squid и социальные сети
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
squid и социальные сети
Здравствуйте. Вы, возможно, предположили, что очередной начинающий админ просит объяснить, как зарубить доступ к
контактику и одноклассникам
Однако имеется проблема следующего рода:
у юзеров, ходящих через сквид, периодически вываливается сессия вконтатке. Т.е. хомячок залогинился и занимается
своими делами: выкладывает фотки, строчит сообщения друзьям или смотрит видео. Вроде бы все хорошо, но в какой-то
момент он вылетает из своей сессии и ему необходимо заново логиниться. Такое положение дел вызывает бурю негодования
у хомячка, он начинает названивать, жаловаться и отрывать от других дел.
Эмпирическим путем было выяснено, что время нормальной работы варьируется в пределах 1-15 минут.
При работе с другими веб-сервисами такое поведение замечено не было.
Конфиг сквида содежит всего лишь несколько acl'ов, директив http_access и настройки кеша - то есть необходимый минимум,
работает в прозрачном режиме. Даже не нужно говорить, что Без сквида все работет нормально.
Операционка - Centos 5.6 64-bit. Установлена в виртуальную машину на ESX Server 3.5
Может быть кто сталкивался с подобной проблемой и сможет подсказать пути ее решения? Очень необходима ваша помощь.
контактику и одноклассникам
Однако имеется проблема следующего рода:
у юзеров, ходящих через сквид, периодически вываливается сессия вконтатке. Т.е. хомячок залогинился и занимается
своими делами: выкладывает фотки, строчит сообщения друзьям или смотрит видео. Вроде бы все хорошо, но в какой-то
момент он вылетает из своей сессии и ему необходимо заново логиниться. Такое положение дел вызывает бурю негодования
у хомячка, он начинает названивать, жаловаться и отрывать от других дел.
Эмпирическим путем было выяснено, что время нормальной работы варьируется в пределах 1-15 минут.
При работе с другими веб-сервисами такое поведение замечено не было.
Конфиг сквида содежит всего лишь несколько acl'ов, директив http_access и настройки кеша - то есть необходимый минимум,
работает в прозрачном режиме. Даже не нужно говорить, что Без сквида все работет нормально.
Операционка - Centos 5.6 64-bit. Установлена в виртуальную машину на ESX Server 3.5
Может быть кто сталкивался с подобной проблемой и сможет подсказать пути ее решения? Очень необходима ваша помощь.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: squid и социальные сети
Закрывай просто ресурсы на сквиде, если будут жаловаться сходите вместе к начальнику и спросите или уточните необходимость социальной сети, покажи логи - сколько примерно времени данное существо пребывает в контактике если начальник одобрит пребывание, то просто забей пусть дрочат....
--
При чём тут сессии только не понятно...
--
При чём тут сессии только не понятно...
//del
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
Re: squid и социальные сети
В том то и дело, что я бы так сделал
Но мы предоставляем услуги доступа в интернет для небольшой абонентской аудитории (около 1000 абонентов).
И если закроем доступ к социальным сетям, то большая часть абонентов пошлет нас подальше...
Установка "прозрачной" прокси была вынужденным шагом. Но из-за этого "упал" уровень предоставляемых услуг (а именно все тот же самый вконтакт
с вываливающимися сессиями). У многих пользователей это вызывает недовольство, потому что соц. сети стали для них альтернативной жизнью (только не называйте меня кэпом ), и мы как раз очень мешаем жить этой жизнью.
Может быть у кого-нибудь есть предположения по сабжу.
Или кто порекомендует альтернативный, как прозрачно закрывать доступ к определенным сайтам и резать баннеры?
Буду очень признателен за помощь
Но мы предоставляем услуги доступа в интернет для небольшой абонентской аудитории (около 1000 абонентов).
И если закроем доступ к социальным сетям, то большая часть абонентов пошлет нас подальше...
Установка "прозрачной" прокси была вынужденным шагом. Но из-за этого "упал" уровень предоставляемых услуг (а именно все тот же самый вконтакт
с вываливающимися сессиями). У многих пользователей это вызывает недовольство, потому что соц. сети стали для них альтернативной жизнью (только не называйте меня кэпом ), и мы как раз очень мешаем жить этой жизнью.
Может быть у кого-нибудь есть предположения по сабжу.
Или кто порекомендует альтернативный, как прозрачно закрывать доступ к определенным сайтам и резать баннеры?
Буду очень признателен за помощь
- tynix
- сержант
- Сообщения: 246
- Зарегистрирован: 2008-08-06 8:25:42
- Откуда: Красноярск
Re: squid и социальные сети
Код: Выделить всё
acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social
cat /usr/local/etc/squid/social.list
vk.com
vkontakte.ru
Don' t panic !
cd /usr/ports && make srach
make: don't know how to make srach. Stop
cd /usr/ports && make srach
make: don't know how to make srach. Stop
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
Re: squid и социальные сети
tynix писал(а):Код: Выделить всё
acl social dstdomain "/usr/local/etc/squid/social.list" always_direct allow social .... так не должен выбрасывать[/quote] Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры. При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: squid и социальные сети
alexander_d писал(а):tynix писал(а):Код: Выделить всё
acl social dstdomain "/usr/local/etc/squid/social.list" always_direct allow social .... так не должен выбрасывать[/quote] Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры. При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.[/quote] можно сделать несколько кэшей 1 фронэнд, далее в подчинении 4 беэкнда кешей, к ним коннект фронэнда через встроенный carp squid. только надо время кэширования объектов выставить корректно. сессии разные... Выбрасывать может только при недоступности 443, кстате сквид в прозрачном режиме с ним херово работает, т.е. эпическая яваскриптина ломится перед отправкой на данный порт к своему серваку проверить идентификацию, при недоступности - посылается в жопу и вылетает... что у вас там с 443?
//del
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
Re: squid и социальные сети
трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)ADRE писал(а): ...
что у вас там с 443?
сделан только для HTTP-трафика
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: squid и социальные сети
всё верно,, менять ничего не надо, посмотрите настройки iptables, правила динамические или статические?, если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.alexander_d писал(а):трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)ADRE писал(а): ...
что у вас там с 443?
сделан только для HTTP-трафика
//del
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
Re: squid и социальные сети
Не очень понял ваше предложение. HTTP-трафик, идущий с адреса xx.xx.xx.xx, перенаправляется в проксю. По выходе из прокси, адрес меняется на один из адресов прокси yy.yy.yy.yyADRE писал(а):...если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.
HTTPS-трафик как шел с xx.xx.xx.xx, так с него и идет... или этот трафик нужно натить в yy.yy.yy.yy?
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: squid и социальные сети
а если вообще не проксировать соц сети?
ядерный взрыв...смертельно красиво...жаль, что не вечно...
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: squid и социальные сети
у вас https - нитица и идёт с IP адреса сервера. иначе аудентификации при прозрачном прокси не будет.
//del
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2011-08-22 12:50:12
Re: squid и социальные сети
Все равно сессии валятся. Сделал костыль: забил запрещающие правила для определенных айпишников
в таблице FORWARD на шлюзе. И отключил squid.
в таблице FORWARD на шлюзе. И отключил squid.