Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
union
- проходил мимо
Непрочитанное сообщение
union » 2011-05-03 16:43:06
Всем добрый вечер, прошу проконсультировать по вопросу настройки сквида. Установил себе Freebsd, поднял на ней шлюз и все что нужно для работы с инетом. Но вот возник сразу косяк, очень долго инет идет через шлюз, у меня два канала , один просто стоит роутер, а второй как раз шлюзак и вот инет через шлюз ну прямо сильно заметно что тупит, а когда на него сажаю юзеров 5-7 то он просто отказывается работать, хотя проц он не грузит, настройки все по умолчанию стоят. Мне по сути от сквида нужно что бы он фиксировал кто куда ходит и что бы я мог заблочить определенные сайты определенным ip т.е. минималистические задачи. Конфиг squid прилагаю чуть ниже
За ранее спасибо!!!!!!!!
Код: Выделить всё
http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
icp_access allow localnet
icp_access deny all
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
cache_dir ufs /var/squid/cache 1024 16 256
access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
logfile_rotate 30
pid_filename /var/squid/logs/squid.pid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
acl manager-ban src 192.168.20.243
acl ban-site url_regex vkontakte.ru odnoklasniki.ru facebook.com anonimvk.ru music.yandex.ru
acl VIP src 192.168.20.243
http_access allow VIP
http_access deny ban-site
http_access allow manager-ban
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
broken_vary_encoding allow apache
ignore_expect_100 on
coredump_dir /var/squid/cache
Последний раз редактировалось
f_andrey 2011-05-03 17:07:01, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
union
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-05-03 19:59:17
не совсем понятно, что именно вы имеете в виду под "один просто стоит роутер" и "второй как раз шлюзак"
обьясните пожалуйста по подробнее
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-03 22:13:15
просто у меня два канала и на один канал я хочу повесить фрюху (а вторая будет чисто резервная) Тут дело не в том как я хочу что делать, а то почему squid так сильно тупит? Может просто выключить кеш? только я не знаю как ((((((
Гость
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-03 22:26:34
Есть статья на этом сайте почитайте ее, уж больно много в вашем конфиге багов на мой взгляд... Неплохо бы увидеть и rc.conf...
snorlov
-
manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
-
Контактная информация:
Непрочитанное сообщение
manefesto » 2011-05-04 6:37:02
что это???
http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
я такой яростный шо аж пизде
Ц
manefesto
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-04 11:31:14
Вот мой rc.conf
Код: Выделить всё
defaultrouter="внешний ip"
gateway_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="my_bsd.riga.lcl"
ifconfig_re0="inet 192.168.20.254 netmask 255.255.255.0"
ifconfig_re1="inet мой ip внешний netmask 255.255.255.128"
inetd_enable="NO"
kern_securelevel_enable="NO"
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
fsck_y_enable="YES"
background_fsck="NO"
sshd_enable="YES"
webmin_enable="YES"
linux_enable="YES"
openfire_enable="YES"
squid_enable="YES"
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f"
ipnat_rules="/etc/ipnat.rules"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
firewall_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_quiet="YES"
firewall_logging="YES"
firewall_type="close"
apache22_enable="YES"
mysql_enable="YES"
keymap="ru.koi8-r"
scrnmap="koi8-r2cp866"
а по поводу
Код: Выделить всё
http_port 127.0.0.1:3128 transparent
http_port 192.168.20.254:3128
http_port 3128
я же как понимаю это надо писать для прозрачного прокси..... вот я и написал это.....
Последний раз редактировалось
vadim64 2011-05-04 11:41:02, всего редактировалось 1 раз.
Причина: юзайте [code][/code]
Гость
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-04 17:39:41
Статьи читали? Зачем вам ipnat и ipfw одновременно...
Оставьте
У вас 3-и acl-ки с одинаковым названием localnet, у вас сам squid то стартует
Покажите
snorlov
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-04 20:46:18
через ipnat я пробрасываю порты (например радмин)
и вот процессы на squid
Код: Выделить всё
ps -ax | grep squid
20089 ?? Is 0:00.00 /usr/local/sbin/squid -D
20091 ?? S 0:02.91 (squid) -D (squid)
22673 p1 S+ 0:00.00 grep squid
И тогда тупой вопрос. Т.е. ipnat в этой связке мешает нормально функционировать squid?
Последний раз редактировалось
vadim64 2011-05-04 20:49:40, всего редактировалось 1 раз.
Причина: [code][/code]
Гость
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-04 22:13:30
Да просто 2-а файера одновременно... Как там пакетики бегают я не решусь даже предположить...
