Всем доброго

Имеется:

Филиал1 с выходом в интернет на 1 Мбит/с
Филиал2 с выходом в интернет на 1 Мбит/с
Офис с выходом в интернет на 100 Мбит/с

Между всеми тремя точками для локальной сети используется оптика.
В каждой из трех точек установлен сервер с SQUID.

Задача:

По умолчанию выход в интернет через SQUID для всех трех точек происходит сквозь "Офис".
В случае обрыва выхода в интернет через "Офис" автоматически трафик с этой точки отправлять на "Филиал1", если же он так же без выхода в интернет то через "Филиал2"
"Филиал-ы" при этом трафик отправляют через себя.

То есть по умолчанию весь трафик идет через "Офис", в случае же недоступности выхода в интернет через "Офис" трафик должен выходить локально в "Филиал-ах" и "Офис" должен переподключиться через доступный "Филиал".

- Смысл в том что бы добиться максимальной надежности доступа в интернет, так как предприятие критически зависимо от доступа в интернет, но при этом скоростной безлимитный доступ только в "Офис".
На текущий момент этот алгоритм решается методом ручной правки конфига при сбое у провайдеров, но это приводит к зависимости от "человеческого фактора", а сбои у провайдеров происходят слишком часто.
Как я думаю нужно подобрать директивы cache_peer, never_direct и т.п. с правильными параметрами.

Заранее спасибо

Добрый день, коллеги!

Помогите побороть Squid. Пытаюсь его настроить в прозрачном режиме. Сам он вполне успешно работает в обычном режиме. Сначала запускал второй экземпляр только с прозрачным режимом, потом дополнил конфиг экземпляра с обычным режимом, что бы работал в обоих. Результат один и тот же. Обычный режим работает, прозрачный - нет.

Схема такая:

Клиент -> WifiPoint -> WifiController(NAT) -> Firewall -> Squid -> Интернет

На контроллере wifi (Zyxel NXC2500), с помощью встроенного NAT у пакетов меняется адрес получателя на сервер squid и порт с 80 на 8080. Дальше все роутится через firewall на сервер со squid.

Squid.conf:
http_port 3128
http_port 8080 intercept

squid -v
Squid Cache: Version 3.3.13
configure options:  '--host=i586-suse-linux-gnu' '--build=i586-suse-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--datadir=/usr/share' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/lib' '--localstatedir=/var' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--disable-dependency-tracking' '--disable-strict-error-checking' '--sysconfdir=/etc/squid' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--sharedstatedir=/var/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/run/squid.pid' '--with-dl' '--enable-disk-io' '--enable-storeio' '--enable-removal-policies=heap,lru' '--enable-icmp' '--enable-delay-pools' '--enable-esi' '--enable-icap-client' '--enable-useragent-log' '--enable-referer-log' '--enable-kill-parent-hack' '--enable-arp-acl' '--enable-ssl' '--enable-forw-via-db' '--enable-cache-digests' '--enable-linux-netfilter' '--with-large-files' '--enable-underscores' '--enable-auth' '--enable-auth-basic' '--enable-auth-ntlm' '--enable-auth-negotiate' '--enable-auth-digest' '--enable-external-acl-helpers=LDAP_group,eDirectory_userip,file_userip,kerberos_ldap_group,session,unix_group,wbinfo_group' '--enable-ntlm-fail-open' '--enable-stacktraces' '--enable-x-accelerator-vary' '--with-default-user=squid' '--disable-ident-lookups' '--enable-follow-x-forwarded-for' '--disable-arch-native' 'build_alias=i586-suse-linux-gnu' 'host_alias=i586-suse-linux-gnu' 'CFLAGS=-fomit-frame-pointer -fmessage-length=0 -grecord-gcc-switches -fstack-protector -O2 -Wall -D_FORTIFY_SOURCE=2 -funwind-tables -fasynchronous-unwind-tables -g -fPIE -fPIC -DOPENSSL_LOAD_CONF' 'LDFLAGS=-Wl,-z,relro,-z,now -pie' 'CXXFLAGS=-fomit-frame-pointer -fmessage-length=0 -grecord-gcc-switches -fstack-protector -O2 -Wall -D_FORTIFY_SOURCE=2 -funwind-tables -fasynchronous-unwind-tables -g -fPIE -fPIC -DOPENSSL_LOAD_CONF' 'PKG_CONFIG_PATH=%{_PKG_CONFIG_PATH}:/usr/lib/pkgconfig:/usr/share/pkgconfig'

