squid и социальные сети

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-08-23 17:14:30

Здравствуйте. Вы, возможно, предположили, что очередной начинающий админ просит объяснить, как зарубить доступ к
контактику и одноклассникам :smile:
Однако имеется проблема следующего рода:
у юзеров, ходящих через сквид, периодически вываливается сессия вконтатке. Т.е. хомячок залогинился и занимается
своими делами: выкладывает фотки, строчит сообщения друзьям или смотрит видео. Вроде бы все хорошо, но в какой-то
момент он вылетает из своей сессии и ему необходимо заново логиниться. Такое положение дел вызывает бурю негодования
у хомячка, он начинает названивать, жаловаться и отрывать от других дел.
Эмпирическим путем было выяснено, что время нормальной работы варьируется в пределах 1-15 минут.
При работе с другими веб-сервисами такое поведение замечено не было.

Конфиг сквида содежит всего лишь несколько acl'ов, директив http_access и настройки кеша - то есть необходимый минимум,
работает в прозрачном режиме. Даже не нужно говорить, что Без сквида все работет нормально.
Операционка - Centos 5.6 64-bit. Установлена в виртуальную машину на ESX Server 3.5

Может быть кто сталкивался с подобной проблемой и сможет подсказать пути ее решения? Очень необходима ваша помощь.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: squid и социальные сети

Непрочитанное сообщение ADRE » 2011-08-24 11:35:02

Закрывай просто ресурсы на сквиде, если будут жаловаться сходите вместе к начальнику и спросите или уточните необходимость социальной сети, покажи логи - сколько примерно времени данное существо пребывает в контактике если начальник одобрит пребывание, то просто забей пусть дрочат....
--
При чём тут сессии только не понятно...
//del

alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

Re: squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-08-24 14:55:27

В том то и дело, что я бы так сделал :smile:
Но мы предоставляем услуги доступа в интернет для небольшой абонентской аудитории (около 1000 абонентов).
И если закроем доступ к социальным сетям, то большая часть абонентов пошлет нас подальше...
Установка "прозрачной" прокси была вынужденным шагом. Но из-за этого "упал" уровень предоставляемых услуг (а именно все тот же самый вконтакт
с вываливающимися сессиями). У многих пользователей это вызывает недовольство, потому что соц. сети стали для них альтернативной жизнью (только не называйте меня кэпом :smile: ), и мы как раз очень мешаем жить этой жизнью.
Может быть у кого-нибудь есть предположения по сабжу.
Или кто порекомендует альтернативный, как прозрачно закрывать доступ к определенным сайтам и резать баннеры?
Буду очень признателен за помощь

Аватара пользователя
tynix
сержант
Сообщения: 246
Зарегистрирован: 2008-08-06 8:25:42
Откуда: Красноярск

Re: squid и социальные сети

Непрочитанное сообщение tynix » 2011-08-24 16:19:19

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social

cat /usr/local/etc/squid/social.list
vk.com
vkontakte.ru
так не должен выбрасывать
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop

alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

Re: squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-08-24 17:24:58

tynix писал(а):

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social
....
так не должен выбрасывать[/quote]

Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для
того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры.
При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: squid и социальные сети

Непрочитанное сообщение ADRE » 2011-08-25 8:31:21

alexander_d писал(а):
tynix писал(а):

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social
....
так не должен выбрасывать[/quote]

Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для
того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры.
При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.[/quote]
можно сделать несколько кэшей 1 фронэнд, далее в подчинении 4 беэкнда кешей, к ним коннект фронэнда через встроенный carp squid. только надо время кэширования объектов выставить корректно. сессии разные... Выбрасывать может только при недоступности 443, кстате сквид в прозрачном режиме с ним херово работает, т.е. эпическая яваскриптина ломится перед отправкой на данный порт к своему серваку проверить идентификацию, при недоступности - посылается в жопу и вылетает...
что у вас там с 443?
//del

alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

Re: squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-08-25 12:11:55

ADRE писал(а): ...
что у вас там с 443?
трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)
сделан только для HTTP-трафика

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: squid и социальные сети

Непрочитанное сообщение ADRE » 2011-08-26 3:58:54

alexander_d писал(а):
ADRE писал(а): ...
что у вас там с 443?
трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)
сделан только для HTTP-трафика
всё верно,, менять ничего не надо, посмотрите настройки iptables, правила динамические или статические?, если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.
//del

alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

Re: squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-08-29 22:27:17

ADRE писал(а):...если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.
Не очень понял ваше предложение. HTTP-трафик, идущий с адреса xx.xx.xx.xx, перенаправляется в проксю. По выходе из прокси, адрес меняется на один из адресов прокси yy.yy.yy.yy
HTTPS-трафик как шел с xx.xx.xx.xx, так с него и идет... или этот трафик нужно натить в yy.yy.yy.yy?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: squid и социальные сети

Непрочитанное сообщение schizoid » 2011-08-30 9:41:29

а если вообще не проксировать соц сети?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: squid и социальные сети

Непрочитанное сообщение ADRE » 2011-08-30 15:14:46

у вас https - нитица и идёт с IP адреса сервера. иначе аудентификации при прозрачном прокси не будет.
//del

alexander_d
рядовой
Сообщения: 14
Зарегистрирован: 2011-08-22 12:50:12

Re: squid и социальные сети

Непрочитанное сообщение alexander_d » 2011-09-13 12:39:24

Все равно сессии валятся. Сделал костыль: забил запрещающие правила для определенных айпишников
в таблице FORWARD на шлюзе. И отключил squid.