forum.lissyara.su

Добавлено: **2011-08-23 17:14:30**

Здравствуйте. Вы, возможно, предположили, что очередной начинающий админ просит объяснить, как зарубить доступ к
контактику и одноклассникам

Однако имеется проблема следующего рода:
у юзеров, ходящих через сквид, периодически вываливается сессия вконтатке. Т.е. хомячок залогинился и занимается
своими делами: выкладывает фотки, строчит сообщения друзьям или смотрит видео. Вроде бы все хорошо, но в какой-то
момент он вылетает из своей сессии и ему необходимо заново логиниться. Такое положение дел вызывает бурю негодования
у хомячка, он начинает названивать, жаловаться и отрывать от других дел.
Эмпирическим путем было выяснено, что время нормальной работы варьируется в пределах 1-15 минут.
При работе с другими веб-сервисами такое поведение замечено не было.

Конфиг сквида содежит всего лишь несколько acl'ов, директив http_access и настройки кеша - то есть необходимый минимум,
работает в прозрачном режиме. Даже не нужно говорить, что Без сквида все работет нормально.
Операционка - Centos 5.6 64-bit. Установлена в виртуальную машину на ESX Server 3.5

Может быть кто сталкивался с подобной проблемой и сможет подсказать пути ее решения? Очень необходима ваша помощь.

Добавлено: **2011-08-24 11:35:02**

Закрывай просто ресурсы на сквиде, если будут жаловаться сходите вместе к начальнику и спросите или уточните необходимость социальной сети, покажи логи - сколько примерно времени данное существо пребывает в контактике если начальник одобрит пребывание, то просто забей пусть дрочат....
--
При чём тут сессии только не понятно...

Добавлено: **2011-08-24 14:55:27**

В том то и дело, что я бы так сделал

Но мы предоставляем услуги доступа в интернет для небольшой абонентской аудитории (около 1000 абонентов).
И если закроем доступ к социальным сетям, то большая часть абонентов пошлет нас подальше...
Установка "прозрачной" прокси была вынужденным шагом. Но из-за этого "упал" уровень предоставляемых услуг (а именно все тот же самый вконтакт
с вываливающимися сессиями). У многих пользователей это вызывает недовольство, потому что соц. сети стали для них альтернативной жизнью (только не называйте меня кэпом

), и мы как раз очень мешаем жить этой жизнью.
Может быть у кого-нибудь есть предположения по сабжу.
Или кто порекомендует альтернативный, как прозрачно закрывать доступ к определенным сайтам и резать баннеры?
Буду очень признателен за помощь

Добавлено: **2011-08-24 16:19:19**

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social

cat /usr/local/etc/squid/social.list
vk.com
vkontakte.ru

так не должен выбрасывать

Добавлено: **2011-08-24 17:24:58**

tynix писал(а):

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social
....
так не должен выбрасывать[/quote]

Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для
того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры.
При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.

Добавлено: **2011-08-25 8:31:21**

alexander_d писал(а):

tynix писал(а):

Код: Выделить всё

acl social dstdomain "/usr/local/etc/squid/social.list"
always_direct allow social
....
так не должен выбрасывать[/quote]

Не поможет. Директива [b]always_direct[/b] используется при наличии инфраструктуры кеширующих серверов для
того, чтобы ответ(контент) запрашивался сразу у сервера в инете, а не у серверов в составе инфраструктуры.
При наличии единственного сервака со SQUID`ом директива не оказывает вообще никакого влияния.[/quote]
можно сделать несколько кэшей 1 фронэнд, далее в подчинении 4 беэкнда кешей, к ним коннект фронэнда через встроенный carp squid. только надо время кэширования объектов выставить корректно. сессии разные... Выбрасывать может только при недоступности 443, кстате сквид в прозрачном режиме с ним херово работает, т.е. эпическая яваскриптина ломится перед отправкой на данный порт к своему серваку проверить идентификацию, при недоступности - посылается в жопу и вылетает...
что у вас там с 443?

Добавлено: **2011-08-25 12:11:55**

ADRE писал(а): ...
что у вас там с 443?

трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)
сделан только для HTTP-трафика

Добавлено: **2011-08-26 3:58:54**

alexander_d писал(а):
ADRE писал(а): ...
что у вас там с 443?
трафик HTTPS ходит свободно, но, правда, он на SQUID не перенаправлен. Редирект в iptables на стандартный порт прокси (3128)
сделан только для HTTP-трафика

всё верно,, менять ничего не надо, посмотрите настройки iptables, правила динамические или статические?, если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.

Добавлено: **2011-08-29 22:27:17**

ADRE писал(а):...если статика, хотя при предиректе должна быть статитка, и прописать в нат, чтобы пакеты при возможности возвращались туда же от куда были получены.

Не очень понял ваше предложение. HTTP-трафик, идущий с адреса xx.xx.xx.xx, перенаправляется в проксю. По выходе из прокси, адрес меняется на один из адресов прокси yy.yy.yy.yy
HTTPS-трафик как шел с xx.xx.xx.xx, так с него и идет... или этот трафик нужно натить в yy.yy.yy.yy?

Добавлено: **2011-08-30 9:41:29**

а если вообще не проксировать соц сети?

Добавлено: **2011-08-30 15:14:46**

у вас https - нитица и идёт с IP адреса сервера. иначе аудентификации при прозрачном прокси не будет.

Добавлено: **2011-09-13 12:39:24**

Все равно сессии валятся. Сделал костыль: забил запрещающие правила для определенных айпишников
в таблице FORWARD на шлюзе. И отключил squid.

forum.lissyara.su

squid и социальные сети

squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети

Re: squid и социальные сети