Система opensuse 13.2

cache.log на любой запрос по http
2015/10/16 16:50:34 kid1|  NF getsockopt(SO_ORIGINAL_DST) failed on local=192.168.29.1:8080 remote=192.168.29.1:58508 FD 70 flags=33: (2) No such file or directory

Такие записи на любой запрос.
В access.log на этот запрос пишет 502 ошибку:
16/Oct/2015:16:49:36 +0300      1 192.168.10.10 TCP_MISS/502 4399 GET http://www.yandex.ru/ - HIER_DIRECT/192.168.29.1 text/html

Клиент видит только ответ с ошибкой (то что прокси получил ответ нулевой длинны)

Я начал грешить на NAT от Zyxel, но потом параллельно со squid поставил privoxy, отдал ему порт 8080 на прозрачный режим, все остальное осталось без изменений. И все заработало!  Я уже был готов сделать проброс от privoxy к squid, как к родительскому прокси, но privoxy, как оказалось, не умеет https траффик в прозрачном режиме.

Помогите решить эту проблему.

Squid3 на ubuntu 14.04, контроллер домена на Windows Server2012R2.
Механизмами аутентификации пользователей прокси-сервера Squid 3 по протоколам Kerberos и NTLM в среде домена Active Directory.
Проблема с системой LIGHTSQUID анализатора логов Squid.
Некоторые учетки (большинство) содержат русские имена и пробелы - вида Иванов И И.
В логах /var/log/squid3/access.log - п≤п╡п╟п╫п╬п╡ п≤ п≤ (url кодировка через пробелы).
В отчетах Lightsquid последняя буква И.

Шустрил интернет, никакие способы не помогли.
Может кто поможет???

Доброго всем дня!
В теме полный профан, но делать и учиться надо.
запустил squid 2.7 stable8 на win2012
служба стартовала, все нормально. но при попытке подключиться через него страницы не открываются, а скачивается бинарный файлик. IE открывает страницу с двумя спецсимволами и на этом останавливается.
не могу понять в чем проблема, в логах отказа нет, все вроде работает.
конфиг брал из многочисленных мануалов в сети и ничего кроме порта не менял

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
# Оставляем ниже одну из записей для своей локальной сети, если прокси-сервер  используется
# только на одной машине, на которой он и установлен, то эти записи нужно закомментировать
acl localnet src 10.0.0.0/8             # RFC1918 possible internal network
acl localnet src 172.16.0.0/12      # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80                   # http
acl Safe_ports port 21                   # ftp
acl Safe_ports port 443                # https
acl Safe_ports port 70                   # gopher
acl Safe_ports port 210                # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280                # http-mgmt
acl Safe_ports port 488                # gss-http
acl Safe_ports port 591                # filemaker
acl Safe_ports port 777                # multiling http
acl CONNECT method CONNECT
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
# And finally deny all other access to this proxy
http_access deny all
#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all
# Прописываем порт, на который сквид будет ожидать соединения от клиентов.
http_port 8080
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
Default:
cache_replacement_policy lru
# Прописываем расположение директории, в которой будет хранится наш кэш:
cache_dir ufs c:/squid/var/cache 100 16 256
store_dir_select_algorithm least-load
max_open_disk_fds 0
minimum_object_size 0 KB
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
update_headers on
access_log c:/squid/var/logs/access.log squid
logfile_daemon c:/squid/libexec/logfile-daemon.exe
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
logfile_rotate 10
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
log_fqdn off
strip_query_terms on
buffered_logs off

На этом же сервере установлена еще одна прокся, TrafficInspector, но настроен он на другой порт, 3128.
может ли он мешать работе? (хотя когда то настраивал squid совместно с usergate и нормально работало)

Есть прокси сервер squidnt 2.7 не могу настроить авторизацию через группы в AD? гляньте пожалуйста, что не так?
#===Адрес прокси===
http_port 3128

dns_nameservers 192.168.1.13  192.168.1.14

#===Отображаемое имя прокси===
visible_hostname test_proxy

auth_param ntlm program c:/squid/libexec/mswin_ntlm_auth.exe -v
auth_param ntlm children 25
auth_param ntlm keep_alive on
external_acl_type NT_global_group children=25 negative_ttl=1800 %LOGIN c:/squid/libexec/mswin_check_lm_group.exe -G -d -c

acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
acl localnet proxy_auth ReQUIRED src 10.9.8.0
acl InetUsers external NT_global_group InternetUsers
acl white url_regex "C:\squid\etc\acls\white.txt"
http_access allow InetUsers
http_access allow localnet white
http_access deny CONNECT
http_access deny all

Настраиваю скид с ntlm аутентификацией. Всё срабатывает замечательно, всё запрещается и разрешается как надо. Но как только у пользователя, у которого разрешён только белый список начинает грузить сайт, на котором какой то компонент не разрешён к загрузке - браузер начинает как бешеный перезапрашивать авторизацию, IE11 может раз 5-10 перезапросить, Chrome спрашивает только один раз. Подскажите пожалуйста что нужно подправить в моём конфиге, чтобы такого не было?
__________________________________
Конфиг squid.conf

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#подключаем хелпер, производит авторизацию по группе
auth_param ntlm children 25
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#подключаем хелпер, производит авторизацию по группе
auth_param basic children 5
auth_param basic realm Proxy Autentification Required
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
#подключаем хелпер, производит авторизацию по пользователю

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.20.0/32 # RFC1918 possible internal network

#Список доступных портов
acl SSL_ports port 443
acl SSL_ports port 9443
acl SSL_ports port 4443
acl SSL_ports port 4453 4005
acl SSL_ports port 5222
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl AUTH proxy_auth REQUIRED
# обязательная авторизация

acl urls-bad url_regex -i "/etc/squid3/blacklist"
# Плохие сайты http/https
acl urls-ok url_regex -i "/etc/squid3/whitelist"
# Хорошие сайты

acl inet_allow external nt_group internet_allow
# авторизация по группе (им будет всё можно, кроме чёрного списка)
acl inet_close external nt_group internet_deny
# авторизация по группе (им всё запретим, кроме хороших сайтов)

#acl test proxy_auth accept_user_internet
# авторизация по пользователю

# Разрешаем/запрещаем порты

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access deny inet_allow urls-bad
# запрещаем все плохие сайты
http_access allow inet_allow
# разрешаем остальные сайты

http_access allow inet_close urls-ok
# Разрешаем белый список группе internet_deny
http_access deny inet_close
# Запрещаем всё остальное группе inetrnet_deny

http_port 3128

access_log /etc/squid3/log/access.log

__________________________________
cat /etc/squid3/blacklist
vk.com
mail.ru

__________________________________
cat /etc/squid3/whitelist
drive.ru
img.drive.ru
tns-counter.ru
st.top100.ru
google-analytics.com
b.scorecardresearch.com
ads.adfox.ru
cstatic.weborama.fr
matchid.adfox.yandex.ru
counter.yadro.ru
ctldl.windowsupdate.com

Привет всем, у меня такая проблема в сети есть cisco proxy и есть клиент на котором установлен cisco NAC agent, есть комы у которых нету cisco NAC agent. Задача сделать доступ в интернет компам у которых нет cisco NAC. Т.е я хочу поставить squid на тачку на которой стоит NAC agent. Я ставлю проксю, навастриваю ее, но служба не запускается, по 1067 ошибке, в папке sbin/ файл лога пустой без ошибок. ОС: Windows 7, squid 2.7 for windows. Можно ли вообще такую схему реализовать? поставить свкид на тачку с циско агентом чтобы компы у которые будут подключатся к сквид могли выйти в инет?
Вот мои действия и конфиги:
#name
http_port 3131
#acl
acl all src 0.0.0.0/0.0.0.0
acl USER src 10.200.11.0/255.255.255.0
acl PORT port 80 443
#acl access
http_access allow USER PORT
#acl deny
http_access deny all
#cache memory
cache_meme 64 MB
cache_dir ufs c:/squid/var/cache 1000 16 256

далее в cmd пишем SQUID_HOME\sbin\squid -z
далее в cmd пишем SQUID_HOME\sbin\squid -i
далее в cmd пишем net start squid

Вся эта штука работает в СПД компании, я штатный сотрудник, а не админ. Поэтому как настроен циско агент и прокси я не знаю.

Привет)

не могу понять правильную настройку ограничение пулов через sams2, у кого вышло?помогите плиз

я смог ограничить только через squid в ручную, без тэгов,на всю подсеть.

но мне нужно сделать ограничением по шаблонам в sams2

Здравствуйте!

я уже весь изваялся.

хочу прикрутить squid 3.4.8 минимум, к sams2 с работающим редиректором(желателньо от sams). только не ветка squid3.5, с ней не работает, пробовал уже.
чтоб белые списки работали при превышения лимит, временные диапазоны и т.д. по стандарту

Есть у кого либо опыт уже в этом?
или как достать этот порт хотя бы?

и черные списки по категориям (порно, соц сети и т.д.), ну это не к чему, но в идеали, если можно и это прикрутить. то как?)

и еще попутно, у меня на связке sams2+squid33 при блокировки пользователя, выдает текст - все гуд, но не показывает картинку и посмотрел путь через отладчик-все гуд. и взял полный путь до картинки, прям с отладчика и вбил в браузер, то кажет ее.

Подскажите, squid работает на hyper-v. Останвил виртуалку, забэкапил виртуальный диск, запустил виртуалку. После этих действий squid при авторизации в ad пользователей стал добавлять ко всем символы "5c". Выглядит это вот так:
...sAMAccountName=DOMAIN\5cUser...
С чем это может быть связано.

Добрый вечер.
Возникла проблема с тормозами squid'а.
При более 400 одновременных соединений открытие страниц через squid становится медленным (начинает притормаживать), если пускать в обход squid'а - всё летает. Процессор почти не загружен и Память только на 3%.
Что делать? Куда дальше крутить настройки?

Выкладываю свой squid.conf:
tcp_outgoing_address ххх.ххх.ххх.ххх
http_port ххх.ххх.ххх.ххх:3128 transparent

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl to_localnet dst 10.0.0.0/8

acl direct dstdomain ххх
acl direct dstdomain ххх.ru
always_direct allow direct

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 81        # http2
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost
http_access deny all

positive_dns_ttl 2 minute
negative_dns_ttl 30 second
shutdown_lifetime 1 seconds
icp_port 0
dns_nameservers 127.0.0.1
dns_v4_first on

cache_mem 8 GB
maximum_object_size_in_memory 512 KB
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid 10000 16 256
maximum_object_size 512 KB

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
visible_hostname proxy

Заранее всем спасибо :-)

Доброго времени суток!

Люди, помогите разобраться в проблеме.
Есть proxy на Ubuntu 12/04/
eth0 - смотрит в инет
eth1 - в локалку. имеет адрес 192.168.128.1/19

Появилась необходимость пускать через прокси других людей из другого филиала.
Так вот, поставили там роутер, на роутере ip 192.168.130.193/26
Проблема в следующем, с роутера из филиала я пингую 192.168.128.1, а вот с прокси адрес 192.168.130.193 не проходит.
Делаю с proxy traceroute 192.168.130.193 завершается на первом шаге и дальше ничего не показывает.

