iptables przekierowanie na squid z wykluczeniem
witam, trochę zawiesiłem się i nie bardzo mogę ruszyć z miejsca. firewall z przekierowaniem całego ruchu na porcie 80 na squida z jednym wyjątkiem. firewall posiada dwie k. sieciowe, eth0 - zewnętrzna, eth1 wewnętrzna na której jest parę aliasów net1, net2, net3... iptables -t nat -A PREROUTING -i eth1 -s $net1 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net2 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net3 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net4 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 niestety potrzebuję zrobić więcej - ok. 20 wykluczeń np. d_host2; d_host3...d_host20 jak można to zrobić? pozdrawiam Waldek
Re: iptables przekierowanie na squid z wykluczeniem
On Wed, Apr 06, 2011 at 01:12:59PM +0200, Waldemar Kwiatkowski wrote: witam, trochę zawiesiłem się i nie bardzo mogę ruszyć z miejsca. firewall z przekierowaniem całego ruchu na porcie 80 na squida z jednym wyjątkiem. firewall posiada dwie k. sieciowe, eth0 - zewnętrzna, eth1 wewnętrzna na której jest parę aliasów net1, net2, net3... iptables -t nat -A PREROUTING -i eth1 -s $net1 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net2 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net3 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net4 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 niestety potrzebuję zrobić więcej - ok. 20 wykluczeń np. d_host2; d_host3...d_host20 jak można to zrobić? Dodać nowy łańcuh, w którym odrzucić wyjątki na początku (jedna reguła na wyjątek), a maskowanie robić przy końcu? -- Marcin Owsiany porri...@debian.org http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110406122245.GT26613@beczulka
squid i squidGuard
Witam Zainstalowałem squida i chce go ustawić tak aby wymuszał ze z Internetem można się połączyć tylko za jego pomocą - autoryzacja poprzez moduł ncsa_auth. Problem w tym, że nie wiem jak zmusić squida aby nie pozwolił sie łączyć z Internetem inaczej jak tylko przez niego. Obecnie wystarczy wyłączyć proxy w przeglądarce. To też dobra opcja ale chce wiedzieć jak to zrobić aby nie można było wybierać czy się chce używać proxy czy nie. Jest mi to potrzebne do tego aby użyć squidGuard do filtrowania np. fraz 'gry' albo 'porno' - tu z kolei nie działają mi regułki, które znalazłem w necie. Proszę bardzo o podpowiedz jak to zrobić ... i jaka regułka będzie działała z tym filtrowaniem. Chciałbym jeszcze umieć tak skonfigurować proxy aby można było z niego korzystać z zewnątrz, a nie tylko jako localhost albo dla lokalnej sieci. -- Grzegorz Kuczyński -- Sprawdz gdzie lezy snieg, czy dzialaja armatki i jak przygotowane sa stoki http://link.interia.pl/f1cfc -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid i squidGuard
Grzegorz Kuczyński pisze: Witam Zainstalowałem squida i chce go ustawić tak aby wymuszał ze z Internetem można się połączyć tylko za jego pomocą - autoryzacja poprzez moduł ncsa_auth. Problem w tym, że nie wiem jak zmusić squida aby nie pozwolił sie łączyć z Internetem inaczej jak tylko przez niego. Obecnie wystarczy wyłączyć proxy w przeglądarce.To też dobra opcja ale chce wiedzieć jak to zrobić aby nie można było wybierać czy się chce używać proxy czy nie. Transparent proxy + przekierowanie na routerze ruchu na squida (porty 80,8080,3128) Jest mi to potrzebne do tego aby użyć squidGuard do filtrowania np. fraz 'gry' albo 'porno' - tu z kolei nie działają mi regułki, które znalazłem w necie. Proszę bardzo o podpowiedz jak to zrobić ... i jaka regułka będzie działała z tym filtrowaniem. Chciałbym jeszcze umieć tak skonfigurować proxy aby można było z niego korzystać z zewnątrz, a nie tylko jako localhost albo dla lokalnej sieci. Jeśli squid jest zainstalowany na maszynie z adresem zewnętrznym to nie powinno być problemu z ustawieniem proxy w przeglądarce komputera z innej sieci, pod warunkiem że będzie umożliwione połączenie na port squida. Jeśli chcesz konkretnego rozwiązania to proponuję podanie więcej szczegółów dotyczących konfiguracji sieci i wersji squida ponieważ uruchomienie squida transparentnego w v2.5 różni sie od v2.6 i 3.0 pozdrawiam. Mariusz Ścibiorski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Etch - Squid (Transparent) - błędy
Musisz przystosować konfig do nowej wersji squida (w 2.6 zmieniły się opcje konfiguracyjne). Użyj dyrektywy http_port PORT transparent zamiast powyższych. Przeczytaj /usr/share/doc/squid/README.Debian.gz Zahaszowalem wszystkie opcje: #httpd_accel_port 80 #httpd_accel_host virtual #httpd_accel_with_proxy on #httpd_accel_uses_host_header on zmieniłem http_port 192.168.0.1:8080 na http_port 192.168.0.1:8080 transparent Po tych zmianach znów mam działającego proxy :) UWAGA! Pojawił się tylko problemem z logami, nie było logów w /var/log/access.log, dopiero po odhashowaniu cache_access_log /var/log/squid/access.log (co powinno być domyślnym miejscem???) wszystko wróciło do normy :-) -- Pozdrawiam
Etch - Squid (Transparent) - błędy
Witam, Po przejściu z sarge na etch, squid (używam jako transparent) podczas startu loguje kilka błędów: /etc/init.d/squid restart Restarting Squid HTTP proxy: squid2007/06/06 01:08:53| parseConfigFile: line 2196 unrecognized: ' httpd_accel_port 80' 2007/06/06 01:08:53| parseConfigFile: line 2197 unrecognized: ' httpd_accel_host virtual' 2007/06/06 01:08:53| parseConfigFile: line 2228 unrecognized: ' httpd_accel_with_proxy on' 2007/06/06 01:08:53| parseConfigFile: line 2251 unrecognized: ' httpd_accel_uses_host_header on ' Jak go skonfigurować do poprawnego działania? -- Pozdrawiam
Re: Etch - Squid (Transpa rent) - błędy
On Wed, Jun 06, 2007 at 01:23:09AM +0200, Jarek Buczyński wrote: Witam, Po przejściu z sarge na etch, squid (używam jako transparent) podczas startu loguje kilka błędów: /etc/init.d/squid restart Restarting Squid HTTP proxy: squid2007/06/06 01:08:53| parseConfigFile: line 2196 unrecognized: ' httpd_accel_port 80' 2007/06/06 01:08:53| parseConfigFile: line 2197 unrecognized: ' httpd_accel_host virtual' 2007/06/06 01:08:53| parseConfigFile: line 2228 unrecognized: ' httpd_accel_with_proxy on' 2007/06/06 01:08:53| parseConfigFile: line 2251 unrecognized: ' httpd_accel_uses_host_header on ' Jak go skonfigurować do poprawnego działania? Musisz przystosować konfig do nowej wersji squida (w 2.6 zmieniły się opcje konfiguracyjne). Użyj dyrektywy http_port PORT transparent zamiast powyższych. Przeczytaj /usr/share/doc/squid/README.Debian.gz -- --- Szymon Florian | szymon::concretec.pl --- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
Jakub Ambrozewicz napisał(a): Dnia 22-02-2007, czw o godzinie 23:00 +0100, Tomek napisał(a): Po tym poleceniu dostałem długą listę różnych wypisów zaczynających się przeważnie od parse_line Znaczy to, że coś w pliku konfiguracyjnym nie tak? Prawdopodobnie tak. Przydałaby się chociaż końcówka z tej listy... Nie od rzeczy byłoby też podanie wersji debiana i wersji squida. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Squid jest w wersji 2.6 zainstalowany na debilnie sarge A tu jest to co daje polecenie squid -X .. ... 2007/02/23 16:30:39| parse_line: acl Safe_ports port 80 21 443 563 70 210 1025-65535 2007/02/23 16:30:39| aclParseAclLine: Creating ACL 'Safe_ports' 2007/02/23 16:30:39| Processing: 'acl CONNECT method CONNECT' 2007/02/23 16:30:39| parse_line: acl CONNECT method CONNECT 2007/02/23 16:30:39| aclParseAclLine: Creating ACL 'CONNECT' 2007/02/23 16:30:39| Processing: 'http_access allow manager localhost' 2007/02/23 16:30:39| parse_line: http_access allow manager localhost 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'manager' 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'localhost' 2007/02/23 16:30:39| Processing: 'http_access deny manager' 2007/02/23 16:30:39| parse_line: http_access deny manager 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'manager' 2007/02/23 16:30:39| Processing: 'http_access deny !Safe_ports' 2007/02/23 16:30:39| parse_line: http_access deny !Safe_ports 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'Safe_ports' 2007/02/23 16:30:39| Processing: 'http_access deny CONNECT !SSL_ports' 2007/02/23 16:30:39| parse_line: http_access deny CONNECT !SSL_ports 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'CONNECT' 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'SSL_ports' 2007/02/23 16:30:39| Processing: 'http_access allow all' 2007/02/23 16:30:39| parse_line: http_access allow all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| Processing: 'icp_access allow all' 2007/02/23 16:30:39| parse_line: icp_access allow all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| Processing: 'miss_access allow all' 2007/02/23 16:30:39| parse_line: miss_access allow all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: cache_dir ufs /var/spool/squid 100 16 256 2007/02/23 16:30:39| parse_line: http_reply_access allow all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: htcp_access deny all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: htcp_clr_access deny all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: ident_lookup_access deny all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: reply_body_max_size 0 allow all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: dns_testnames netscape.com internic.net nlanr.net microsoft.com 2007/02/23 16:30:39| parse_line: snmp_access deny all 2007/02/23 16:30:39| aclParseAccessLine: looking for ACL name 'all' 2007/02/23 16:30:39| parse_line: wccp2_service standard 0 2007/02/23 16:30:39| wccp2_add_service_list: added service id 0 2007/02/23 16:30:39| parse_line: coredump_dir none 2007/02/23 16:30:39| getMyHostname: 'saturn' resolved into 'saturn.local' 2007/02/23 16:30:39| cachemgrRegister: registered config Pozdrawiam Tomek -Original Message- From: Jakub Ambrozewicz [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 11:20 PM To: debian-user-polish@lists.debian.org Subject: RE: Proxy + squid Dnia 22-02-2007, czw o godzinie 23:00 +0100, Tomek napisał(a): Po tym poleceniu dostałem długą listę różnych wypisów zaczynających się przeważnie od parse_line Znaczy to, że coś w pliku konfiguracyjnym nie tak? Prawdopodobnie tak. Przydałaby się chociaż końcówka z tej listy... Pozdrawiam, -- Jakub
RE: Proxy + squid
Ok. To według Ciebie jak najprościej zrobić żeby hosty z innych segmentów mogły korzystać z dobrodziejstw Internetu? A jeżeli chodzi o routing to gdzie go ustawić? Na każdym hoście z osobna czy na routerze, przez który jest dostęp do netu? Tepsa nie widzi problemu żeby korzystać przez inne łącze netu. Bezpośredni dostęp do Internetu jest niemożliwy ze względu na centralizacje i politykę zarządu (nie wszystkie segmenty mają mieć dostęp do netu a muszą mieć dostęp do domeny i aplikacji na serwerach domenowych) Bardzo proszę doradźcie jak najlepiej to skonfigurować na tym, co mam. Pozdrawiam Tomek -Original Message- From: Jacek Politowski [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 10:48 PM To: debian-user-polish@lists.debian.org Subject: Re: Proxy + squid On Thu, Feb 22, 2007 at 09:46:00PM +0100, Tomek wrote: Bramy są określone adresami IP w sieci LAN ( niestety nie można ich konfigurować) A po co możliwość konfiguracji tego? Cała sieć jest o adresacji 192.168.0.0 Segment, w którym jest wyjście do WANU to 192.168.0.1-63 maska 255.255.255.192 przy czym żeby się te hosty widziały z pozostałymi w innych segmentach to muszą mieć bramę 192.168.0.1 (...) W segmencie z WANEM wyjście jest przez adres 192.168.0.4 Błąd. Nie muszą mieć bramy 192.168.0.1. Muszą mieć skonfigurowany routing do sieci pozostałych oddziałów (czyli tych, których nie wymieniłeś z numeru) przez 192.168.0.1. Bramę, czyli defaultroute/default gateway, czy jak ją tam zwać, muszą mieć na 192.168.0.4. Potrzebuje dostarczyć Internet do segmentów bez fizycznego dojścia do łącza WAN A co na to umowa z TP? Zezwala na wychodzenie do internetu z oddziałów przez SME VPN? Zapytam również ponownie, czemu nie chcesz samodzielnego dostępu do internetu w każdej z lokalizacji? Lokalnie wszystko działa tyle, że pomiędzy oddziałami nie dział transport netBios i wszystko idzie po IP (nie po nazwie). Musisz mieć serwer WINS. Granica sieci (w sensie logicznym - IP) wyznacza Ci granicę domeny broadcastowej. Problem zaczyna się dopiero, kiedy np. z segmentu 2 chce się dostać do netu. Fizyczna bramę na xp pro mam ustawioną według bram segmentu. No i wtedy nie mogę dojść do netu, bo brama dla netu to 192.168.0.4. Pozostaje Ci jedynie jakieś tunelowanie. Lub faktycznie HTTP proxy, jeśli sam ruch HTTP wystarczy. -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
On Fri, Feb 23, 2007 at 03:48:07PM +0100, Tomek wrote: Squid jest w wersji 2.6 zainstalowany na debilnie sarge ^que? Nie pamiętam już dokładnie, ale squid w domyślnej debianowej konfiguracji w ACL akceptuje chyba tylko requesty z localhosta, a musi ze wszystkich Twoich sieci. Zaglądałeś w ogóle do konfiguracji i dokumentacji squida? -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
On Fri, Feb 23, 2007 at 03:57:11PM +0100, Tomek wrote: Ok. Nie toppostuj. To według Ciebie jak najprościej zrobić żeby hosty z innych segmentów mogły korzystać z dobrodziejstw Internetu? Jeśli faktycznie nie możesz zwrócić się do TP o zmianę konfiguracji ich routerów w ramach SME VPN, a samo HTTP Ci wystarczy, to proxy będzie najszybsze do skonfigurowania. (A znasz chociaż konfigurację routerów TP? Wiesz jakie mają tablice routingu? Albo chociaż możesz się tego dowiedzieć? Może centrala ma jakiś defaultroute, tylko na innym adresie niż Twój gateway do internetu? Wtedy problem masz w zasadzie z głowy.) A jeżeli chodzi o routing to gdzie go ustawić? Na każdym hoście z osobna czy na routerze, przez który jest dostęp do netu? Tam gdzie jest potrzebny. Może jednak zatrudnicie jakiegoś admina? Skoro nawet jakąś politykę macie, to może przyda się ktoś, kto ją będzie realizował. Skoro jedyne wyjście poza LAN we wszystkich oddziałach poza centralą jest przez routery TP z usługi SME VPN, to w tychże oddziałach wiele możliwości konfiguracji routingu nie masz... A skoro nie masz też wpływu na konfigurację routerów TP, to jedyne co możesz zrobić, to w centrali na każdym hoście ustawić routing default do internetu i trasy przez router SME VPN do sieci pozostałych oddziałów firmy. Możesz jeszcze kombinować z ustawieniem tylko defaultroute - via router internetowy, a na nim ustawiać trasy do pozostałych oddziałów. Ale jak przyjdzie Ci walczyć z ICMP redirects (także z punktu widzenia bezpieczeństwa), to możesz mieć trudności z opanowaniem sytuacji (niektóre urządzenia nie rozumieją redirectów, a z kolei bez redirectów też nie zawsze musi działać - niektóre routery/firewalle nie lubią wypuszczać pakietu tym samym interfejsem, którym go przyjęły). Tyle z punktu widzenia samego routingu. Tepsa nie widzi problemu żeby korzystać przez inne łącze netu. Cokolwiek miałeś tu na myśli. Bezpośredni dostęp do Internetu jest niemożliwy ze względu na centralizacje i politykę zarządu (nie wszystkie segmenty mają mieć dostęp do netu a muszą mieć dostęp do domeny i aplikacji na serwerach domenowych) Kontakt w ramach sieci korporacyjnej zapewnia Ci SME VPN, czyli dostęp do domeny i aplikacji na serwerach domenowych masz generalnie załatwiony. Niektóre hosty? Tu grubsza sprawa, bo wszystko zależy od tego, co deklaruje Wasza polityka i zgodnie z jej zapisami musicie dobierać rozwiązania. Wystarczy ruch HTTP do internetu dla wybranych użytkowników? To może wystarczy Squid z uwierzytelnieniem (Samba, ntlm_auth?). Wszystko zależy od tego co _dokładnie_ chcesz osiągnąć. PPPoE, czy też inny tunel np. IPSecowy da więcej możliwości, ale i routing skomplikuje. A centralizacja (w sensie centralne zarządzanie i egzekwowanie polityki dostępu np. do internetu) nie wyklucza oddzielnych styków do internetu w wielu lokalizacjach. Nie musisz wychodzić jednym łączem w centralnej lokalizacji. Globalne zarządzanie polityką przy wielu stykach do internetu też jest możliwe choćby w rozwiązaniach Checkpoint, czy FortiNet (to drugie jest z tych nieco bardziej dla śmiertelników dostępnych ;-) -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Wielkie dzięki za podpowiedź i objaśnienie. Pozwolę sobie na zabrać wam jeszcze trochę czasu jak będę miał problemy z konfiguracją. Przepraszam za wszystkie literówki, które wkradły się do tekstu:) Pozdrawiam Tomek -Original Message- From: Jacek Politowski [mailto:[EMAIL PROTECTED] Sent: Friday, February 23, 2007 8:17 PM To: debian-user-polish@lists.debian.org Subject: Re: Proxy + squid On Fri, Feb 23, 2007 at 03:57:11PM +0100, Tomek wrote: Ok. Nie toppostuj. To według Ciebie jak najprościej zrobić żeby hosty z innych segmentów mogły korzystać z dobrodziejstw Internetu? Jeśli faktycznie nie możesz zwrócić się do TP o zmianę konfiguracji ich routerów w ramach SME VPN, a samo HTTP Ci wystarczy, to proxy będzie najszybsze do skonfigurowania. (A znasz chociaż konfigurację routerów TP? Wiesz jakie mają tablice routingu? Albo chociaż możesz się tego dowiedzieć? Może centrala ma jakiś defaultroute, tylko na innym adresie niż Twój gateway do internetu? Wtedy problem masz w zasadzie z głowy.) A jeżeli chodzi o routing to gdzie go ustawić? Na każdym hoście z osobna czy na routerze, przez który jest dostęp do netu? Tam gdzie jest potrzebny. Może jednak zatrudnicie jakiegoś admina? Skoro nawet jakąś politykę macie, to może przyda się ktoś, kto ją będzie realizował. Skoro jedyne wyjście poza LAN we wszystkich oddziałach poza centralą jest przez routery TP z usługi SME VPN, to w tychże oddziałach wiele możliwości konfiguracji routingu nie masz... A skoro nie masz też wpływu na konfigurację routerów TP, to jedyne co możesz zrobić, to w centrali na każdym hoście ustawić routing default do internetu i trasy przez router SME VPN do sieci pozostałych oddziałów firmy. Możesz jeszcze kombinować z ustawieniem tylko defaultroute - via router internetowy, a na nim ustawiać trasy do pozostałych oddziałów. Ale jak przyjdzie Ci walczyć z ICMP redirects (także z punktu widzenia bezpieczeństwa), to możesz mieć trudności z opanowaniem sytuacji (niektóre urządzenia nie rozumieją redirectów, a z kolei bez redirectów też nie zawsze musi działać - niektóre routery/firewalle nie lubią wypuszczać pakietu tym samym interfejsem, którym go przyjęły). Tyle z punktu widzenia samego routingu. Tepsa nie widzi problemu żeby korzystać przez inne łącze netu. Cokolwiek miałeś tu na myśli. Bezpośredni dostęp do Internetu jest niemożliwy ze względu na centralizacje i politykę zarządu (nie wszystkie segmenty mają mieć dostęp do netu a muszą mieć dostęp do domeny i aplikacji na serwerach domenowych) Kontakt w ramach sieci korporacyjnej zapewnia Ci SME VPN, czyli dostęp do domeny i aplikacji na serwerach domenowych masz generalnie załatwiony. Niektóre hosty? Tu grubsza sprawa, bo wszystko zależy od tego, co deklaruje Wasza polityka i zgodnie z jej zapisami musicie dobierać rozwiązania. Wystarczy ruch HTTP do internetu dla wybranych użytkowników? To może wystarczy Squid z uwierzytelnieniem (Samba, ntlm_auth?). Wszystko zależy od tego co _dokładnie_ chcesz osiągnąć. PPPoE, czy też inny tunel np. IPSecowy da więcej możliwości, ale i routing skomplikuje. A centralizacja (w sensie centralne zarządzanie i egzekwowanie polityki dostępu np. do internetu) nie wyklucza oddzielnych styków do internetu w wielu lokalizacjach. Nie musisz wychodzić jednym łączem w centralnej lokalizacji. Globalne zarządzanie polityką przy wielu stykach do internetu też jest możliwe choćby w rozwiązaniach Checkpoint, czy FortiNet (to drugie jest z tych nieco bardziej dla śmiertelników dostępnych ;-) -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Proxy + squid
Witam wszystkich Próbuje uruchomić, squida aby mieć serwer proxy, który w założeniu ma działać na poziomie aplikacji. Mam sieć o jednej adresacji, ale podzieloną na kilka segmentów i tylko w jednym wyjście na zewnątrz, nie mogę w hostah (win XP PRO) fizycznie wskazać od razu bramy wyjściowej na zewnątrz ( bo jak to zrobię to nie będą widziały bramy do innych segmentów) musze to zrobić z poziomu przeglądarek i klientów pocztowych. Podczas tych manewrów napotkałem problemy: 1. Zainstalowałem squida za pomocą polecenia apt-get install squid i niby wszystko ok., ale nie bardzo wiem jak sprawdzić czy działa, po wydaniu polecenia ps -aux nie ma go w spisie uruchomionych demonów:-( 2. Czytałem trochę w sieci na temat konfiguracji squida, ale niestety nigdzie nie znalazłem jak go skonfigurować do podobnego zastosowania - może ktoś z szanownych grupowiczów podeśle mi linka albo jakieś informacje na ten temat Może źle myślę to proszę o podpowiedź jak najlepiej to rozwiązać. Za wszelkie wskazówki z góry dziękuję Pozdrawiam TK
Re: Proxy + squid
On Thu, Feb 22, 2007 at 04:12:55PM +0100, Tomek wrote: 1. Zainstalowałem squida za pomocą polecenia apt-get install squid i niby wszystko ok., ale nie bardzo wiem jak sprawdzić czy działa, po wydaniu polecenia ps ?aux nie ma go w spisie uruchomionych demonówL Najpierw popatrz logi. -- Pozdrawiam, Andrzej Kluz www.fajnysklep.pl GG: 36794 ICQ: 51153036 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
On Thu, Feb 22, 2007 at 04:12:55PM +0100, Tomek wrote: Próbuje uruchomić, squida aby mieć serwer proxy, który w założeniu ma działać na poziomie aplikacji. Co to znaczy na poziomie aplikacji??? Gdzie chciałbyś inaczej umieścić squida? W warstwie fizycznej? :-o Mam sieć o jednej adresacji, ale podzieloną na kilka segmentów i tylko w jednym wyjście na zewnątrz, nie mogę w hostah (win XP PRO) fizycznie wskazać od razu bramy wyjściowej na zewnątrz ( bo jak to zrobię to nie będą widziały bramy do innych segmentów) Od tego właśnie jest routing do różnych sieci. Kto Ci broni mieć ustawione na sztywno trasy do swoich sieci przez właściwe routery, a domyślną trasę jeszcze gdzieś indziej? musze to zrobić z poziomu przeglądarek i klientów pocztowych. No, z klienta pocztowego ciężko Ci będzie używać squida. 1.Zainstalowałem squida za pomocą polecenia apt-get install squid i niby wszystko ok., ale nie bardzo wiem jak sprawdzić czy działa, po wydaniu polecenia ps -aux nie ma go w spisie uruchomionych demonów:-( ps -C squid A tak poza tym, wystartowałeś demona? Jest ustawiony, żeby się uruchamiał podczas startu systemu? 2.Czytałem trochę w sieci na temat konfiguracji squida, ale niestety nigdzie nie znalazłem jak go skonfigurować do podobnego zastosowania Ale do jakiego zastosowania??? Piszesz tak niejasno, że nie wiadomo o co Ci chodzi. - może ktoś z szanownych grupowiczów podeśle mi linka albo jakieś informacje na ten temat Może źle myślę to proszę o podpowiedź jak najlepiej to rozwiązać. Za wszelkie wskazówki z góry dziękuję Pisz jaśniej o co Ci chodzi. -- [] Borginator 2: Assimiltaion Day [ [EMAIL PROTECTED] ] [ http://epsilon.eu.org/ ] [] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Wyjaśniając: Sieć jest oparta o rozwiązanie SME dostarczone przez TPS-e. Jest 5 podsieci w tej samej adresacji i tylko w jednej wyjście na zewnątrz. Pomiędzy segmentami są bramy ( niestety nie mam wpływu na ich konfiguracje). Żeby hosty z jednego segmentu widziały inne hosty ustawiam im bramę. W segmencie gdzie jest wyjście do wanu są dwie bramy. Problem mam z wypuszczeniem do wanu ruchu z segmentów niemających fizycznego dostępu do wan. Chciałem to rozwiązać za pomocą squida. Z routingiem walczyłem, ale nie udało mi się tego zrobić. Za wszelkie sugestie dotyczące rozwiązania problemu z góry dziękuję. Pozdrawiam Tomek -Original Message- From: Mariusz Kruk [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 5:56 PM To: debian-user-polish@lists.debian.org Subject: Re: Proxy + squid On Thu, Feb 22, 2007 at 04:12:55PM +0100, Tomek wrote: Próbuje uruchomić, squida aby mieć serwer proxy, który w założeniu ma działać na poziomie aplikacji. Co to znaczy na poziomie aplikacji??? Gdzie chciałbyś inaczej umieścić squida? W warstwie fizycznej? :-o Mam sieć o jednej adresacji, ale podzieloną na kilka segmentów i tylko w jednym wyjście na zewnątrz, nie mogę w hostah (win XP PRO) fizycznie wskazać od razu bramy wyjściowej na zewnątrz ( bo jak to zrobię to nie będą widziały bramy do innych segmentów) Od tego właśnie jest routing do różnych sieci. Kto Ci broni mieć ustawione na sztywno trasy do swoich sieci przez właściwe routery, a domyślną trasę jeszcze gdzieś indziej? musze to zrobić z poziomu przeglądarek i klientów pocztowych. No, z klienta pocztowego ciężko Ci będzie używać squida. 1.Zainstalowałem squida za pomocą polecenia apt-get install squid i niby wszystko ok., ale nie bardzo wiem jak sprawdzić czy działa, po wydaniu polecenia ps -aux nie ma go w spisie uruchomionych demonów:-( ps -C squid A tak poza tym, wystartowałeś demona? Jest ustawiony, żeby się uruchamiał podczas startu systemu? 2.Czytałem trochę w sieci na temat konfiguracji squida, ale niestety nigdzie nie znalazłem jak go skonfigurować do podobnego zastosowania Ale do jakiego zastosowania??? Piszesz tak niejasno, że nie wiadomo o co Ci chodzi. - może ktoś z szanownych grupowiczów podeśle mi linka albo jakieś informacje na ten temat Może źle myślę to proszę o podpowiedź jak najlepiej to rozwiązać. Za wszelkie wskazówki z góry dziękuję Pisz jaśniej o co Ci chodzi. -- [] Borginator 2: Assimiltaion Day [ [EMAIL PROTECTED] ] [ http://epsilon.eu.org/ ] [] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Wydaje się, że squid nie jest uruchomiony (myślałem, że załatwia to apt-get). Niestety próba uruchomienia kończy się tym, że on działa tylko kilka sekund później już nie działa. Natomiast plik loga się nie utworzył. Gdzie mogę szukać rozwiązania tego problemu? Pozdrawiam Tomek -Original Message- From: Mariusz Kruk [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 5:56 PM To: debian-user-polish@lists.debian.org Subject: Re: Proxy + squid On Thu, Feb 22, 2007 at 04:12:55PM +0100, Tomek wrote: Próbuje uruchomić, squida aby mieć serwer proxy, który w założeniu ma działać na poziomie aplikacji. Co to znaczy na poziomie aplikacji??? Gdzie chciałbyś inaczej umieścić squida? W warstwie fizycznej? :-o Mam sieć o jednej adresacji, ale podzieloną na kilka segmentów i tylko w jednym wyjście na zewnątrz, nie mogę w hostah (win XP PRO) fizycznie wskazać od razu bramy wyjściowej na zewnątrz ( bo jak to zrobię to nie będą widziały bramy do innych segmentów) Od tego właśnie jest routing do różnych sieci. Kto Ci broni mieć ustawione na sztywno trasy do swoich sieci przez właściwe routery, a domyślną trasę jeszcze gdzieś indziej? musze to zrobić z poziomu przeglądarek i klientów pocztowych. No, z klienta pocztowego ciężko Ci będzie używać squida. 1.Zainstalowałem squida za pomocą polecenia apt-get install squid i niby wszystko ok., ale nie bardzo wiem jak sprawdzić czy działa, po wydaniu polecenia ps -aux nie ma go w spisie uruchomionych demonów:-( ps -C squid A tak poza tym, wystartowałeś demona? Jest ustawiony, żeby się uruchamiał podczas startu systemu? 2.Czytałem trochę w sieci na temat konfiguracji squida, ale niestety nigdzie nie znalazłem jak go skonfigurować do podobnego zastosowania Ale do jakiego zastosowania??? Piszesz tak niejasno, że nie wiadomo o co Ci chodzi. - może ktoś z szanownych grupowiczów podeśle mi linka albo jakieś informacje na ten temat Może źle myślę to proszę o podpowiedź jak najlepiej to rozwiązać. Za wszelkie wskazówki z góry dziękuję Pisz jaśniej o co Ci chodzi. -- [] Borginator 2: Assimiltaion Day [ [EMAIL PROTECTED] ] [ http://epsilon.eu.org/ ] [] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
Tomek wrote: Wyjaśniając: Sieć jest oparta o rozwiązanie SME dostarczone przez TPS-e. Jest 5 podsieci w tej samej adresacji i tylko w jednej wyjście na zewnątrz. Pomiędzy segmentami są bramy ( niestety nie mam wpływu na ich konfiguracje). Żeby hosty z jednego segmentu widziały inne hosty ustawiam im bramę. W segmencie gdzie jest wyjście do wanu są dwie bramy. Problem mam z wypuszczeniem do wanu ruchu z segmentów niemających fizycznego dostępu do wan. Chciałem to rozwiązać za pomocą squida. Z routingiem walczyłem, ale nie udało mi się tego zrobić. Za wszelkie sugestie dotyczące rozwiązania problemu z góry dziękuję. PPPoE? pozdrawiam, Robert Tasarz -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proxy + squid
On Thu, Feb 22, 2007 at 07:35:38PM +0100, Tomek wrote: Sieć jest oparta o rozwiązanie SME dostarczone przez TPS-e. To jeszcze wytłumacz, co to jest za usługa, bo na stronach TP nic ciekawego znaleźć nie można (czyt. w ogóle nic). Skąd więc mamy wiedzieć co tam u siebie masz? Z jakiegoś dziwnego forum wyczytałem tylko, że SME VPN to polaczenie firm bez internetu, ale co sobie TP zastrzega w umowie, a tym bardziej co wg umowy TP zapewnia, to wielka niewiadoma. Jest 5 podsieci w tej samej adresacji i tylko w jednej wyjście na zewnątrz. Podaj konkretnie adresy sieci i maski oraz adresy routerów TP (bram) w każdej lokalizacji, bo stwierdzenie podsieci w tej samej adresacji jest mało konkretne lub po prostu dopisek w tej samej adresacji jest zupełnie zbędny. Pomiędzy segmentami są bramy ( niestety nie mam wpływu na ich konfiguracje). Trzeba było brać IP VPN, tam podobno masz ;- ATSD, jakie są relacje cenowe między SME VPN a IP VPN? I jakie przepustowości kanałów VPN można w SME VPN otrzymać? Żeby hosty z jednego segmentu widziały inne hosty ustawiam im bramę. W segmencie gdzie jest wyjście do wanu są dwie bramy. Czyli co konkretnie i gdzie ustawiasz? Jaka usługa (podejrzewam, że również coś TP) realizuje wyjście do wanu? Problem mam z wypuszczeniem do wanu ruchu z segmentów niemających fizycznego dostępu do wan. Jeśli TP zastrzega sobie, że pomiędzy oddziałami firmy routuje tylko pakiety pochodzące z jednego i idące do drugiego oddziału, to w sumie nie ma się co dziwić. Możesz oczywiście proxy w centrali postawić, ale wszystkiego nim nie załatwisz, choć kto wie - proxy może wystarczyć. Podejrzewam, że da się coś załatwić tunelami IPSec, PPPoE, OpenVPN lub czymkolwiek innym - byle z punktu widzenia routerów TP pakiety latały z adresami lokalnymi. Pytanie co umowa z TP określa jako ruch dozwolony (przepuszczany przez ich routery), bo może dowolne znane im formy tunelowania nie są ruchem akceptowalnym i nie są przepuszczane przez routery TP. Żeby to określić, musisz odpowiedzieć na dwa pierwsze postawione przeze mnie pytania. Pozostaje jeszcze rozwiązanie typu 'httptunnel' ożeniony z jakimś ppp lub 'ptunnel' - nie używałem, nie jestem pewny, ale wyglądają, jakby mogły załatwić sprawę - pod warunkiem, że między oddziałami HTTP przechodzi. Chciałem to rozwiązać za pomocą squida. Z routingiem walczyłem, ale nie udało mi się tego zrobić. Część rozwiążesz (czyli mw. web), ale całego ruchu przez HTTP proxy nie puścisz - nie po to one są, że tak sparafrazuję współczesnego klasyka. I jeszcze na koniec pytanie - czemu niezależny dostęp do internetu w każdej lokalizacji nie wchodzi w grę? -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
To tak: Sieć IP VPN jest 5 krotnie droższa od SME VPN. Sieć SME łączy oddziały firmy po przez swoją sieć strukturalną. Bramy są określone adresami IP w sieci LAN ( niestety nie można ich konfigurować) Cała sieć jest o adresacji 192.168.0.0 Segment, w którym jest wyjście do WANU to 192.168.0.1-63 maska 255.255.255.192 przy czym żeby się te hosty widziały z pozostałymi w innych segmentach to muszą mieć bramę 192.168.0.1 Pozostałe segmenty maja po 32 adresy i są skonfigurowane tak, że pierwszy adres segmentu jest bramą. W segmencie z WANEM wyjście jest przez adres 192.168.0.4 Potrzebuje dostarczyć Internet do segmentów bez fizycznego dojścia do łącza WAN Nie musze wszystkiego puszczać przez proxy zależy mi przede wszystkim na http. Lokalnie wszystko działa tyle, że pomiędzy oddziałami nie dział transport netBios i wszystko idzie po IP (nie po nazwie). Działa też domena pod warunkiem, że serwer z domena będzie miał ustawioną bramę segmentu a wszystkie hosty odpowiednie bramy swoich segmentów. Problem zaczyna się dopiero, kiedy np. z segmentu 2 chce się dostać do netu. Fizyczna bramę na xp pro mam ustawioną według bram segmentu. No i wtedy nie mogę dojść do netu, bo brama dla netu to 192.168.0.4. Pozdrawiam Tomek -Original Message- From: Jacek Politowski [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 8:59 PM To: debian-user-polish@lists.debian.org Subject: Re: Proxy + squid On Thu, Feb 22, 2007 at 07:35:38PM +0100, Tomek wrote: Sieć jest oparta o rozwiązanie SME dostarczone przez TPS-e. To jeszcze wytłumacz, co to jest za usługa, bo na stronach TP nic ciekawego znaleźć nie można (czyt. w ogóle nic). Skąd więc mamy wiedzieć co tam u siebie masz? Z jakiegoś dziwnego forum wyczytałem tylko, że SME VPN to polaczenie firm bez internetu, ale co sobie TP zastrzega w umowie, a tym bardziej co wg umowy TP zapewnia, to wielka niewiadoma. Jest 5 podsieci w tej samej adresacji i tylko w jednej wyjście na zewnątrz. Podaj konkretnie adresy sieci i maski oraz adresy routerów TP (bram) w każdej lokalizacji, bo stwierdzenie podsieci w tej samej adresacji jest mało konkretne lub po prostu dopisek w tej samej adresacji jest zupełnie zbędny. Pomiędzy segmentami są bramy ( niestety nie mam wpływu na ich konfiguracje). Trzeba było brać IP VPN, tam podobno masz ;- ATSD, jakie są relacje cenowe między SME VPN a IP VPN? I jakie przepustowości kanałów VPN można w SME VPN otrzymać? Żeby hosty z jednego segmentu widziały inne hosty ustawiam im bramę. W segmencie gdzie jest wyjście do wanu są dwie bramy. Czyli co konkretnie i gdzie ustawiasz? Jaka usługa (podejrzewam, że również coś TP) realizuje wyjście do wanu? Problem mam z wypuszczeniem do wanu ruchu z segmentów niemających fizycznego dostępu do wan. Jeśli TP zastrzega sobie, że pomiędzy oddziałami firmy routuje tylko pakiety pochodzące z jednego i idące do drugiego oddziału, to w sumie nie ma się co dziwić. Możesz oczywiście proxy w centrali postawić, ale wszystkiego nim nie załatwisz, choć kto wie - proxy może wystarczyć. Podejrzewam, że da się coś załatwić tunelami IPSec, PPPoE, OpenVPN lub czymkolwiek innym - byle z punktu widzenia routerów TP pakiety latały z adresami lokalnymi. Pytanie co umowa z TP określa jako ruch dozwolony (przepuszczany przez ich routery), bo może dowolne znane im formy tunelowania nie są ruchem akceptowalnym i nie są przepuszczane przez routery TP. Żeby to określić, musisz odpowiedzieć na dwa pierwsze postawione przeze mnie pytania. Pozostaje jeszcze rozwiązanie typu 'httptunnel' ożeniony z jakimś ppp lub 'ptunnel' - nie używałem, nie jestem pewny, ale wyglądają, jakby mogły załatwić sprawę - pod warunkiem, że między oddziałami HTTP przechodzi. Chciałem to rozwiązać za pomocą squida. Z routingiem walczyłem, ale nie udało mi się tego zrobić. Część rozwiążesz (czyli mw. web), ale całego ruchu przez HTTP proxy nie puścisz - nie po to one są, że tak sparafrazuję współczesnego klasyka. I jeszcze na koniec pytanie - czemu niezależny dostęp do internetu w każdej lokalizacji nie wchodzi w grę? -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Po tym poleceniu dostałem długą listę różnych wypisów zaczynających się przeważnie od parse_line Znaczy to, że coś w pliku konfiguracyjnym nie tak? Pozdrawiam Tomek -Original Message- From: Jakub Ambrozewicz [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 10:49 PM To: Tomek Subject: RE: Proxy + squid Dnia 22-02-2007, czw o godzinie 20:18 +0100, Tomek napisał(a): Niestety próba uruchomienia kończy się tym, że on działa tylko kilka sekund później już nie działa. Gdzie mogę szukać rozwiązania tego problemu? Uruchom squida jako root z parametrem -X i zobacz dlaczego się nie włącza. Pozdrawiam, -- Jakub
Re: Proxy + squid
On Thu, Feb 22, 2007 at 09:46:00PM +0100, Tomek wrote: Bramy są określone adresami IP w sieci LAN ( niestety nie można ich konfigurować) A po co możliwość konfiguracji tego? Cała sieć jest o adresacji 192.168.0.0 Segment, w którym jest wyjście do WANU to 192.168.0.1-63 maska 255.255.255.192 przy czym żeby się te hosty widziały z pozostałymi w innych segmentach to muszą mieć bramę 192.168.0.1 (...) W segmencie z WANEM wyjście jest przez adres 192.168.0.4 Błąd. Nie muszą mieć bramy 192.168.0.1. Muszą mieć skonfigurowany routing do sieci pozostałych oddziałów (czyli tych, których nie wymieniłeś z numeru) przez 192.168.0.1. Bramę, czyli defaultroute/default gateway, czy jak ją tam zwać, muszą mieć na 192.168.0.4. Potrzebuje dostarczyć Internet do segmentów bez fizycznego dojścia do łącza WAN A co na to umowa z TP? Zezwala na wychodzenie do internetu z oddziałów przez SME VPN? Zapytam również ponownie, czemu nie chcesz samodzielnego dostępu do internetu w każdej z lokalizacji? Lokalnie wszystko działa tyle, że pomiędzy oddziałami nie dział transport netBios i wszystko idzie po IP (nie po nazwie). Musisz mieć serwer WINS. Granica sieci (w sensie logicznym - IP) wyznacza Ci granicę domeny broadcastowej. Problem zaczyna się dopiero, kiedy np. z segmentu 2 chce się dostać do netu. Fizyczna bramę na xp pro mam ustawioną według bram segmentu. No i wtedy nie mogę dojść do netu, bo brama dla netu to 192.168.0.4. Pozostaje Ci jedynie jakieś tunelowanie. Lub faktycznie HTTP proxy, jeśli sam ruch HTTP wystarczy. -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proxy + squid
Dnia 22-02-2007, czw o godzinie 23:00 +0100, Tomek napisał(a): Po tym poleceniu dostałem długą listę różnych wypisów zaczynających się przeważnie od parse_line Znaczy to, że coś w pliku konfiguracyjnym nie tak? Prawdopodobnie tak. Przydałaby się chociaż końcówka z tej listy... Pozdrawiam, -- Jakub
[ot] Re: Squid 2.6
Tomasz T. Ciaszczyk napisał(a): Squid Cache (Version 2.6.STABLE1): Terminated abnormally. Nie polecam tej wersji. Dzisiaj mi sie zaktualizowaly squidy i sa problemy. A jak wygląda sprawa z transparent proxy w wersji 2.6.. Ponoć trochę inaczej się to konfiguruje? chciałbym uzyskać jakieś opinie zanim sam zainstaluję nową wersję. Pozdrawiam. Mariusz Ścibiorski. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Squid 2.6 i patch HIT_MISS
(1) http://kadzbi.ksieze.one.pl/squid_qos.html
(2) http://sed.pl/qos/
Z racji tego, że Debian oferuje już nowe źródełka Squida to stare patche
się nie nakładają.
Wziąłem zatem patch z pierwszego linku i poprawiłem, tak żeby się
nakładał na najnowszego Squida. W załączniku ten patch.
Chciałbym usłyszeć jakąś ocenę tego co zrobiłem, gdyż nie sprowadziło
się to tylko do zmiany numerków linii... Pierwsze dwa patche (na
pierwszy plik) są dla mnie mniej więcej zrozumiałe. Natomiast nie wiem
czy potrzebne są kolejne łatki.
Po kompilacji otrzymałem taki efekt:
I: Successfully built in /root/squid/squid-2.6.1
I: Installing debs built from /root/squid/squid-2.6.1 ..
Zaznaczenie poprzednio niezaznaczonego pakietu squid-common.
(Odczytywanie bazy danych ... 30010 plików i katalogów obecnie
zainstalowanych.)
Rozpakowanie squid-common (z .../squid-common_2.6.1-3_all.deb) ...
Zaznaczenie poprzednio niezaznaczonego pakietu squid.
Rozpakowanie squid (z .../squid/squid_2.6.1-3_i386.deb) ...
Zaznaczenie poprzednio niezaznaczonego pakietu squidclient.
Rozpakowanie squidclient (z .../squidclient_2.6.1-3_i386.deb) ...
Zaznaczenie poprzednio niezaznaczonego pakietu squid-cgi.
Rozpakowanie squid-cgi (z .../squid-cgi_2.6.1-3_i386.deb) ...
Konfigurowanie squid-common (2.6.1-3) ...
Konfigurowanie squid (2.6.1-3) ...
Creating squid spool directory structure
FATAL: Could not determine fully qualified hostname. Please set
'visible_hostname'
Squid Cache (Version 2.6.STABLE1): Terminated abnormally.
CPU Usage: 0.009 seconds = 0.007 user + 0.002 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
/var/lib/dpkg/info/squid.postinst: line 133: 29555 Przerwane
/usr/sbin/squid -z
Restarting Squid HTTP proxy: squid* Creating squid spool directory structure
FATAL: Could not determine fully qualified hostname. Please set
'visible_hostname'
Squid Cache (Version 2.6.STABLE1): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.004 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
/etc/init.d/squid: line 64: 29586 Przerwane $DAEMON -z
FATAL: Could not determine fully qualified hostname. Please set
'visible_hostname'
Squid Cache (Version 2.6.STABLE1): Terminated abnormally.
CPU Usage: 0.012 seconds = 0.009 user + 0.003 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
/etc/init.d/squid: line 64: 29588 Przerwane
start-stop-daemon --quiet --start --pidfile $PIDFILE --chuid $CHUID
--exec $DAEMON -- $SQUID_ARGS /dev/null
failed!
Konfigurowanie squidclient (2.6.1-3) ...
Konfigurowanie squid-cgi (2.6.1-3) ...
I: Successfully installed debs.
Po poprawieniu konfigu dostałem taki efekt:
spirit:~/squid# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid* Creating squid spool directory structure
2006/07/25 17:40:22| Creating Swap Directories
.
spirit:~/squid# ps aux | grep squid
root 29719 0.0 0.0 4584 640 ?Ss 17:40 0:00
/usr/sbin/squid -D -sYC
proxy29721 0.0 0.6 7828 4768 ?S17:40 0:00 (squid)
-D -sYC
Wygląda na to, że wszystko działa. Jakbyście mogli przetestować to co
powstało i czy prawidłowo znaczy pakiety byłbym wdzięczny.
No i jeszcze jedno... obciąć patch do linii 14 (do minimum zgodnie z
patchem ze strony(2)), czy reszta też jest dobra?
Pozdrawiam
Konrad Cempura
diff -r -c squid-2.6.x/src/client_side.c squid-2.6.patched/src/client_side.c
*** squid-2.6.x/src/client_side.c Tue Jul 25 16:38:51 2006
--- squid-2.6.patched/src/client_side.c Tue Jul 25 16:38:52 2006
***
*** 3017,3021
--- 3017,3024
/* Avoid copying to MemBuf for non-range requests */
http-out.offset += size;
+ { int tos=isTcpHit(http-log_type) ? 0 : 8;
+ setsockopt(fd,SOL_IP,IP_TOS,tos,4);
+ }
comm_write(fd, buf, size, clientWriteBodyComplete, http, NULL);
/* NULL because clientWriteBodyComplete frees it */
return;
***
*** 3050,3055
--- 3050,3058
memBufAppend(mb, buf, size);
}
/* write */
+ { int tos=isTcpHit(http-log_type) ? 0 : 8;
+ setsockopt(fd,SOL_IP,IP_TOS,tos,4);
+ }
comm_write_mbuf(fd, mb, clientWriteComplete, http);
/* if we don't do it, who will? */
memFree(buf, MEM_CLIENT_SOCK_BUF);
diff -r -c squid-2.6.x/src/ftp.c squid-2.6.patched/src/ftp.c
*** squid-2.6.x/src/ftp.c Tue Jul 25 16:38:51 2006
--- squid-2.6.patched/src/ftp.c Tue Jul 25 16:38:52 2006
***
*** 1151,1156
ftpState-ctrl.last_command = xstrdup(Connect to server);
ftpState-ctrl.buf = memAllocBuf(4096, ftpState-ctrl.size);
ftpState-ctrl.offset = 0;
! ftpState-data.buf = memAllocBuf(SQUID_TCP_SO_RCVBUF,
ftpState-data.size);
ftpScheduleReadControlReply(ftpState, 0);
}
--- 1151,1156
ftpState-ctrl.freefunc = memFree4K;
ftpState-ctrl.size = 4096;
ftpState-ctrl.offset = 0;
! ftpState-data.buf
[ot] Re: Squid 2.6
Witam, Dnia wto, lip 25, 2006 at 05:54:25 CEST, Konrad Cempura napisał: Squid Cache (Version 2.6.STABLE1): Terminated abnormally. Nie polecam tej wersji. Dzisiaj mi sie zaktualizowaly squidy i sa problemy. Jul 25 20:34:59 main squid[17761]: assertion failed: HttpHeader.c:576: 0 co sie konczy ubiciem i zrestartowaniem squida, przez co strony nie laduje sie w pelni Problem opisywany na squid-users, ale nie widzialem pelnego (dzialajacego) rozwiazania. U mnie o dziwo problem dotyczy tylko Mozilla 1.7.12 (pod konquerror i FF nie wystepuje). Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciacho#ciacho%pl ciacho#jabber%org http://ciacho.pl :. .: Kropla miłości znaczy więcej niż ocean rozumu. :. .:Blaise Pascal:. pgpE4MGSNxW0m.pgp Description: PGP signature
Re: squid i odswiezanie zawartosci stron
Witaj Tomasz, W Twoim liście datowanym 20 stycznia 2006 (16:08:01) można przeczytać: refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 czy przypadkiem tutaj nie ma bledu w zapisie z tymi * gwiazdkami ??? TJS Nie, to prawidłowy regexp. nie powinno byc raczej: refresh_pattern -i (*.jpg$|*.gif$) 0 50% 28800 TJS Jeśli chcesz uwzględnić kropkę, aby mieć absolutną pewność, że TJS trafiasz tylko rozszerzenia to powinno być raczej: TJS.*\.roszerzenie$ TJS rzadko jednak ma się do czynienia z plikami, które jednocześnie nie mają TJS żadnego rozszerzenia i ich nazwa kończy się na 'jpg' czy 'gif'. ;) to wytlumacz mi dlaczego gdy zmienilem na jednej z www gif-a to moj squid przez 2 dni podawal mi starego caly czas ? mialem caly czas zapis ktory wedlog ciebie jest prawidlowy refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 -- Pozdrowienia, bieniu gras -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid i odswiezanie zawartosci stron
Witaj bieniu, W Twoim liście datowanym 20 stycznia 2006 (11:51:38) można przeczytać: bg mam w squid.conf ustawione bg #by bieniu bg refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 bg refresh_pattern -i (.*html$|.*htm|.*shtml) 0 20% 1440 bg refresh_pattern (http://.*/$) 0 20% 1440 refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 czy przypadkiem tutaj nie ma bledu w zapisie z tymi * gwiazdkami ??? nie powinno byc raczej: refresh_pattern -i (*.jpg$|*.gif$) 0 50% 28800 ^^^ moze sie myle ale po co gwiazdki do rozszerzenia jeszcze chyba raczej nazwe ma pobierac jakakolwiek dajcie znac czy nie gadam glupot -- Pozdrowienia, bieniu gras -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid i odswiezanie zawartosci stron
Witam! Akurat 20-01-2006 (pią) o godz. 12:16 bieniu gras napisał(a): refresh_pattern -i (.*jpg$|.*gif$) 0 50% 28800 czy przypadkiem tutaj nie ma bledu w zapisie z tymi * gwiazdkami ??? Nie, to prawidłowy regexp. nie powinno byc raczej: refresh_pattern -i (*.jpg$|*.gif$) 0 50% 28800 Jeśli chcesz uwzględnić kropkę, aby mieć absolutną pewność, że trafiasz tylko rozszerzenia to powinno być raczej: .*\.roszerzenie$ rzadko jednak ma się do czynienia z plikami, które jednocześnie nie mają żadnego rozszerzenia i ich nazwa kończy się na 'jpg' czy 'gif'. ;) Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk IRC: tym0n GG: 136500 TEL: 512805797 GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: squid wymuszenie
witam w squidzie mam maximum_object_size 8192 K wie ktos gdzie w squid.confi to zmienic ? hmm jest w squid.conf opcja #maximum_object_size 4096 KB iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 by tak dziaao przekierowanie muszisz zrobic tansparent proxy w squidzie jesli dobrze pamietam to sie to wystarczalo dobrze poustawiac squid.conf ja mam cos takiego, ale nie jestme pewien czy to wszystkie opcje potrzebne do transparenta (radze poszukac cos w google na pewno jest wiele pod haslem squid transparent proxy) httpd_accel_with_proxy off httpd_accel_uses_host_header off httpd_accel_host virtual httpd_accel_port 80 httpd_accel_uses_host_header on pozdrawiam Piotrek
squid wymuszenie
no wasnie a czym moe byc spowodowane to ze jesli uzywam proxy to nie moge doda zalacznika wiekszego niz 1MB witam w squidzie mam maximum_object_size 8192 K wie ktos gdzie w squid.confi to zmienic ? hmm jest w squid.conf opcja #maximum_object_size 4096 KB iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 by tak dziaao przekierowanie muszisz zrobic tansparent proxy w squidzie jesli dobrze pamietam to sie to wystarczalo dobrze poustawiac squid.conf ja mam cos takiego, ale nie jestme pewien czy to wszystkie opcje potrzebne do transparenta (radze poszukac cos w google na pewno jest wiele pod haslem squid transparent proxy) httpd_accel_with_proxy off httpd_accel_uses_host_header off httpd_accel_host virtual httpd_accel_port 80 httpd_accel_uses_host_header on pozdrawiam Piotrek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Squid i obciazenie CPU
Witam. Ostatnio zauwazam na swoim squidzie takie niepokojace zjawisko: skoki obciazenia procesora. Przez kilka miesiecy mialem obciazenie proca na poziomie 20-30% a obciazenie pamieci 70-80%. Ostatnio problem zaczal sie ze zwiekszaniem obciazenia CPU. Dla uzytkownikow obiawia sie to tkz lagiem. Stony wczytuja sie wolno i w ogole jest wtedy kicha. A wic tak wszystko ladnie dziala a tu nagle na dlzsza chwile wskakuje obciaenie proca 97.6% i jest wtedy kicha. Gdzie szukac przyczyny tego stanu rzeczy i jak? Plis o sugestie... Przez klika miesiecy dzialalo to super a teraz jest problem :/ Pozdrawiam. -- Piotr najduk(at)dami(dot)pl [+] Przeciwienstwem Linux Registered User # 217130 [+] narodu cywilizowanego JID# [EMAIL PROTECTED] [+] jest naród twórczy. GPG# 0xE234EC8E [+] Albert Camus
Re: squid+tc
Dzieki za odpowiedz, patchuje teraz jadro p-o-m. Jeszcze nie probowalem tych regolek,ale jak tylko Uporam sie z kernelem do dam znac jak dziala. Pozdrawiam Karol
Re: squid+tc
Nie musisz patchowac squida W necie natrafilem na lepszy motyw iptables -A OUTPUT -t mangle -p tcp --sport 3128 -m connmark --mark 0 -m string --string 'X-Cache: MISS from ' -j CONNMARK --set-mark 1 iptables -A OUTPUT -t mangle -p tcp --sport 3128 -m connmark --mark 0 -m string --string 'X-Cache: HIT from ' -j CONNMARK --set-mark 2 iptables -A OUTPUT -t mangle -p tcp --sport 3128 -j CONNMARK --restore-mark Dalej pozostaje uzyc handle w tc. Jesli wiec masz connmark i string to nie potrzebujesz patcha... w sumie 3 pakiety inicjujace przechodza bokiem... reszta juz markuje sie jak trzeba... i wpada do odpowiednich kolejek
squid+tc
Hej, Jest jakas paczka dla Debiana testing z patchem do squida umozliwiajaca dzialanie razem z tc(HTB)? Nie wierze ze kompilujecie recznie ze zrodel i patchujecie. Dzieki z gory za odpowiedz. Pozdrawiam Karol
Re: Squid/ glupia sprawa
Dnia 2004-08-11 20:40, Użytkownik Tomasz T. Ciaszczyk napisał: Potrzebuje wyciac, aby squid nie przekazywal do serwera WWW pola Referrer... Robil to ktos, bo albo osleplem ale nigdzie tego nie widze.. anonymize_headers Pozdrawiam, JA
Re: Squid/ glupia sprawa
Witam, Dnia czw, sie 12, 2004 at 07:36:32 CEST, Jakub Ambrożewicz napisał: Dnia 2004-08-11 20:40, Użytkownik Tomasz T. Ciaszczyk napisał: Potrzebuje wyciac, aby squid nie przekazywal do serwera WWW pola Referrer... Robil to ktos, bo albo osleplem ale nigdzie tego nie widze.. anonymize_headers Sleposc nie radosc.. dzieki.. Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ciachoatjabber.org http://ciacho.pl :. .:Biednym się jest dopiero kiedy już :. .:się niczego więcej nie chce:. .: -- Erich Maria :. pgpZd5mPUsev0.pgp Description: PGP signature
Squid/ glupia sprawa
Potrzebuje wyciac, aby squid nie przekazywal do serwera WWW pola Referrer... Robil to ktos, bo albo osleplem ale nigdzie tego nie widze.. Pozdrawiam, Tomasz T. Ciaszczyk -- .: ciachoatciacho.pl ciachoatjabber.org http://ciacho.pl :. .: 355/113 - not the famous irrational number PI, :. .: but an incredible simulation. :.
Squid
Witajcie, A co to za cholerstwo w logach? squid: parseHttpRequest: Unsupported method '#Ď([EMAIL PROTECTED]/˘jLiw^P+\227Ëą}öđÁAU ' squid: parseHttpRequest: Unsupported method '5\231ĄÉłe°\227ş\234µţŮÓ3]kMw¸$^Fŕ^BůŻŞ\226§Ł^RÎő^^şŃ9©N¬^]ŮhĄŁ9±Ëg\205JŇ%^Yj^^z¨H^^ď1;Ű3/^_Ѩ^Qüý!éâ7ëh^W ' -- Pozdrawiam, Artur mailto:[EMAIL PROTECTED]
Re: Squid
Heloł, Dnia 28 maja 2004 (10:21:17) Twą klawiaturę opuściły następujące frazy:: Witajcie, A co to za cholerstwo w logach? squid: parseHttpRequest: Unsupported method '#Ď([EMAIL PROTECTED]/˘jLiw^P+\227Ëą}öđÁAU ' squid: parseHttpRequest: Unsupported method '5\231ĄÉłe°\227ş\234µţŮÓ3]kMw¸$^Fŕ^BůŻŞ\226§Ł^RÎő^^şŃ9©N¬^]ŮhĄŁ9±Ëg\205JŇ%^Yj^^z¨H^^ď1;Ű3/^_Ѩ^Qüý!éâ7ëh^W Możliwości jest kilka: jeżeli suid chodzi przezroczyście, możliwe że ktoś używa portu 80 do ruchu innego niż http (peer-to-peer, realmedia itp.). Jest też teoria, że to jakiś nowy Code Red, tylko zdurniały jakiś. Ja bym sie skłaniał ku drugiemu (jako paranoik) ale praktyka dowodzi, że to raczej p2p. Wyjście: ciąć gościa na FW. -- Pozdrowienia, Tomasz 'Zen' Napierala GG: 3880522 :: GSM: 503455040
squid
Mam pytanie bo wczoraj dostałem list z debian security, Że była jakaś dziura w security więc się nie zastanawiając Zrobiłem apt-get update i apt-get install squid, Po tym jak squid się restartował strony przestały się cacheować Co to może być, Z góry dziękuje za pomoc Adam.
Re: squid
Witaj adam, W Twoim liście datowanym 8 kwietnia 2004 (18:27:11) można przeczytać: a Mam pytanie bo wczoraj dostałem list z debian security, a Że była jakaś dziura w security więc się nie zastanawiając a Zrobiłem apt-get update i apt-get install squid, a Po tym jak squid się restartował strony przestały sięcacheować a Co to może być, a Z góry dziękuje za pomoc a Adam. sproboj dac: squid -z -- Pozdrowienia, bieniu gras
SQUID i inny typ patycji
Mam takie pytanko, sugerujac sie uwagami zamieszczonymi na grupach dyskusyjnych postanowilem ze moj squid (dokladniej jego pliki cache) beda sie znajdowac na partycji z systemem plikow RaisenFS (jak cos zle napisalem to sorki), partycja ma 7GB i twraz jak w squid .conf podam sciezke do tej partycji a nastepnie wydam komende zeby squid utworzyl katalogi to wyswietla mi ze nie mozna utworzyc bo nie ma dostepu. Partycja nazywa sie /squid. Zmieniam tylko w squid .conf linijke ze sciazka /var/ na /squid. Wiem ze troszeczke chaotycznie napisalem tego posta, za co z gory przepraszam.
Re: SQUID i inny typ patycji
Użytkownik Paweł napisał: Mam takie pytanko, sugerujac sie uwagami zamieszczonymi na grupach dyskusyjnych postanowilem ze moj squid (dokladniej jego pliki cache) beda sie znajdowac na partycji z systemem plikow RaisenFS (jak cos zle napisalem to sorki), partycja ma 7GB i twraz jak w squid .conf podam sciezke do tej partycji a nastepnie wydam komende zeby squid utworzyl katalogi to wyswietla mi ze nie mozna utworzyc bo nie ma dostepu. Partycja nazywa sie /squid. Zmieniam tylko w squid .conf linijke ze sciazka /var/ na /squid. Wiem ze troszeczke chaotycznie napisalem tego posta, za co z gory przepraszam. Ustaw prawa do partycji na proxy Jarek
Re: SQUID i inny typ patycji
On Saturday 20 of March 2004 10:50, Paweł wrote: nastepnie wydam komende zeby squid utworzyl katalogi to wyswietla mi ze nie mozna utworzyc bo nie ma dostepu. zmień właściciela i grupę /squid na takiego jakiego masz określonego w squid.conf (cache_effective_user i cache_effective_group) pozdrawiam
php apache squid a może firewall??
Mam pytanie bo pojawił mi się problem, ponieważ zainstalowałem Na serwerze apacha z php4 i wszystko ładnie działa jak wchodzę Na ten serwer z zewnątrz, ale natomiast jak próbuje wchodzić na Niektóre strony które są na tym serwerze zrobione w php z sieci wewnętrznej to się nie Otwierają tylko od razu otwiera się okienko ściągania i chce ściągąć Plik np. index.php, natomiast jak wchodzę z pracy to wszystko działa tak jak powinno, Php wydaje mi się, że działa prawidłowo, Ponieważ stworzyłem stronkę index.php na stronie głównej, jej kod to ?php echo (cokolwiek); ? I jak otworzyłem przez przeglądarkę to wyświeliła mi się stronka z napisem Cokolwiek, a nie rozpoczęło się ściąganie pliku index.php. Jakby ktoś wiedział co mogłem zwalić to proszę o jakieś wskazówki. Pozdrawiam Adam.
Re: Squid
Adam w swoim liście napisał: Mam pytanie odnośnie squida, ponieważ mam wewnątrz sieci postawiony serwer WWW, który stoi za serwerem z firewallem, a na serwerze, na którym stoi firewall mam squida i problem jest taki, że nie mogę się z sieci lokalnej dostać na serwer WWW z zewnętrznym IP, stojącym za serwerem z firewallem, dostaje komunikat ERROR The requested URL could not be retrieved Przejrzyj konfigurację... najprawdopodobniej masz zablokowany dostęp do wszystkich hostów poza lokalnymi, lub źle zdefiniowane reguły przepuszczania ruchu. Za mało szczegółów podałeś odnośnie problemu. Odpowiedź na pytanie powinieneś znaleźć w żłobku dla administratorów. -- Lenthir
Re: AW: AW: Squid
Czy jeden serverek ze squidem wytrzyma 150 uzytkownikow i czy wybiore wersje z bridgem, to czy bede mogl w jakis sposob uzywac SNMP. mi wytrzymuje 200. przy okazji obniza zuzycie lacza. ale dziala jako transparent. znik.
Re: Squid
Janes napisał: 1. WYtnij _caly_ ruch iptablesami. No dobra, to się da zrobić i tak mam w planie. 2. www i ftp pusc przez squida - IMHO najkorzystniejsza jest jawna konfiguracja przegladarki przez klienta (z paru drobnych powodow, o ktorych nie miejsce, ani czas sie rozpisywac) - jak klient sobei przegladarki nie skonfiguruje, to nic nie zobaczy :P Jeśli chodzi o tą kwestię to musi być transparentny. Zamęczyli by mnie na śmierć, czemu net im nie chodzi. Po 3 razy można by było tłumaczyć... 3. poczte wychodzaca pusc przez serwer smtp (jesli nie masz 101000 userow - standardowy exim w zupelnosci sobie poradzi) Akurat poczty nie miałem w planie, ale pomyślę nad tym aspektem. Konfiguracja exima to na razie dla mnie magia... 4. Poczte przychodzaca h. przyznam sie szczerze, ze ja w kilku takich instalacjach (w malych firmach) ide po lini najmniejszego oporu, czyli wypuszczam na swiat tcp/110, mozna ew. pokusic sie o limit (www.mr0vka.eu.org Netfilter FAQ po polsku) - w takim ukladzie przynajmniej zaden user nie zawraca ci du^H^H^H^H^H przeszkadza spozywac piwa ;) bo sobie nowe konto na łoniecie zalozyl - i mu nie dzial 5. Nie zapomnij o DNS - bind doskonale sie do tego nadaje ;) DNS bedzie, o tym mam troche materiałów więc sobie poradzę... 6. Wszystkie pozostale potrzebne uslugi - przez stosowny serwer proxy, ew prosto w swiat, jak sie nie da, lub nie warto inaczej. No dobra, ale wróćmy do mojego poprzedniego postu... Nie wiem jak skonfigurować Squida!! Wdzięczny byłbym za przykłady jakichs konfiguracji, najlepiej z opisem, no ale jak już będzie bez to i tak będę dźwięczny i spróbuje jakoś odcyfrować. Przydatne były by też jakieś bardziej szczegółowe arty. Ten ze żłobka adminów czytałem i jest za ogólny...
AW: Squid
Czesc, Fajnie ze zaczeliscie ten temat, bo wlasnie mam zrobic plan dostepu sieci z laczem 2 MBit/s. Klient koniecznie chce miec transparent proxy z Viruswallem i do tego najlepiej jeszcze content filtering. To ostatnie zalatwie chyba na cisco pix, bo jest to bajecznie proste do konfiguracji, ale zastanawiam sie nad proxy. Problem jest w tym, ze to proxy nie moze natowac (bo nie bede mogl dostosowac content filtering do konkretnych IP - szef moze ogladac pornole, a inni nie...). Sa dwie mozliwosci: - Squid na Proxy Arp - Squid na Bridge Ktora z wersji polecacie jesli wziasc pod uwage, ze musze miec mozliwosc obserwacji kompa przez SNMP i z proxy ma kozystac okolo 150 osob. Pozdrowienia Wojciech Firlej SCS-GmbH Bodenseestraße 101 88138 Sigmarszell Tel. 08382 / 966426 Fax. 08382 / 966425 http://www.scs-gmbh.net -Ursprüngliche Nachricht- Von: Lth [mailto:[EMAIL PROTECTED] Gesendet: Donnerstag, 6. November 2003 12:17 An: Debian User-pl Betreff: Re: Squid Janes napisał: 1. WYtnij _caly_ ruch iptablesami. No dobra, to się da zrobić i tak mam w planie. 2. www i ftp pusc przez squida - IMHO najkorzystniejsza jest jawna konfiguracja przegladarki przez klienta (z paru drobnych powodow, o ktorych nie miejsce, ani czas sie rozpisywac) - jak klient sobei przegladarki nie skonfiguruje, to nic nie zobaczy :P Jeśli chodzi o tą kwestię to musi być transparentny. Zamęczyli by mnie na śmierć, czemu net im nie chodzi. Po 3 razy można by było tłumaczyć... 3. poczte wychodzaca pusc przez serwer smtp (jesli nie masz 101000 userow - standardowy exim w zupelnosci sobie poradzi) Akurat poczty nie miałem w planie, ale pomyślę nad tym aspektem. Konfiguracja exima to na razie dla mnie magia... 4. Poczte przychodzaca h. przyznam sie szczerze, ze ja w kilku takich instalacjach (w malych firmach) ide po lini najmniejszego oporu, czyli wypuszczam na swiat tcp/110, mozna ew. pokusic sie o limit (www.mr0vka.eu.org Netfilter FAQ po polsku) - w takim ukladzie przynajmniej zaden user nie zawraca ci du^H^H^H^H^H przeszkadza spozywac piwa ;) bo sobie nowe konto na łoniecie zalozyl - i mu nie dzial 5. Nie zapomnij o DNS - bind doskonale sie do tego nadaje ;) DNS bedzie, o tym mam troche materiałów więc sobie poradzę... 6. Wszystkie pozostale potrzebne uslugi - przez stosowny serwer proxy, ew prosto w swiat, jak sie nie da, lub nie warto inaczej. No dobra, ale wróćmy do mojego poprzedniego postu... Nie wiem jak skonfigurować Squida!! Wdzięczny byłbym za przykłady jakichs konfiguracji, najlepiej z opisem, no ale jak już będzie bez to i tak będę dźwięczny i spróbuje jakoś odcyfrować. Przydatne były by też jakieś bardziej szczegółowe arty. Ten ze żłobka adminów czytałem i jest za ogólny... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: AW: Squid
Fajnie ze zaczeliscie ten temat, bo wlasnie mam zrobic plan dostepu sieci z laczem 2 MBit/s. Klient koniecznie chce miec transparent proxy z Viruswallem i do tego najlepiej jeszcze content filtering. To ostatnie zalatwie chyba na cisco pix, bo jest to bajecznie proste do konfiguracji, ale zastanawiam sie nad proxy. Problem jest w tym, ze to proxy nie moze natowac (bo nie bede mogl dostosowac content filtering do konkretnych IP - szef moze ogladac pornole, a inni nie...). a w czym masz problem? jak chcesz miec transparent, to po pierwsze komputery do squida musza miec bezposredni routing. po drugie, pakiety adresowane w swiat na webserwery musza byc na firewallu zawracane do squida, a squid pyta dalej. po trzecie, na squidzie nawet w domyslnym konfigu sa porobione strefy na bazie numerow IP. uzytkownikow (tzn. komputery po IP) przypisujesz do stref, a w strefie opisujesz gdzie mozna, a gdzie nie mozna. kazda strefe mozesz definiowac osobno. po czwarte, kazdy komputer musi miec nadawany caly czas ten sam IP. czyli albo konfig statyczny na kazdym kompie z osobna, albo robisz stale przypisanie IP do MAC na DHCP. po piate, aby uzytkownicy nie oszukiwali, robisz na firewallu albo squidzie (jak jest na firewallu) transparent proxy. sam squid moze byc na zewnatrz natowany, jesli zachodzi taka potrzeba, np. squid znajduje sie w DMZ. niestety sa problemy ze squidem, jesli sie siega do serwerow www, ktore wisza na niestandardowych portach. chocby strony sejmowe i akty prawne, ktore wisza na jakichs dziwnych portach. takie cos trzeba dokonfigurowywac albo osobno z pominieciem squida, albo w samym squidzie ale nie wiem jak. znik.
Re: Squid
2. www i ftp pusc przez squida - IMHO najkorzystniejsza jest jawna konfiguracja przegladarki przez klienta (z paru drobnych powodow, o ktorych nie miejsce, ani czas sie rozpisywac) - jak klient sobei przegladarki nie skonfiguruje, to nic nie zobaczy :P Jeśli chodzi o tą kwestię to musi być transparentny. Zamęczyli by mnie na śmierć, czemu net im nie chodzi. Po 3 razy można by było tłumaczyć... z nietransparentnym faktycznie byloby latwiej. ale jak masz duzo ludu, to lepiej najpierw zrobic transparentny, i rownolegle nietransparentny. po trochu ludzi trzeba przerzucac z jednego do drugiego, zeby jednego dnia sie nie zarypac. 3. poczte wychodzaca pusc przez serwer smtp (jesli nie masz 101000 userow - standardowy exim w zupelnosci sobie poradzi) Akurat poczty nie miałem w planie, ale pomyślę nad tym aspektem. Konfiguracja exima to na razie dla mnie magia... wogole caly ruch na out25 trzeba zawracac na swoj smtp, oczywiscie z wyjatkiem swojego serwerka. znik.
AW: AW: Squid
Nie potrzeba mi tego na squidzie, poniewaz: Internet |_ |Firewall| - - - - Linux z Websense -- | |___ | Squid | - | LAN Firma chce migrowac na Active Directory w przyszlym roku, a websence moze autoryzowac uzytkownikow tez po LDAP lub AD. Teraz bedzie jeszcze autoryzacja po IP, ale pozniej AD. Czy jeden serverek ze squidem wytrzyma 150 uzytkownikow i czy wybiore wersje z bridgem, to czy bede mogl w jakis sposob uzywac SNMP. Pozdrowienia Wojtek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Squid
Panowie admini... da się na squidzie zablokować ruch p2p (najlepiej w określonych godzinach)? Chcę puścić cały ruch przez proxy i przefiltrować lekko, ale coś mi nie wychodzi. Byłbym wdzięczny za kilka przykładów... najlepiej jakby ktoś wysłał mi swój squid.conf (taki który działa!!) Z góry dzięki za pomoc. Dla wszystkich masowych odsyłaczy na google - zamiast pisać idź sobie pogoglać walnij jakiś link. Googlam już z pół dnia i stoje w miejscu (nawet squid mi nie chce działać). Wdzięczny byłbym za pomoc, a nie spławianie!!
Re: Squid
Panowie admini... da się na squidzie zablokować ruch p2p (najlepiej w określonych godzinach)? Chcę puścić cały ruch przez proxy i przefiltrować lekko, ale coś mi nie wychodzi. Byłbym wdzięczny za kilka przykładów... najlepiej jakby ktoś wysłał mi swój squid.conf (taki który działa!!) Z góry dzięki za pomoc. Dla wszystkich masowych odsyłaczy na google - zamiast pisać idź sobie pogoglać walnij jakiś link. Googlam już z pół dnia i stoje w miejscu (nawet squid mi nie chce działać). Wdzięczny byłbym za pomoc, a nie spławianie!! To idz poguglaj na bardziej pierwotny problem. Dlaczego filtrowac squida?:O Filtrowanie nazywalo sie za starych czasow iptables nie squid ;) A powaznie to ja to wlasnie rozwiazuje tak i o tym juz bylo na tej liscie. Squid squidem a p2p tnij na fw. Linka?;) -- Szymon Morandir Anders http://angrenost.org
Re: Squid
Hello Lth, Wednesday, November 5, 2003, 7:44:09 PM, you wrote: L Panowie admini... da się na squidzie zablokować ruch p2p (najlepiej w L określonych godzinach)? L Chcę puścić cały ruch przez proxy i przefiltrować lekko, ale coś mi nie L wychodzi. L Byłbym wdzięczny za kilka przykładów... najlepiej jakby ktoś wysłał mi swój L squid.conf (taki który działa!!) 1. WYtnij _caly_ ruch iptablesami. 2. www i ftp pusc przez squida - IMHO najkorzystniejsza jest jawna konfiguracja przegladarki przez klienta (z paru drobnych powodow, o ktorych nie miejsce, ani czas sie rozpisywac) - jak klient sobei przegladarki nie skonfiguruje, to nic nie zobaczy :P 3. poczte wychodzaca pusc przez serwer smtp (jesli nie masz 101000 userow - standardowy exim w zupelnosci sobie poradzi) 4. Poczte przychodzaca h. przyznam sie szczerze, ze ja w kilku takich instalacjach (w malych firmach) ide po lini najmniejszego oporu, czyli wypuszczam na swiat tcp/110, mozna ew. pokusic sie o limit (www.mr0vka.eu.org Netfilter FAQ po polsku) - w takim ukladzie przynajmniej zaden user nie zawraca ci du^H^H^H^H^H przeszkadza spozywac piwa ;) bo sobie nowe konto na łoniecie zalozyl - i mu nie dzial 5. Nie zapomnij o DNS - bind doskonale sie do tego nadaje ;) 6. Wszystkie pozostale potrzebne uslugi - przez stosowny serwer proxy, ew prosto w swiat, jak sie nie da, lub nie warto inaczej. L Z góry dzięki za pomoc. L Dla wszystkich masowych odsyłaczy na google - zamiast pisać idź sobie L pogoglać walnij jakiś link. Googlam już z pół dnia i stoje w miejscu (nawet L squid mi nie chce działać). Wdzięczny byłbym za pomoc, a nie spławianie!! Swiete slowa:) -- Best regards, Janesmailto:[EMAIL PROTECTED] ps. kilka przydatnych linkow: book://Web caching - Optymalizacja dostepu O'Reilly a w Polsce ReadMe (www.rm.com.pl) book://DNS i Bind O'Reilly, w Polsce ReadMe book://Internet Firewalls - Tworzenie zapor ogniowych O'Reilly, w PL ReadMe http://www.debian.one.pl http://debian.linux.org.pl/ http://mr0vka.eu.org http://www.jtz.org.pl http://ptm.linux.pl
Squid i pasma.
Witaj Grupa! Czy można ustawić jakoś squida aby strony miały wyższy prioritet niż pliki ciągnięte po ftp, albo przydzielić ftp jakieś pasmo np 40kB a stronom 20kB? -- Pozdrowienia, ** * Marek (SirAdams) Adamski * * [EMAIL PROTECTED] * *ICQ:42751516* * GG:14747 * * Linux user:#253788 * **
Re: Squid i pasma.
W liście z pon, 06-10-2003, godz. 16:14, Marek Adamski - Debian pisze: Witaj Grupa! Czy można ustawić jakoś squida aby strony miały wyższy prioritet niż pliki ciągnięte po ftp, albo przydzielić ftp jakieś pasmo np 40kB a stronom 20kB? witam jesli dobrze rozumim to: pomoze delay_pool acl pliki_www url_regex -i .html .php (itp) delay_pools 1 delay_class 1 1 delay_parametrs 1 9/9 delay_access 1 allow pliki_www mozna w ten sposob troszke poukladac piorytety. powodzenia jr
Re: Re: Dwa łącza i squid.
Marek [EMAIL PROTECTED] napisał(a):
Witam,
sprobowal bym nat lokalnych polaczen i regole lapiaca polaczenie
wykonane przez squida. przy okazji prosze doswiadczonych o opinie co o
tym sadza, jesli nie palnelem totalnej glupoty
Nie jestem w 100% pewien ale rozwiazanie zasugerowane wczesniej - przekleic
squid do konkretnego IP zewnetrznego NIC nie da - owszem pakiety beda leciec z
tym SOURCE IP - ale daje wylatywac przez default route.
Nat tutaj tez jest zbedny - trzeba squida przykleic do tego drugiego IP (jak
zasugerowane wczesniej) I jednoczesnie dodac tabele routingu po SOURCE IP na
ktorym stoi squid do innej bramki niz default - to powinno byc wszystko.
Pozdrawiam
--
Adrian (Sauron) Siemieniak/,/ .. Who can destroy The Thing,
sauron{at}rpg{dot}pl /`/ controls The Thing ... (DUNE)
Re: Dwa ³±cza i squid.
Witaj Marek, W Twoim liście datowanym 25 września 2003 (16:19:22) można przeczytać: MAD Witaj Grupa! MAD Posiadam dwa łącza DSL, co prawda jednego prowaidera, ale nie o to MAD chodzi. Moje pytanie to jak zmusić squida żeby pracował nie na łączu MAD które jest jako domyślne w tablicy routingu tylko na łączu które nie MAD jest wykożystywane. Przeglądałem dokumentacje squida i nic nie MAD dostrzegłem co by mogło mi pomóc, albo poprostu za słabo znam MAD angielski. Witaj Marek, W Twoim liście datowanym 25 września 2003 (16:19:22) można przeczytać: MAD Witaj Grupa! MAD Posiadam dwa łącza DSL, co prawda jednego prowaidera, ale nie o to MAD chodzi. Moje pytanie to jak zmusić squida żeby pracował nie na łączu MAD które jest jako domyślne w tablicy routingu tylko na łączu które nie MAD jest wykożystywane. Przeglądałem dokumentacje squida i nic nie MAD dostrzegłem co by mogło mi pomóc, albo poprostu za słabo znam MAD angielski. Diękuję wszystkich za pomoc. Jednak okazało się że po za opcją dla squida tak jak kolega napisał tcp_outgoing_address xxx.xxx.xxx.xxx (oraz udp_outgoing_address xxx.xxx.xxx.xxx.xxx tego już nie napisał :) ) miałem źle skonfigurowane tablice routingu w rezultacie czego nie mogłem z routera kożystać z drugiego łącza. Tu z pomocą przyszły gogle (chociaż znalezienie konkretnej odpowiedzi nie było łatwe) zrobiłem wkącu tablice routingu. Tablice wykonałem na podstawie strony: http://mr0vka.eu.org/tlumaczenia/2.4routing.html Na początku tylko raz wykonujemy polecenie: (tego autor na stronie nie napisał)echo 200 N1 /etc/iproute2/rt_tables echo 201 N2 /etc/iproute2/rt_tables te polecenia wykonujemy tylko raz. Następnie albo klepiemy z renki albo robimy skrypcik: -- tN.bat -- #!/bin/bash echo Ładuje zmienne IF0=eth2 IF1=eth0 IF2=eth1 IP1=IP ŁĄCZA 1 IP2=IP ŁĄCZA 2 P1=BRAMKA ŁĄCZA 1 P2=BRAMKA ŁĄCZA 2 P0_NET=Lokalna sieć włącznie z prefixem P1_NET=Sieć w której jest IP1 z prefixem P2_NET=Sieć w której jest IP2 z prefixem echo Etap 1 ip route add $P1_NET dev $IF1 src $IP1 table N1 ip route add default via $P1 table N1 ip route add $P2_NET dev $IF2 src $IP2 table N2 ip route add default via $P2 table N2 echo Etap 2 ip route add $P1_NET dev $IF1 src $IP1 ip route add $P2_NET dev $IF2 src $IP2 echo Etap 3 ip route add default via $P1 # Dla automatycznego rozłożenia obciążenia zamiast linijki wyżej # ip route add default scope global nexthop via $P1 dev $IF1 weight 1 \ # nexthop via $P2 dev $IF2 weight 1 # ale nie sprawdzałem. echo Etap 4 ip rule add from $IP1 table N1 ip rule add from $IP2 table N2 echo Etap 5 ip route add $P0_NET dev $IF0 table N1 ip route add $P2_NET dev $IF2 table N1 ip route add 127.0.0.0/8 dev lo table N1 ip route add $P0_NET dev $IF0 table N2 ip route add $P1_NET dev $IF1 table N2 ip route add 127.0.0.0/8 dev lo table N2 echo Etap 6 ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1 echo Flush ip route flush cache -- END tN.bat -- skrypcik kasujący: -- tNd.bat -- #!/bin/bash echo Ładuje zmienne IF0=eth2 IF1=eth0 IF2=eth1 IP1=IP ŁĄCZA 1 IP2=IP ŁĄCZA 2 P1=BRAMKA ŁĄCZA 1 P2=BRAMKA ŁĄCZA 2 P0_NET=Lokalna sieć włącznie z prefixem P1_NET=Sieć w której jest IP1 z prefixem P2_NET=Sieć w której jest IP2 z prefixem echo Etap 6 ip route del default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1 echo Etap 5 ip route del $P0_NET dev $IF0 table N1 ip route del $P2_NET dev $IF2 table N1 ip route del 127.0.0.0/8 dev lo table N1 ip route del $P0_NET dev $IF0 table N2 ip route del $P1_NET dev $IF1 table N2 ip route del 127.0.0.0/8 dev lo table N2 echo Etap 4 ip rule del from $IP1 table N1 ip rule del from $IP2 table N2 echo Etap 3 ip route del default via $P1 echo Etap 2 ip route del $P1_NET dev $IF1 src $IP1 ip route del $P2_NET dev $IF2 src $IP2 echo Etap 1 ip route del $P1_NET dev $IF1 src $IP1 table N1 ip route del default via $P1 table N1 ip route del $P2_NET dev $IF2 src $IP2 table N2 ip route del default via $P2 table N2 echo Flush ip route flush cache -- END tNd.bat -- oraz przydają się wpisy do firewall'a: iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j SNAT \ --to $IP1 iptables -t nat -A POSTROUTING -s $P0_NET -o $IF2 -j SNAT \ --to $IP2 Skrypt wystarczy odpalić tylko raz. Debian bez problemu zapamiętuje wpisy nawet po restarcie. Należy też wspomnieć że gdy chcemy skożystać z tych tablic routingu to w pliku /etc/network/interfaces nie powinien występować wpis GATEWAY. A dla jasności wykonałem to wszystko na Debianie 3.0 a właściwie to Testowej upgrejdowanej na bierząco. P.S. Podejżewam że i tak jeszcze co nie które osoby dodadzą coś od siebie. P.S.2 Poraz kolejny zapomniałęm zmienić pole Do: i wysłałem sam do siebie. :] -- Pozdrowienia, ** * Marek (SirAdams) Adamski * * [EMAIL PROTECTED] * *ICQ:42751516* * GG:14747 * **
Re: Dwa łącza i squid.
W liście z czw, 25-09-2003, godz. 16:19, Marek Adamski - Debian pisze: Witaj Grupa! Posiadam dwa łącza DSL, co prawda jednego prowaidera, ale nie o to chodzi. Moje pytanie to jak zmusić squida żeby pracował nie na łączu które jest jako domyślne w tablicy routingu tylko na łączu które nie jest wykożystywane. Przeglądałem dokumentacje squida i nic nie dostrzegłem co by mogło mi pomóc, albo poprostu za słabo znam angielski. czesc Twoim rozwiazaniem jest: tcp_outgoing_address xxx.xxx.xxx.xxx powodzenia jr
Re: Dwa ³±cza i squid.
Hello Marek, Thursday, September 25, 2003, 4:19:22 PM, you wrote: MAD Witaj Grupa! MAD Posiadam dwa łącza DSL, co prawda jednego prowaidera, ale nie o to MAD chodzi. Moje pytanie to jak zmusić squida żeby pracował nie na łączu MAD które jest jako domyślne w tablicy routingu tylko na łączu które nie MAD jest wykożystywane. Przeglądałem dokumentacje squida i nic nie MAD dostrzegłem co by mogło mi pomóc, albo poprostu za słabo znam MAD angielski. Witam, sprobowal bym nat lokalnych polaczen i regole lapiaca polaczenie wykonane przez squida. przy okazji prosze doswiadczonych o opinie co o tym sadza, jesli nie palnelem totalnej glupoty Pozdrawia Marek
Dwa ³±cza i squid.
Witaj Grupa! Posiadam dwa łącza DSL, co prawda jednego prowaidera, ale nie o to chodzi. Moje pytanie to jak zmusić squida żeby pracował nie na łączu które jest jako domyślne w tablicy routingu tylko na łączu które nie jest wykożystywane. Przeglądałem dokumentacje squida i nic nie dostrzegłem co by mogło mi pomóc, albo poprostu za słabo znam angielski. -- Pozdrowienia, * Marek (SirAdams) Adamski * * [EMAIL PROTECTED] * * ICQ:42751516 * * GG:14747 *
squid i windows update
Witam Poztawiłem squida i wszystko co idzie na port 80 jest przesyłane do squida. Przestał mi działać windows update na win 2000 i win xp. Miał może ktoś podobny problem? Oto mój konfig squida: http_port 8080 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 80 MB maximum_object_size 8192 KB maximum_object_size_in_memory 128 KB ipcache_size 8192 KB #dns_children 16 client_lifetime 1 hour cache_dir diskd /var/spool/squid/ 300 32 512 cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log ftp_user [EMAIL PROTECTED] ftp_passive on acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT acl tubes_centrala src 192.168.102.0/255.255.255.0 http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow tubes_centrala http_access allow localhost http_access deny all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Pozdrawiam admer
squid - polski manual ?
Witam może ktoś z grupowiczów natkną się na jakiś polski manual lub wogle opis squida po polsku... był bym wdzięczny za pomoc lub podrzuceniu paru linków ... i please no i nie mówcie o googlach bo na tyle ile mi czas pozwalał siedzieć w necie i szukać to cięzko było znaleść coś konkternego a interesuje mnie dokładnie taka wersja : Squid Cache: Version 2.4.STABLE7 SquidGuard: 1.2.0 Sleepycat Software: Berkeley DB 3.3.11: (July 12, 2001) pozdrawiam __ Grzegorz Makowski * Zycie jest male, nie czyn go smutnym, Zycie jest wielkie, nie rob z niego cyrku
Re[2]: Squid i blokada stron porno...
Witaj Maciek, W Twoim liście datowanym 4 kwietnia 2003 (04:08:57) można przeczytać: MM ja mam u siebie tak, działa ok MM acl badwww dstdomain kukluxklan.net MM acl badwww dstdomain www.kukluxklan.net MM http_access deny badwww Ma moze ktos jakas liste takich adresow skad pobierane sa dialery tego typu itp ? :) -- Pozdrowienia, Maciejmailto:[EMAIL PROTECTED]
Re: Squid i blokada stron porno...
Mam poblokować strony porno przy pomocy squida.. Co polecacie (jaki pakiet z listami albo coś innego)? ja mam u siebie tak, działa ok acl badwww dstdomain kukluxklan.net acl badwww dstdomain www.kukluxklan.net http_access deny badwww -- pozdrowienia maciej Matwiejszyn
Squid i blokada stron porno...
Witam! Mam poblokować strony porno przy pomocy squida.. Co polecacie (jaki pakiet z listami albo coś innego)? -- Pozdrawiam Krzysztof Jóźwiak Nie strzelajcie do orkiestry Bo na ich miejsce przyjdą lepsi... Krzysztof Józwiak (po protestach listowiczów)
2 x wyjscie w swiat = 2 x squid (1serwer)
Czy jest mozliwosc postawienia 2 niezalwznych squid'ow na 1 kompie obslugujacych 2 WAN. jeszcze nie szukalem alem moze ktos mnie naprowadzi Pozdrawiam Stanislaw Bierowka [EMAIL PROTECTED]
Re: 2 x wyjscie w swiat = 2 x squid (1serwer)
Czy jest mozliwosc postawienia 2 niezalwznych squid'ow na 1 kompie obslugujacych 2 WAN. jeszcze nie szukalem alem moze ktos mnie naprowadzi A czemu 2 squidy, jeden wystarczy + zarzadzanie laczami - to podpowiedza madrzejsi :)
Re: 2 x wyjscie w swiat = 2 x squid (1serwer)
On śro, 2003-03-26 at 16:44, Maciek Matwiejszyn wrote: Czy jest mozliwosc postawienia 2 niezalwznych squid'ow na 1 kompie obslugujacych 2 WAN. jeszcze nie szukalem alem moze ktos mnie naprowadzi A czemu 2 squidy, jeden wystarczy + zarzadzanie laczami - to podpowiedza madrzejsi :) Może wystarczy skonfigurowanie squidowi dwóch parentów, które będą dostępne przez te łacza (np. można wklepać na stałe routing, żeby się upewnić).
squid
Witam! Mam pytanie do Szanownych Kolegow: czy squid paczkowy dostepny w woodym (standartowe repozytorium) obsluguje opcje transparent proxy? Pozdrawiam, Przemek Kula. -- e-mail: [EMAIL PROTECTED] mobile: +48 602450696 gg#:1746874 icq#: 6153258 jabber: [EMAIL PROTECTED] homepage: http://not.ready.yet
Re: squid
On Fri, Mar 21, 2003 at 06:10:33PM +0100, Przemysław Kula wrote: Mam pytanie do Szanownych Kolegow: czy squid paczkowy dostepny w woodym (standartowe repozytorium) obsluguje opcje transparent proxy? Tak obsługuje. pozdr, fEnIo -- _ Bartosz Feński aka fEnIo | tlen/mailto:[EMAIL PROTECTED] _|_|_ 32-050 Skawina - Głowackiego 3/15 - w. małopolskie - Polska (0 0) phone:+48501608340 | ICQ:46704720 | GG:726362 | IRC:fEnIo ooO--(_)--Ooo http://skawina.eu.org | JID:[EMAIL PROTECTED] | RLU:172001
Re: squid
tak obsluguje. pozdrawiam Piotr Potargowicz.
Re: squid
On Fri, 21 Mar 2003, Przemysław Kula wrote: czy squid paczkowy dostepny w woodym (standartowe repozytorium) obsluguje opcje transparent proxy? Ależ oczywiście. Pozdrawiam. --- Speak softly and carry a +6 two-handed sword. PGP key fingerprint: 6896 B27A 7D31 484D 5AF9 12F6 BB0B E43A 5B74 164D
Re: Squid - offline
Kaczy napisal: Czy squid jest w stanie serwowac strony (te ktore ma w cache) offline ? Na przykład ludek był gdzies tam 2 dni temu i teraz chce sobie to ponownie poczytać, ale chwilowo nie ma wyjscia na świat. wykonalne ? Jak najbardziej tak. Squid najpierw sprawdza dane na dysku w swoich archiwach a dopiero potem probuje pobrac ze swiata, no chyba, ze dasz Reload w przegladarce, to zacznie sprawdzac co jest nowego i przy braku polaczenie bedzie komunikat No route to host. -- Krzysztof 'C00li' Kulinski [EMAIL PROTECTED] GG: 1801311 ICQ: 11712754 Odigo: 5876840 rally.pl [EMAIL PROTECTED] - 3miasto -- http://www.nazwa.pl
Re: Squid - offline
On Tue, 11 Feb 2003 09:09:31 +0100 [EMAIL PROTECTED] wrote: Jak najbardziej tak. Squid najpierw sprawdza dane na dysku w swoich archiwach a dopiero potem probuje pobrac ze swiata, no chyba, ze dasz Reload w przegladarce, to zacznie sprawdzac co jest nowego i przy braku polaczenie bedzie komunikat No route to host. Obawiam sie ze to nie tak prosto - w sensie poprzednikowi chodzilo o cos bardziej OFFLINE (np. ustawienia ze jesli nie mozna sciagac czegos z sieci to zaserwuj z cache) - w docu kiedys sie chwilili czyms takim ale w sumie nie natknalem sie na opcje w konfiguracji - bez tego squid w koncu napisze no route to host/error itp Pozdrawiam -- Adrian Siemieniak | Administrator (at) Internet Center Polska sauron(at)icenter.pl tel. (0-71) 344-82-52 wew 26
Squid - offline
Czy squid jest w stanie serwowac strony (te ktore ma w cache) offline ? Na przykład ludek był gdzies tam 2 dni temu i teraz chce sobie to ponownie poczytać, ale chwilowo nie ma wyjscia na świat. wykonalne ? -- Space is nothing without code --[ debian.e-legionowo.pl ][ FBSD.glt.pl ]--
Re: SQUID
on Sat, 11 Jan 2003 23:43:59 +0100 Tomasz T. Ciaszczyk [EMAIL PROTECTED] wrote: /me proponuje abys nauczyl sie zadawac najpierw pytania, a potem poszukal na sieci (hint. www.linux.pl, czy chociazby podstawowe google.pl). ja wolałbym w innej kolejności: najpierw www a potem do ludzi ***r-e-k-l-a-m-a** Chcesz oszczędzić na kosztach obsługi bankowej ? mBIZNES - konto dla firm http://epieniadze.onet.pl/mbiznes
SQUID
Czy procz squida potrzebuje cos jeszcze konfigurowac zeby dzialalo( maskarada albo co takiego ) -- Maciek Paszta gg:2810043 [EMAIL PROTECTED] [EMAIL PROTECTED]
Re: SQUID
Maciej Paszta napisał w dniu sob, sty 11, 2003 at 11:27:20 CET co następuje: : Czy procz squida potrzebuje cos jeszcze konfigurowac zeby dzialalo( maskarada albo co takiego ) a co chcesz miec skonfigurowane? linuxa? to chyba potrzebujesz go zainstalowac ; jezeli samo proxy to wystarczy squid i bynajmniej do niego nie trzeba zadnej maszkary jezeli chcesz maszkare to rowniez nie potrzebujesz do tego proxy ; /me proponuje abys nauczyl sie zadawac najpierw pytania, a potem poszukal na sieci (hint. www.linux.pl, czy chociazby podstawowe google.pl). Pozdrawiam -- Tomasz T. Ciaszczyk [EMAIL PROTECTED] http://ciacho.pl/ Linux jest przestarzałym systemem nie urastającym technologicznie Windowsowi nawet do pićt -- Piotr Trzcionkowski pgpi1tUItqywq.pgp Description: PGP signature
Re: squid
W liście z sob, 04-01-2003, godz. 01:15, Piotras pisze: Jasne że sie będzie nudził, ale przy okazji zorganizuje dos szybki dostęp do dysiorka... A stawialem squida na p200 na małą siec i kurde zamiast pomagac to pograrszalo. Po zmianie sprzetu na szybszy problem znikł. Takze osobiscie odradzam stawianie squida na czyms gorszym niz celeronik. Możesz mi wyjaśnić jak się ma wydajność P200 do C300 (zwłaszcza odczyt z dysku) oraz jak jedno i drugie sie ma do przepustowości łącza? Przecież transfer dysk-ram rzędu 1MB/s to jest do osiągnięcia na [EMAIL PROTECTED] a to już jest 10Mbit/s. Masz takie łącze do netu? IMO o wiele większą uwagę należy zwrócić na ilość ramu, zwłaszcza przy wszelkich bazach danych (a squid w końcu taką jest). -- Krzysiek Kielczewski [EMAIL PROTECTED]
Re: squid
Możesz mi wyjaśnić jak się ma wydajność P200 do C300 (zwłaszcza odczyt z dysku) oraz jak jedno i drugie sie ma do przepustowości łącza? Przecież transfer dysk-ram rzędu 1MB/s to jest do osiągnięcia na [EMAIL PROTECTED] a to już jest 10Mbit/s. Masz takie łącze do netu? IMO o wiele większą uwagę należy zwrócić na ilość ramu, zwłaszcza przy wszelkich bazach danych (a squid w końcu taką jest). łącze mam 256 kbit/s a squid napawde nie dzialal za dobrze na p200 - rownie dobrze mogloby go nie byc. Teoria teorią a praktyka praktyką. Ja mam takie doswiadczenia praktyczne jakie mam. Mierzyłem sprawdzałem porównywałem. No i tak wyszło. Pozatym squid nie jest jedyna usługą odpaloną w w serwerze przecietnej ASK. Ale to już inna historia. A co do ramu to fakt też przydatny w duzych ilosciach. pozdrawiam Piotr Potargowicz. p.s. nei ma co już dłuzej chyba sie rozwodzić na ten temat, bo problem rozwiązany.
Squid - wolne dzialanie
Witam Dołączam się do dyskusji na temat squida Puszczam go, aby przyspieszyć ładowanie stron www jednak rzeczywistość jest zupełnie inna. Moja konfiguracja squida to : squid.conf http_port 8080 acl all src /etc/komp http_access allow all acl FTP proto FTP always_direct allow FTP cache_mem 32 MB cache_peer w3cache.tpnet.pl parent 8080 8082 proxy-only store_avg_object_size 128 kB httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on /squid.conf W /etc/komp mam wymienione IP-ki, które mają dostęp do proxy Maszynka też jest szybka ([EMAIL PROTECTED] RAM) System plików ext3, łącze 10 kBps Jednak gdy robię redirect wszystkiego, co idzie na 80 na port 8080 to wszystko zwalnia (strony się ładują _baaardzo_ _wolno_). Może jakieś sugestie co do konfigu względnie czy pomoże przeniesienie plików cache-a na ReiserFS? BTW: gdzie się ustawia miejsce, z którego squid ma trzymać pliki cache-a?? Pozdrawiam -- Tomek -- Prowadzisz interesy ze swiatem? Tlumaczenia tekstow online: http://link.interia.pl/f16b5
Re: Squid - wolne dzialanie
Witam Dołączam się do dyskusji na temat squida Puszczam go, aby przyspieszyć ładowanie stron www jednak rzeczywistość jest zupełnie inna. cache_peer w3cache.tpnet.pl parent 8080 8082 proxy-only 1. Masz ustawionego peera na tpnet Ja zuwazylem ze proxy tpnetowe jest bardzo wolne i stad spowolnienie 2. Poczatki squid-a zawsze sa wolne ale jak juz sie troche napakuje to dziala szybciej. 3. optycznie jest wolniej bo z proxy dostajesz calosc na raz a jak otwierasz cos normalnie (bez proxy) to strony sa wczytywane po kawalku (widzisz ze cos sie dzieje) Mozesz zrobic testy ale potrzebne beda Ci 3 komputery we wszystkich (bo to beda windowsy) czyscisz cache i pliki tymczasowe na 1 ustawiasz proxy i otwierasz strone (najlepiej zwykla html-owa nie za prosta) 2 i 3 skonfigurowane tak ze jeden ma zalaczone proxy a drugi nie i na obu puszczasz jednoczesnie otwieranie tej samej strony pzw CB
Re: squid
| [EMAIL PROTECTED] bez żadnych problemów obsługuje u mnie ~300 userów | podłączonych do 2Mbitów. Dodatkowo mam tam stronę (php+mysql), dns i | mail-huba. Tak więc SDI i 7 użytkowników... to ten celeron będzie się | nudził. | Ile RAMu ? -- Pozdrawiam Warden(at)debian.black.pl
Re: squid
W liście z pią, 03-01-2003, godz. 10:26, Radosław Antoniuk pisze: | [EMAIL PROTECTED] bez żadnych problemów obsługuje u mnie ~300 userów | podłączonych do 2Mbitów. Dodatkowo mam tam stronę (php+mysql), dns i | mail-huba. Tak więc SDI i 7 użytkowników... to ten celeron będzie się | nudził. | Ile RAMu ? hostname:~# free total used free sharedbuffers cached Mem: 127312 123468 3844 0 12636 20312 -/+ buffers/cache: 90520 36792 Swap: 232932 98444 134488 Jak widać więcej ramu by mu się przydało, ale jakoś sobie radzi. Load zwykle utrzymuje się w okolicach 0.1 - 0.4 Pozdrawiam, Krzysiek Kielczewski [EMAIL PROTECTED]
Re: squid
Dnia czw 2. styczeń 2003 09:12, Krzysiek Kielczewski napisał: W liście z śro, 01-01-2003, godz. 16:30, Piotr Potargowicz pisze: Na squida w takiej sieci jak twoja to przydalby sie cos pokroju celeronka 300 minimum, do tego min 128 ram no i SZYBKI dysk twardy, dobrze by bylo z osobna partycja na pliki chache squida z systemem plikow ReiserFS. [EMAIL PROTECTED] bez żadnych problemów obsługuje u mnie ~300 userów podłączonych do 2Mbitów. Dodatkowo mam tam stronę (php+mysql), dns i mail-huba. Tak więc SDI i 7 użytkowników... to ten celeron będzie się nudził. Jasne że sie będzie nudził, ale przy okazji zorganizuje dos szybki dostęp do dysiorka... A stawialem squida na p200 na małą siec i kurde zamiast pomagac to pograrszalo. Po zmianie sprzetu na szybszy problem znikł. Takze osobiscie odradzam stawianie squida na czyms gorszym niz celeronik. A co do problemu Piotra C. to kwestia byla w konfie squida. pozdrawiam Piotr Potargowicz.
Re: squid
W liście z śro, 01-01-2003, godz. 16:30, Piotr Potargowicz pisze: Na squida w takiej sieci jak twoja to przydalby sie cos pokroju celeronka 300 minimum, do tego min 128 ram no i SZYBKI dysk twardy, dobrze by bylo z osobna partycja na pliki chache squida z systemem plikow ReiserFS. [EMAIL PROTECTED] bez żadnych problemów obsługuje u mnie ~300 userów podłączonych do 2Mbitów. Dodatkowo mam tam stronę (php+mysql), dns i mail-huba. Tak więc SDI i 7 użytkowników... to ten celeron będzie się nudził. -- Pozdrawiam, Krzysiek Kielczewski [EMAIL PROTECTED]
Re: squid
Dnia pon 30. grudzień 2002 16:28, [EMAIL PROTECTED] napisał: Witam :) Chcialbym zasiegnac opini na temat zasadnosci uzycia squida. Uzywam squida od 2 m-cy, wydaje mi sie jednak ze squid zamiast przyspieszac otwieranie stron poprzez uzywanie cashowanych na dysku servera danych, on zwalnia lacze - Smutny Dostep do Internetu (SDI) Dane sieci: server na debianie, 7 uzytkownikow, config squda standartowy, shaperd,... Jaki sprzet na tym serwerze? Proc? RAM? Dysk (raczedj szybkosc a nie wielkosc). Na squida w takiej sieci jak twoja to przydalby sie cos pokroju celeronka 300 minimum, do tego min 128 ram no i SZYBKI dysk twardy, dobrze by bylo z osobna partycja na pliki chache squida z systemem plikow ReiserFS. A to to shapaerd to przypadkiem nie jest ten total porażka program http://sp9wun.republika.pl/linux/shaperd_cbq.html ? Pytam sie bo nie jednemu psu burek, na sieci krazy troche softu pod tą nazwą. Jeżeli to ten program, to raczej w nim doszukiwalbym sie przyczyny kiepskiego dzialania sieci. Ogranicza on ruch z inernetu do userow na interfejsie lokalnym, czyli nie ogranicza ruchu do samego serwera (czyli np kazdy transfer z netu do serwera (czyli np squid ciagnacy cos z netu) moze zapchac Ci cale lacze) i dodatkowao przy zlej konfiguracji moze ci ograniczyc ruch od np sqida do userow. A no i chyba to jest program do lacz synchrnicznych? A sdi asynchroniczne jest. W duzym skrocie ten shaperd pasuje do squida jak piesc do oka Faktycznie strony poczatkowo otwieraja sie szybko (te cashowane na dysku servera ), w przypadku ich braku korzystam ze wsparcia w3cashe. Chcialbym zasiegnac jednak opini czy szybciej jest uzywajac squida ( zapytanie - dane cashowane na dysku na lokalnym serverze - wsparcie w3cash - pobranie aktualnych danych ) czy nie szybciej by bylo bez squida ( zapytanie - dane cashowane na dysku danego uzytkownika Internet Temporary Files - pobranie aktualnych danych ). Teoretycznie oczywiscie lepszym rozwiazaniem jest squid, Ale praktyka bywa rozna. poza tym duza czesc stron www jest dynamiczna i serwer proxy dla takich stron pomaga znacznie mniej niz dla starego dobrego statycznego www. pozdrawiam Piotr Potargowicz
Re: squid
[EMAIL PROTECTED]: Witam :) Chcialbym zasiegnac opini na temat zasadnosci uzycia squida. Uzywam squida od 2 m-cy, wydaje mi sie jednak ze squid zamiast przyspieszac Dane sieci: server na debianie, 7 uzytkownikow, config squda standartowy, shaperd,... Faktycznie strony poczatkowo otwieraja sie szybko (te cashowane na dysku servera) Witam Morze przyciłeś shaperem transfer do internetu dla squida,nie wpuszczaj portu 80 do shapera.
squid vs fpp
Witam Od pewnego czasu jestem szczesliwym :) posiadaczem debiana woody. Lacze SDI, mala siec lokalna. W celu przyspieszenia otwierania stron (wizual) zainstalowalem squida. Drugim powodem byla walka z kazza 2. Obecnie wszystko jest wporzadku, w powiazaniu z shaperdem i ipchainsem od Pawelka L. (thx) kazza zostala ujarzmiona, stronki chodza szyciej (powiedzmy). Okazalo sie jednak ze z niewiadomych mi przyczyn nie da sie obecnie zagrac w zadna gre fpp online. Prosze o pomoc w rozwiazaniu problemu, moze ktos sie spotkal z podobna sytuacja. Siedze i czytam dokumentacje i kombinuje ze squidem ale zadnych rezultatow nie osiagam. Pomozcie prosze... Zdesperowany :) Piotr C.
Re: squid vs fpp
Witam Okazalo sie jednak ze z niewiadomych mi przyczyn nie da sie obecnie zagrac w zadna gre fpp online. Moze wystarczy odblokowac port, porty gry :) pozdrawiam Pawelek L. PS: Wesolych Swiat :)
squid vs iptables
Hello debian-user-polish, to znowu ja. siedze kombinuje i niebardzo mi wychodzi. sytuacja jest taka 3 karty sieciowe eth0 IP_publiczne eth1 192.168.0.1 eth2 192.168.1.1 na kartach eth1 oraz eth2 cbq.init, ustawione na sztywno po IP. no i pracuje sobie fajny squid. user wpisuje: 192.168.0.1:8080 i jedzie bez ograniczen, bylo to mile do czasu jak paru smialkow podpielo mi tam jakies magiczny soft do sciagania, efekt oczywisty. chce zrobic na iptables cos takiego: pakiety kierowane na 192.168.0.1:8080 zmieniaja adres zrodlowy na IP_zew i jako takie wpadaja do squida przez karte eth1. ograniczenia w samym squidzie odpadaja, niechodzi mi o daily pool. no i wtedy cbq tnie im takze squida. kombinuje ale cos robie zle... z gory dzieki jr -- Best regards, amon mailto:[EMAIL PROTECTED]
Re: squid vs iptables
Masz te same problemy co u mnie w sieci, czyli 2 interfejsy lokalne :) i jak to sprytnie ograniczyc... Ja zrobilem tak. Spaczowalem kernel czym co sie zwie 'imq' Jet to sobie wirtualny interfejs. Przez ktorego puszczamy sobie dane przychodzace i wychodzace z internetu I na niem ograniczamy sobie CALY przychodzacy i wychodzacy ruch naszego serwera jak i do/od kompow w naszej sieci lokalnej. Bajer jest taki ze jak to dobrze ustawisz to nie ma szans zeby ci sie lacze przytkalo, nawet jak masz np serwer poczty i ktos przysle ci 2 GB poczty z pelna prednkscia :) ... Tak jak ty napisales, zeby ograniczyc ruch z proxy do kompow jest zle. Wtedy proxy traci sens. Tzn . jezeli dany obiekt jest w pamieci squida, to i tak szybkosc jego przesylania do kompa sera jest ograniczona. Pogogluj za Intermediate Queuing Device bo mi cholera gdzies zgina link do tego :( pozdrawiam Piotr Potargowicz.
Re: Wspolpraca Squid i IExplorer pod WinXP (dlugie)...
Dnia wto 3. grudzień 2002 01:54, Skarabeusz napisał: Uzytkownik Adam K** (dziekuje!) potwierdzil to co przypuszczalem, piszac: jakies proste, szybkie, latwe rozwiazanie? Czyli krótko i zwiezle - co jeszcze moge zrobic poza przekierowaniem portu 80 na 3128, zeby mise pracowal tak, jakby mial wpisane recznie ustawienia proxy? uzyj wykryj automatycznie ustawienia proxy w IE (domyslnie ustawione w IE 5) i skonfiguruj sobie na routerze wpad (Web Proxy Auto-Discovery) odpowiednio wtedy bedziesz mial efekt wpisanego proxy recznie Pozdrawiam -- Howks IRCNet: #debian.pl #linuxpl #lgul [EMAIL PROTECTED] | GG: 891244 | http://debian.one.pl GnuPG: 1024D/9C9923A9 BEFC 8AC7 648A 47D3 58DA 1229 F233 A490 9C99 23A9
Wspolpraca Squid i IExplorer pod WinXP (dlugie)...
Drodzy debianowcy! Mam problem z konfiguracja squida transparent proxy (a raczej jego wspólpracy z IExplorer) z którym nie moge sobie poradzic; przeczytalem co sie dalo, ale wynika z tego tyle, ze wszystko powinno byc w porzadku - a nie jest... Opis sytuacji: dwa komputery, pierwszy (192.168.0.1) to linuxowy router (Woody 2.4.18) z polaczeniem do Internetu via ppp0. Drugi (192.168.0.2) z WinXP. Na ruterze jest postawiony squid jako transparent proxy skonfigurowany tak: http_port 3128 icp_port 3130 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on acl all src 192.168.0.0/255.255.255.255 acl localhost src 127.0.0.1/255.255.255.255 http_access allow all http_access allow localhost icp_access allow all icp_access allow localhost Squid jako taki dziala poprawnie. Ale nie chce wpisywac w IExplorer ustawien proxy, wiec skorzystalem z iptables skonfigurowanych jak nastepuje: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -i eth0 -o ppp0 -j ACCEPT -A FORWARD -j LOG COMMIT Teoretycznie (przynajmniej zgodnie z przeczytanymi przeze mnie manualami) wszystko powinno byc ok. Ale nie jest. Poniewaz zaraz szlag mnie trafi, bo pewnie jak zwykle chodzi o jeden, maly, glupi wpis, przedstawiam zachowanie squida. W IExplorer ustawiam recznie proxy na 192.168.1:3128. Odpalam iptables - ok. Odpalam squida - ok. Nawet na wszelki wypadek zagladam do chache.log i oczywiscie wszystko jest w porzadku: Starting Squid Cache version 2.4.STABLE7 [...cut...] Accepting HTTP connections at 0.0.0.0, port 3128, FD 11. Accepting HTTP connections at 0.0.0.0, port 8080, FD 12. Accepting ICP messages at 0.0.0.0, port 3130, FD 13. WCCP Disabled. Wszystko pieknie ladnie. Wstukuje w IExplorer www.pld.org.pl, strona sie ladnie otwiera, na wszelki wypadem sprawdzmy acces.log, czy aby na pewno przez squida: 192.168.0.2 TCP_HIT/200 1042 GET http://www.pld.org.pl//pld.css 192.168.0.2 TCP_HIT/200 5393 GET http://www.pld.org.pl/mini_logo.png 192.168.0.2 TCP_HIT/200 2275 GET http://www.pld.org.pl/pld.png 192.168.0.2 TCP_HIT/200 17231 GET http://www.pld.org.pl/logo.png Znów wszystko pieknie ladnie. Dziala jak trzeba. Teraz wstukuje jakis bzdurny adres, powiedzmy www.abcdef.pl. W IExplorer otwiera sie pieknie strona squida Zadany URL nie moze zostac sprowadzony. Pieknie - i znów podgladam acces.log: 192.168.0.2 TCP_MISS/503 1156 GET http://www.abcdef.pl/ Wszystko tak, jak byc powinno: 503 = Failed: Gateway Timeout. Teraz w IExplorer wywalam reczne ustawienia proxy. Dla pewnosci sprawdzam jeszcze iptables - wszystko jest ok: Table: nat Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- anyhwere anywheretcp dptp:http redir ports 3128 Wszystko pieknie ladnie. Znów wstukuje w IExplorer www.pld.org.pl. Otwiera sie bez problemu. Zagladam do cache.log - wszystko ok, zadanie przeszlo przez squida: 192.168.0.2 TCP_HIT/200 1042 GET http://www.pld.org.pl//pld.css 192.168.0.2 TCP_HIT/200 5393 GET http://www.pld.org.pl/mini_logo.png 192.168.0.2 TCP_HIT/200 2275 GET http://www.pld.org.pl/pld.png 192.168.0.2 TCP_HIT/200 17231 GET http://www.pld.org.pl/logo.png Teraz wstukuje bzdurny adres www.abcdef.pl. I TERAZ ZACZYNA SIE COS, CZEGO NIE ROZUMIEM. Przez 10 sekund nic sie nie dzieje, a potem pojawia sie komunikat bledu... IExplorer! No przeciez szlag mnie trafi. Zagladam do acces.log i co widze?! 192.168.0.2 TCP_MISS/302 594 GET http://auto.search.msn.com/response.asp? Dlaczego?! Za co?! Dlaczego squid nie wywala Gateway timeout i nie wysyla swojego komunikatu? Dlaczego to nie squid sprawdza czy jest taka strona jak www.abcdef.pl? Tak jakby zapytania DNS nie szly przez squida, a cala reszta tak... Co jest zle? Pokornie pochylam glowe przed mistrzami i prosze o pomoc... Andrzej Barabasz PS Uprzejmie prosze o kopie ewentualnej odpowiedzi na adres [EMAIL PROTECTED]
squid
witam mam pytanie jak skonfigurowac squida aby pracowal jako parent dla innego squid? otwarlem porty 8080 3130 i niestety nic z tego. w przegladarce jak sie go ustawi jest OK, inny squid niestety wykrywa go jako martwego. z gory dziekuje jr
squid
Hello debian-user-polish, ma kto pojecie dlaczego po uruchomieniu transparent proxy, squid niewpuszcza na lokalny serwer www ? inne strony dzialaja idealnie, jak wylacze w ipchain redirect i ustawie proxy na sztywno to jest oki. pozdrawiam JR -- Best regards, amon-hard mailto:[EMAIL PROTECTED]