Мой совет, возьмите один из них и настройте ваш роутер, а прокидывать порты извне в вашем случае я считаю незачем, используйте волшебное слово VPN для доступа извне в вашу локалку.
snorlov
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-04 23:48:49
т.е. 2 фаера?
у меня только один фаер ipfw и все
окей тогда я сейчас отключу ipnat, а что тогда прописывать в ipfw ?
И второй вопрос какой лучше vpn ставить mpd5 или open vpn ?
Гость
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-05 7:49:44
Какой душе больше нравится тот и используй, у меня клиенты большей частью виндовые, поэтому я использую клиента из их поставки, а на сервере mpd
snorlov
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-05 8:17:19
и вот еще одна непонятка, я как раз думаю именно в ней и косяк. Сейчас тестю скорость в интернет через яндекс и у меня скорость получается 9009/333 кб.сек хотя скорость должна быть стабильно в обе стороны 5-10 мб.сек . Перекинул провод на котором просто весит роутер ситуация такая же (т.е. не провайдер режит, а что то не так настроил во фрюхе, потому как с компа у которого шлюз настроен через роутер скорость 5000/5000 кб сек)
Где могут так резаться пакеты при приеме???
Гость
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-05-06 11:43:20
да нет, врядли всё плохо.
просто учитывая ваши конфиги никто не хочет разбираться с вами, потому что вы сами ещё не достаточно разобрались. а я вот вообще не очень со сквидом знаком. вы в более божеский вид приведите свой конф, что бы люди не спрашивали у вас, читали ли вы вообще статьи. если после подробного разбора вами конфига сквида и фаервола проблема останется - выкладывайте всё сюда.
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-06 11:54:18
vadim64
хорошо все выложу и постараюсь по быстрому эту проблему разрулить, просто тут по сообщениям очень интересно стало что бы убрать nat и все повесить на ipfw. просто какие для этого нужны правила прописывать для squid.
Гость
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-05-06 11:56:36
покажьте что там у вас в правилах фаервола
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-06 12:26:55
vadim64 писал(а):покажьте что там у вас в правилах фаервола
Для начала, если есть свободный комп, то поставьте на него минимальный набор софта, а именно только то, что надо для роутера, это ос и squid, ну и тузлы для редактирования конфигов, если поставляемые с ос редакторы вас не устраивают, и настраивайте. Все остальное установить можно будет позже.
Для начала вам хватит вот такого rc.conf
Код: Выделить всё
defaultrouter="внешний ip"
gateway_enable="YES"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="my_bsd.riga.lcl"
ifconfig_re0="inet 192.168.20.254 netmask 255.255.255.0"
ifconfig_re1="inet мой ip внешний netmask 255.255.255.128"
sendmail_enable="NONE"
sshd_enable="YES"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_nat_interface="re1"
firewall_type="OPEN"
Не забудьте прописать в resolve.conf ip dns-сервера провайдера, ну а потом начинайте разбираться с правилми ipfw....
snorlov
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-05-06 13:43:23
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-06 14:02:27
vadim64 писал(а):- эт чё за фича?
Ядерный нат включаем... посмотри rc.firewall оригинальный
snorlov
-
vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Непрочитанное сообщение
vadim64 » 2011-05-06 14:41:44
он типа модуль подгрузит какой то к ядру?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
vadim64
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-06 14:55:44
vadim64 писал(а):он типа модуль подгрузит какой то к ядру?
Да, когда сначала (ipfw_enable) грузится ipfw.ko с libalias.ko а на (ipfw_nat_enable) ipfw_nat.ko
snorlov
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2011-05-06 16:16:53
snorlov
Сделал такой конфиг но что то теперь не работает nat (т.е. пакетики в инет теперь не бегают ((()
Я просто пока только изучаю freebsd и знаю как только ее пользоваться в связке ipfw + nat, а так что nat был интегрировал уже в сам ipfw я не знаю как это сделать (((( не подскажешь какие тогда правила надо прописать в ipfw ????
Гость
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2011-05-06 17:04:21
Гость писал(а):snorlov
Сделал такой конфиг но что то теперь не работает nat (т.е. пакетики в инет теперь не бегают ((()
Я просто пока только изучаю freebsd и знаю как только ее пользоваться в связке ipfw + nat, а так что nat был интегрировал уже в сам ipfw я не знаю как это сделать (((( не подскажешь какие тогда правила надо прописать в ipfw ????
Прости меня я вообще-то не спросил
надеюсь у тебя 7-ка и выше и использовано ядро generic...
Если не generic, то тогда вместо
Код: Выделить всё
firewall_nat_enable="yes"
firewall_nat_interface="re1"
писать
snorlov