Может надо какое то правило в iptables добавить?
Помогите разобраться...

Помогите настроить, есть ПК1 с WIN XP и 2 сетевух

1 карта подключена к роутеру
2 карта должна раздавать инет на ПК2.
мне нужен прозрачный прокси на карте 2 ПК1, который весь траффик, причем любой с абсолютно всех портов перекидывал бы на другую программу, на ее порт. в т.ч. и HTTP, HTTPS, DNS и не только tcp но и UDP запросы, вообщем все, что идет с сетевухи ПК1_2 шло через прозрачный проксик, например squid а этот squid кидал бы все на другую программу, которая является сокс-сервером
если это на WIN XP не возможно, то помогите тогда настроить линукс, если-что и ее поставлю, не проблема.

Здравствуйте! Уже несколько дней не могу побороть этот сайт, всё открывается замечательно, один только он упирается. Сайт www.drive.ru открывается, но нет картинок. При этом в логе никаких запретов не обнаружил.
config
cache_mem 32 MB
mime_table /opt/squid/etc/mime.conf

# Заводим в переменные порты
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

# Обзываем нашу локальную сеть
acl serv src 192.168.20.96      #сам сервер
acl net_admin src 192.168.20.10-192.168.20.30   # админская сеть, где должно быть разрешено всё
acl net_users src 192.168.20.31-192.168.20.60   # пользовательская сеть, где всё запрещено

# Заводим в переменную белым списком сайтов
acl allowed_site dstdomain .drive.ru talkgadget.google.com ads.adfox.ru share.pluso.ru b.scorecardresearch.com .google-analytics.com st.top100.ru counter.yadro.ru .tns-counter.ru cstatic.weborama.fr accounts.google.com talkgadget.google.com counter.rambler.ru drive.solution.weborama.fr kitbit.net t.insigit.com
acl allowed_site dstdomain google.mail.com
acl allowed_site dstdomain .stylest.tk

# Запрещаем подключение всем кроме назначенных Safe_ports
http_access deny !Safe_ports

#Запрещаем метод CONNECT всем кроме указанных SSL портов
http_access deny CONNECT !SSL_ports

# Разрешаем Localhost только cachemgr доступ
http_access allow localhost manager
http_access deny manager

# Разрешаем всё админское сети - net_admin
http_access allow net_admin

# Запрещаем всё кроме разршённых сайтов для пользовательской сети - net_users
http_access allow net_users
http_access allow net_users allowed_site

# Разрешаем всё Localhost
http_access allow localhost

# И запрещаем доступ всем остальным
http_access deny all

# Назначем сквиду ssl сертификат
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/squidCA.pem
always_direct allow all
ssl_bump allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /opt/squid/var/cache/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /opt/squid/var/cache/squid

log
1440748107.170    173 192.168.20.33 TCP_MISS/200 10119 GET http://www.drive.ru/ - HIER_DIRECT/146.255.192.78 text/html
1440748107.187      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.187      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.188      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.188      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.189      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.190      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.213      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.214      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.214      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.222      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.223      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.223      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.228      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.228      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.231     55 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/css/global.css? - HIER_DIRECT/146.255.192.78 -
1440748107.240      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.241      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.244      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.246      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.248      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.252      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.266      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.266      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.268      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.276      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.288      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.289      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.291      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.293      2 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.294      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.295    116 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/css/index.css? - HIER_DIRECT/146.255.192.78 -
1440748107.295    113 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/js/adfox.asyn.code.ver3.js - HIER_DIRECT/146.255.192.78 -
1440748107.298    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/css/form.css? - HIER_DIRECT/146.255.192.78 -
1440748107.298    118 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 273 GET http://www.drive.ru/js/core.js? - HIER_DIRECT/146.255.192.78 -
1440748107.304      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.305      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.306      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.307      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.youtube.com:443 - HIER_NONE/- -
1440748107.308      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.321     59 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/bg.jpg - HIER_DIRECT/146.255.192.78 -
1440748107.323      2 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.330      6 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.332      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.332    149 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/js/adfox.asyn.code.scroll.js - HIER_DIRECT/146.255.192.78 -
1440748107.332      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.334      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.336      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.345      8 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.350      1 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.354      3 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.362      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.363      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.382      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.382      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.383      0 192.168.20.33 TAG_NONE/200 0 CONNECT img.drive.ru:443 - HIER_NONE/- -
1440748107.438     60 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/sprites.png? - HIER_DIRECT/146.255.192.78 -
1440748107.497    133 192.168.20.33 TCP_MISS/200 681 GET http://ads.adfox.ru/59610/prepareCode? - HIER_DIRECT/213.180.204.92 application/x-javascript
1440748107.623     70 192.168.20.33 TCP_MISS/200 681 GET http://ads.adfox.ru/59610/prepareCode? - HIER_DIRECT/213.180.204.92 application/x-javascript
1440748107.641      9 192.168.20.33 TCP_MISS/304 216 GET http://www.google-analytics.com/ga.js - HIER_DIRECT/79.136.239.53 -
1440748107.643     15 192.168.20.33 TCP_MISS/200 1482 GET http://b.scorecardresearch.com/beacon.js - HIER_DIRECT/188.43.74.10 application/x-javascript
1440748107.675    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/logo.png? - HIER_DIRECT/146.255.192.78 -
1440748107.676    119 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/open-page-shadow.png - HIER_DIRECT/146.255.192.78 -
1440748107.676    119 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/vgr.png? - HIER_DIRECT/146.255.192.78 -
1440748107.676    120 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 272 GET http://www.drive.ru/images/brands-19.png - HIER_DIRECT/146.255.192.78 -
1440748107.677    121 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 271 GET http://www.drive.ru/images/hgr.png - HIER_DIRECT/146.255.192.78 -
1440748107.725      7 192.168.20.33 TCP_MISS/204 306 GET http://b.scorecardresearch.com/b? - HIER_DIRECT/188.43.74.10 -
1440748107.747    114 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 238 GET http://st.top100.ru/pack/pack.min.js - HIER_DIRECT/81.19.88.116 -
1440748107.763    125 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 461 GET http://cstatic.weborama.fr/js/products.js - HIER_DIRECT/93.184.221.133 -
1440748107.782     74 192.168.20.33 TCP_MISS/200 455 GET http://www.google-analytics.com/r/__utm.gif? - HIER_DIRECT/79.136.239.53 image/gif
1440748107.782    148 192.168.20.33 TCP_MISS/200 326 GET http://counter.yadro.ru/hit;DRIVE? - HIER_DIRECT/88.212.201.193 image/gif
1440748107.839     62 192.168.20.33 TCP_CLIENT_REFRESH_MISS/304 461 GET http://cstatic.weborama.fr/iframe/external_all.html - HIER_DIRECT/93.184.221.133 -
1440748107.841    204 192.168.20.33 TCP_MISS/302 686 GET http://www.tns-counter.ru/V13a***R>http://www.drive.ru/video/audi/volkswagen/55bb660f95a65685aa...*drive_ru/ru/UTF-8/tmsec=drive_total/953312640 - HIER_DIRECT/194.226.130.228 image/gif
1440748107.884    122 192.168.20.33 TCP_MISS/200 538 GET http://counter.rambler.ru/top100.scn? - HIER_DIRECT/81.19.88.81 image/gif
1440748107.990    220 192.168.20.33 TCP_MISS/200 1003 GET http://drive.solution.weborama.fr/fcgi-bin/comptage_wreport....? - HIER_DIRECT/195.54.48.9 image/gif
1440748108.045    203 192.168.20.33 TCP_MISS/200 492 GET http://www.tns-counter.ru/V13b***R>http://www.drive.ru/video/audi/volkswagen/55bb660f95a65685aa...*drive_ru/ru/UTF-8/tmsec=drive_total/953312640 - HIER_DIRECT/194.226.130.228 image/gif

Здравствуйте, подскажите пожалуйста как настроить squid + ubuntu + mikrotik

Все ветки облазил проблема не решилась, понимаю что много однотипного и похожего но нужен взгляд со стороны (делал по видео, и по другим инструкциям ошибка одна итаже).

