The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Прокси сервер Squid

   Корень / Администратору / Сетевые сервисы / Прокси сервер Squid
ACL, ограничения трафика и пользователей [16]

----* Как узнать логин в домене Windows имея ip и NTLM авторизацию в Squid?   Автор: Забудкин Лев Мирославович  [комментарии]
 
Если у Вас есть SQUID и Вы используете NTLM авторизацию и хотите знать какой сейчас 
(по крайней мере в последний раз авторизовался) у клиента IP адрес или какому клиенту он присвоен, 
то воспользуйтесь следующей командой:

awk '{user[tolower($8)]=$3} END {for(i in user) {print user[i] " " i}}' access.log | sort

Будет выведено примерно следующее:
  192.168.132.200 e_scher
  192.168.132.202 v_lit
  192.168.132.203 a_volob
  192.168.132.204 a_kuch
  192.168.132.210 e_utsum
  192.168.132.211 v_nik
  192.168.132.212 s_maz

Как видите, это удобно использовать в случае squid и NAT.
 
----* Скрипт генерации статистики для Free-SA   Автор: Linjan  [комментарии]
  Анализатор логов Squid Free-SA (http://free-sa.sourceforge.net/) значительно удобнее и быстрее SARG. Во FreeBSD его можно установить из портов (/usr/ports/www/free-sa/). Настраивается программа достаточно тривиально, достаточно использовать поставляемый в комплекте (после установки порта находится в /usr/local/etc/free-sa/) пример free-sa.conf.sample, поменяв там путь к логам Squid в директиве "log_file".
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Защищаем http-proxy от пробрасывания http-туннеля средствами iptables (доп. ссылка 1)   Автор: Владимир   [комментарии]
  При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Организация подключения по SSH через HTTP прокси   [комментарии]
  Устанавливаем ПО corkscrew (http://www.agroman.net/corkscrew/), позволяющее создавать туннели поверх HTTP прокси.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Помещение данных о входящем трафике из ipcad в лог squid (доп. ссылка 1)   Автор: Забудкин Лев Мирославович  [комментарии]
  Чтобы анализаторы логов прокси сервера squid отображали данные о пересылках в обход прокси, например данные по почтовому или ssh трафику, можно сохранить данные о таких пересылках в логе squid.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Прозрачное проксирование FreeBSD + IPFW + Squid.   Автор: Астафьев Григорий  [комментарии]
 
Все тестировалось на FreeBSD 6.2.

Вначале добавляем необходимые опции в ядро:

   IPFIREWALL
   IPFIREWALL_FORWARD

Далее добавляем правила на разворот трафика на Squid:

   ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80

Затем правка собственно squid.conf :

   http_port 3128

   httpd_accel_host virtual
   httpd_accel_port 80
   httpd_accel_with_proxy on
   httpd_accel_uses_host_header on
 
----* Как вытащить все MP3 файлы из кеша Squid   Автор: Michael Rulov  [комментарии]
 
   purge -n -a -s -c /etc/squid/squid.conf -C /tmp/MP3s/ -e '\.mp3|\.wav'

Утилиту purge скачать можно здесь: http://www.wa.apana.org.au/~dean/sources/
 
----* WCCP + Linux + Squid   Автор: Mike Zagrayevsky  [комментарии]
 
Чтобы заставить эту связку работать необходимо в конфиге squid'a поставить "wccp_version 4",
а на cisco - "ip wccp version 1" иначе не работает.
Ядро 2.4.x собирается с включенным GRE, потом собирается и подгружается модуль ip_wccp.o
Никаких iptunnel руками делать не надо. Все работает и без них.
 
----* Аутентификация пользователей в squid через учетные записи samba (доп. ссылка 1)   Автор: freeman  [обсудить]
 
1. собрать сквид (2.5s1 или s2) с поддержкой аутентификации 
     --enable-auth=basic,ntlm --enable-auth-modules=SMB --enable-basic-helpers=SMB --enable-ntlm-modules=SMB
2. поставить ntlm_auth из /helpers/ntlm_auth/smb/
3. поставить smb_auth (для клиентов не поддерживающих ntlm аутентификацию) из /helpers/basic_auth/smb/
4. в сквиде аутентификацию делать через ACL proxu_auth.

basic аутентификацию через smb_auth (см. сайт разработчиков), для ntlm_auth встроенный хелп.
Для самбы стандартные настройки для контроллера домена. 
 
----* Принудительное проксирование в FreeBSD (доп. ссылка 1)   Автор: Дмитрий Новиков  [комментарии]
 
Для принудительного проксирования, на прокси-сервере следует ввести
 правила Firewall:
01000 fwd 127.0.0.1,3128 tcp from 10.128.0.0/16 to any 80,8080,8101
В squid.conf нужно добавить:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
На маршрутизаторе "развернуть" Веб-трафик на ПРОКСИ-сервер:
ipfw add 10 fwd ip_прокси tcp from 10.128.0.0/16 to any 80,8080 out
xmit lnc1
 
----* Как пробросить туннель через http-прокси (например squid) (доп. ссылка 1)   [комментарии]
 
Сервер:
  stunnel -p /usr/local/etc/stunnel.pem -r 127.0.0.1:80 -d 443
Клиент:
  stunnel -c -d 2.2.2.2:2323 -r proxy.host.ru:3128 -Z 3.3.3.3:443
Организуется туннель: user -> 2.2.2.2:2323 -> proxy.host.ru:3128 -> 3.3.3.3:443 -> 127.0.0.1:80
127.0.0.1:80 - ip и порт на удаленной машине, куда пробрасывается туннель.
2.2.2.2:2323 - ip и порт локальной машины, "вход в туннель"
proxy.host.ru:3128 - proxy сервер с поддержкой CONNECT
3.3.3.3:443 - удаленная машина, ожидающая сторона туннеля.
 
----* Как запустить squid без кэширования страниц и балансировкой трафика. (доп. ссылка 1)   [комментарии]
 
# Запрещаем кэширование
   acl all src 0/0
   no_cache deny all
# Пересобираем с поддержкой null хранилища.
  ./configure --enable-storeio=ufs,null
# Включаем поддержку null кэша.
   cache_dir null /tmp
# Балансировка трафика между тремя каналами:
   acl satalite_link src 192.168.1.0/255.255.255.0
   tcp_outgoing_address 192.168.1.1 satalite_link
   tcp_outgoing_address 192.168.1.2
 
----* Как принудительно завернуть весь http трафик через Squid на FreeBSD   [комментарии]
 
В /etc/ipnat.rules заносим:
      rdr rl0 0/0 port 80 -> 127.0.0.1 port 3128 tcp
В squid.conf:
      httpd_accel_host virtual
      httpd_accel_port 80
      httpd_accel_with_proxy  on
      httpd_accel_uses_host_header on
 
----* Все работает отлично, за исключением того, что Squid не работает с некоторыми единичными хостами. (доп. ссылка 1)   [обсудить]
 
echo 0 > /proc/sys/net/ipv4/tcp_ecn
 
----* Как увеличить производительность squid proxy ? (доп. ссылка 1) (доп. ссылка 2)   [комментарии]
 
Используйте метод доступа к хранилищу DISKD.
Параметры сборки: ./configure --enable-storeio=diskd,ufs
(также можно указать --enable-async-io --enable-poll)
В файле конфигурации:
cache_dir diskd /cache1 1024 16 256 Q1=72 Q2=64
 

 Версия для печати




  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList