проблема со squid

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Lyapsik
рядовой
Сообщения: 10
Зарегистрирован: 2007-12-25 18:48:52

проблема со squid

Непрочитанное сообщение Lyapsik » 2007-12-25 19:05:34

Добрый вечер, уважаемые формучане. Итак, сразу к делу:
FreeBSD 6.2
Настравивал по статье: http://www.lissyara.su/?id=1026
содержание /usr/local/etc/squid/squid.conf:

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname mail.my_domain.ru
tcp_outgoing_address 222.222.222.222
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid



Приведенный выше конфиг вызывает следующие ошибки (делаем parse):

WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
WARNING: '127.0.0.1' is a subnetwork of '127.0.0.0/255.0.0.0'
WARNING: because of this '127.0.0.0/255.0.0.0' is ignored to keep splay tree searching predictable
WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'

Никак не пойму в чем дело. Прошу Вашей помощи. Спасибо огромное!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Djo
рядовой
Сообщения: 24
Зарегистрирован: 2007-08-10 12:10:26

Re: проблема со squid

Непрочитанное сообщение Djo » 2007-12-26 11:21:52

у тебя в конфиге есть только acl а где http_access?
тоесть у тебя не ошибки а предуприждения что есть acl но нету к к нему htt_access.

Вставь после acl.

http_access allow localhost // Разрешить acl localhost
http_access allow our_networks // разрешить acl our_networks
http_access deny all // запрепить acl all

у тебя сожет пользоватся squid локалсох и сетка 192.168.0.0/24

Lyapsik
рядовой
Сообщения: 10
Зарегистрирован: 2007-12-25 18:48:52

Re: проблема со squid

Непрочитанное сообщение Lyapsik » 2007-12-26 11:49:45

Djo писал(а):у тебя в конфиге есть только acl а где http_access?
тоесть у тебя не ошибки а предуприждения что есть acl но нету к к нему htt_access.

Вставь после acl.

http_access allow localhost // Разрешить acl localhost
http_access allow our_networks // разрешить acl our_networks
http_access deny all // запрепить acl all

у тебя сожет пользоватся squid локалсох и сетка 192.168.0.0/24
Внес исправления. Не помогает. Пишет те же самые ошибки :(

Lyapsik
рядовой
Сообщения: 10
Зарегистрирован: 2007-12-25 18:48:52

Re: проблема со squid

Непрочитанное сообщение Lyapsik » 2007-12-27 17:52:48

up :) жду совета. Интересно, а что думает по этому поводу lissyara?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: проблема со squid

Непрочитанное сообщение Alex Keda » 2007-12-27 23:01:57

думаю, что неплохо бы нормально оформлять посты, используя конопоччку

Код: Выделить всё

, думаю, что статье уже два года и она в архиве, думаю, что оно запускается и работает несмотря на варнинги, и, думаю.что поиск по форуму давно бы дал тебе ответ на этот вопрос - ибо за два года оно уже не первый раз обсуждается.
Убей их всех! Бог потом рассортирует...

Lyapsik
рядовой
Сообщения: 10
Зарегистрирован: 2007-12-25 18:48:52

Re: проблема со squid

Непрочитанное сообщение Lyapsik » 2008-01-11 13:25:40

В общем так. Путем метода математической индукции и метода ненаучного тыка понял, что данные warining, по борьбе с которыми никто так и не дал ясного и внятного ответа никак не влияют на работу. Так как пробовал сделать то же самое, но на другом железе - этих сообщений нет. Это радует.
Но появилась еще одна проблема: теперь при всех вышеперечисленных условиях нет выхода в Инет у клиентов. ping везде и всюду идет, а вот сам запрос, набранный в браузере, например, на yandex.ru ничерта не выдает. Но ping с клиентов по имени и по IP того же yandex.ru есть. Следовательно надо "копать" в сторону DNS. В файле resolv.conf прописываем:

Код: Выделить всё

nameserver 222.222.222.222 # Первичный DNS прова
Результата нет.
Помогите, плиз.

Гость
проходил мимо

Re: проблема со squid

Непрочитанное сообщение Гость » 2008-04-01 8:31:53

гм...squid научилса проксировать icmp? :) гыыы
чтобы выяснить работает у тебя днс или нет заюзай лутше nslookup с клиента и вообще, почитай про NAT и прокси сервер и какая между ними разница.

vlader
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-04-09 9:27:20

Re: проблема со squid

Непрочитанное сообщение vlader » 2008-04-09 10:05:37

Всем доброго времени суток.
Помогите решить вопрос.
Здача следующая: Нужно разрешить работу ICQ (клиент QIP 2005) через SQUID в определенны часы для определенных пользователей локальной сети, при этом ограничений по времени на доступ к веб быть не должно для всех. QIP настроен на работу со SQUID по HTTPS (443 порт) Прочитав все инструкции и наставления смастерил следующую конфигурацию, однако пользователи как имели возможность подключать свои ICQ-клиенты так и так и продолжают ей пользоваться.

Пробовал устанавливать разные комбинации acl для ICQ в правилах доступа, ничего не меняется...

