а потом начинайте разбираться с правилми ipfw....

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема со squid

Непрочитанное сообщение vadim64 » 2011-05-06 13:43:23

Код: Выделить всё

firewall_nat_enable="YES" 
- эт чё за фича?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-06 14:02:27

vadim64 писал(а):

Код: Выделить всё

firewall_nat_enable="YES" 
- эт чё за фича?
Ядерный нат включаем... посмотри rc.firewall оригинальный

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Проблема со squid

Непрочитанное сообщение vadim64 » 2011-05-06 14:41:44

он типа модуль подгрузит какой то к ядру?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-06 14:55:44

vadim64 писал(а):он типа модуль подгрузит какой то к ядру?
Да, когда сначала (ipfw_enable) грузится ipfw.ko с libalias.ko а на (ipfw_nat_enable) ipfw_nat.ko

Гость
проходил мимо

Re: Проблема со squid

Непрочитанное сообщение Гость » 2011-05-06 16:16:53

snorlov
Сделал такой конфиг но что то теперь не работает nat (т.е. пакетики в инет теперь не бегают ((()
Я просто пока только изучаю freebsd и знаю как только ее пользоваться в связке ipfw + nat, а так что nat был интегрировал уже в сам ipfw я не знаю как это сделать (((( не подскажешь какие тогда правила надо прописать в ipfw ????

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблема со squid

Непрочитанное сообщение snorlov » 2011-05-06 17:04:21

Гость писал(а):snorlov
Сделал такой конфиг но что то теперь не работает nat (т.е. пакетики в инет теперь не бегают ((()
Я просто пока только изучаю freebsd и знаю как только ее пользоваться в связке ipfw + nat, а так что nat был интегрировал уже в сам ipfw я не знаю как это сделать (((( не подскажешь какие тогда правила надо прописать в ipfw ????
Прости меня я вообще-то не спросил

Код: Выделить всё

uname -a
надеюсь у тебя 7-ка и выше и использовано ядро generic...
Если не generic, то тогда вместо

Код: Выделить всё

firewall_nat_enable="yes"
firewall_nat_interface="re1"
писать

Код: Выделить всё

natd_enable="yes"
natd_interface="re1"