-----------------------------------МОЯ КОНФИГУРАЦИЯ---------------------


#Squid normally listens to port 3128
http_port 192.168.0.1:3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache



access_log c:/squid/var/logs/access.log squid
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
error_directory c:/squid/share/errors/Russian-1251
mime_table c:/squid/etc/mime.conf
pid_filename c:/squid/var/logs/squid.pid


auth_param basic children 20
auth_param basic credentialsttl 2 hours
auth_param basic program c:/squid/libexec/mswin_auth.exe

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8


#acl intranet src 192.168.1.0/255.255.255.0
acl intranet proxy_auth REQUIRED

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ICQ rejecting
acl Comp1 src 192.168.0.2
acl Comp2 src 192.168.0.25
acl Comp3 src 192.168.0.10
acl Comp4 src 192.168.0.50
acl Comp5 src 192.168.0.40

acl ICQ_DOMAIN dstdomain login.icq.com login.aol.com
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16 194.67.0.0/16 194.186.0.0/16
acl ICQ_PORT port 443 5190
acl ICQ_PROTO proto HTTPS

acl Timeallow time 13:00-14:00

#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
# http_access deny http
http_access allow manager localhost
http_access allow intranet
http_access deny manager


http_access allow Comp1 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp1 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp2 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp2 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp3 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp3 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp4 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp4 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp5 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp5 ICQ_ADDR ICQ_PORT CONNECT

#always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
#always_direct allow ICQ_ADDR ICQ_PORT CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny all

http_reply_access allow all
icp_access allow all
visible_hostname 127.0.0.1

-----------------------------------МОЯ КОНФИГУРАЦИЯ---------------------

Кто-нибудь может показать что не так и как исправить?

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: проблема со squid

Непрочитанное сообщение GreenDay » 2008-04-09 10:29:28

Код: Выделить всё

acl SSL_ports port 443 563
acl Safe_ports port 443 563 # https, snews
acl ICQ_PORT port 443 5190

http_access deny CONNECT !SSL_ports
насколько я вижу - 443 порт упомянут аж в 3-х правилах.. определитесь все таки и запихните его в одно

и последнее правило разрешает собственно все коннекты на 443 порт, отбрасывая все ваши предыдущие правила
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

vlader
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-04-09 9:27:20

Re: проблема со squid

Непрочитанное сообщение vlader » 2008-04-09 10:55:24

Если честно не совсем понял как мне сделать одно правило для 443 порта если мне нужно использовать его через браузер, наприер. Видимо я не совсем понял как формируются правила...понял что приоритет правил убывает сверху вниз.
Вообще эти 2 строчки:
acl SSL_ports port 443 563
acl Safe_ports port 443 563 # https, snews

остались из дефолной конфигурации.
Т.е. получается что если я разрешил работу с каким-то портом (не конкретизировав каким методом работать с ним и т.п.), то последующие правила полученные путем дополнения к предыдущему не будут игнорироваться не зависимо от места расположения их в файле кнфигураци (выше или ниже предыдущего првила)?

vlader
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-04-09 9:27:20

Re: проблема со squid

Непрочитанное сообщение vlader » 2008-04-10 13:33:54

Что-то с ICQ какое-то безобразие...
Моя конфигурация стала выглядеть следующим образом и всеравно QIP продалжает работать. NAT на сервере не установлен, телнетом с клиентских машин по порту 443, да и по остальным к внешним хостам подключаться не получается, т.е. все одназначно идет через SQUID. QIP настроен на работу с прокси по HTTPS (порт стоит 443)

-----------------------------------МОЯ КОНФИГУРАЦИЯ---------------------

#Squid normally listens to port 3128
http_port 192.168.0.1:3128

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

access_log c:/squid/var/logs/access.log squid
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
error_directory c:/squid/share/errors/Russian-1251
mime_table c:/squid/etc/mime.conf
pid_filename c:/squid/var/logs/squid.pid

auth_param basic children 20
auth_param basic credentialsttl 2 hours
auth_param basic program c:/squid/libexec/mswin_auth.exe

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

#acl intranet src 192.168.1.0/255.255.255.0
acl intranet proxy_auth REQUIRED

#acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
#acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ICQ rejecting
acl Comp1 src 192.168.0.2
acl Comp2 src 192.168.0.25
acl Comp3 src 192.168.0.10
acl Comp4 src 192.168.0.50
acl Comp5 src 192.168.0.40

acl ICQ_DOMAIN dstdomain login.icq.com login.aol.com
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16 194.67.0.0/16 194.186.0.0/16
acl ICQ_PORT port 443 5190
acl ICQ_PROTO proto HTTPS
acl Timeallow time 13:00-14:00

# Only allow cachemgr access from localhost
# http_access deny http
http_access allow manager localhost
http_access allow intranet
http_access deny manager

http_access allow Comp1 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp1 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp2 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp2 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp3 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp3 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp4 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp4 ICQ_ADDR ICQ_PORT CONNECT
http_access allow Comp5 Timeallow ICQ_ADDR ICQ_PORT CONNECT
http_access deny Comp5 ICQ_ADDR ICQ_PORT CONNECT

#always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
#always_direct allow ICQ_ADDR ICQ_PORT CONNECT

#http_access deny !Safe_ports
#http_access deny CONNECT !SSL_ports

http_access deny all

#http_reply_access allow all
icp_access allow all
visible_hostname 127.0.0.1

-----------------------------------МОЯ КОНФИГУРАЦИЯ---------------------
Кто-нибудь может объяснить как правильно настроить правила?

xolostyak
проходил мимо

Re: проблема со squid

Непрочитанное сообщение xolostyak » 2009-03-24 9:23:06

просто удали строку

Код: Выделить всё

acl src all 0.0.0.0/0.0.0.0
squid по умолчанию знает что такое all, а сообщение говорит о том что "твой all" есть часть глобального) ивсе нормально будет работать и не будет предупреждений)