ип микротика 192.168.88.1 (включен дхцп)
ип сервера с прокси 192.168.88.2 (одна сетевая)

конфиг squid:
------------------------------------------------------
http_port 3128 transparent

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

acl manager url_regex -i ^cache_object:// +i ^https?://[^/]+/squid-internal-mgr/

#acl localhost src 127.0.0.1/32 ::1
#acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.88.0/24 # RFC 1918 possible internal network
#acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
#acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all

cache_access_log /var/log/squid3/access.log
-------------------------------------------------------------------

содержимое файла /etc/rc.local

iptables -t nat -A PREROUTING -p tcp -m tcp -s 192.168.88.0/28 --dport 80 -j DNAT --to-destination 192.168.88.2:3128
-------------------------------------------------------------------

конфиг на микротике:

1) chain=dnsnat src.adr=192.168.88.2 protocol=tcp dst.port=80 action=accept

2) chain=dnsnat protocol=tcp src.adress list=test action=dns-nat to-adress=192.168.88.2:3128

всписке test находятся ип кому идти через проксю
-------------------------------------------------------------------

содержимое файла /etc/network/interfaces

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
-------------------------------------------------------------------

в результате такого конфига вижу "доступ запрещен"

У меня телефон андроид. Чтобы декодить HTTPS трафик надо добавить сертификат из Fiddler надо установить пин на локскрин. Я не хочу этого делать. Хочу перед Fiddler поставить Squid и добавить туда сертификат для того чтобы телефон принимал его за свой. Читал про SSL Bump но не догнал. может кто знает?

Честно говоря не знаю к какой ветке отнести суть моего вопроса, поэтому указал общий. Извините если что..
Впервые столкнулся с прокси. Для меня эта тема новая, много чего не знаю. Вроде как поставил по различным мануалам (выставляя настройку прокси в браузере, сайты открывает). Пока что ничего не блокировал, просто проверил работоспособность. Открывает. Работает. Столкнулся с вопросом - как сделать, чтобы интернет НЕ РАБОТАЛ если в браузере снять галочку "использование прокси..." ?
Интернет через USB модем МегаФон (IP динамический). ОС Win 8.1
Прокси ставлю для детей (1 локальный ПК). Я конечно не думаю, что они догадаются снять галочку прокси в браузере, но мало ли.. Если защиту можно так легко отключить то какой в ней смысл?))
И пользуясь случаем прошу дать ссылку или просто сказать как это корректно называется, чтобы знать где "копать". Нужно настроить прокси, чтоб он понимал какой локальный пользователь windows зашёл в систему и соответствующе работал (админ или ограниченный режим).

Добрый день, коллеги. Столкнулся со следующей проблемой в squid 3.5.7(Не работает прозрачное проксирование https):

less +G /var/log/squid/cache.log

2015/08/04 16:24:08 kid1| /var/lib/ssl-db: (2) No such file or directory
2015/08/04 16:24:08 kid1| helperOpenServers: Starting 5/32 'ssl_crtd' processes
(ssl_crtd): Cannot create /var/lib/ssl-db
(ssl_crtd): Cannot create /var/lib/ssl-db
(ssl_crtd)(ssl_crtd): : Cannot create /var/lib/ssl-dbCannot create /var/lib/ssl-db

2015/08/04 16:24:08 kid1| Logfile: opening log /var/log/squid/access.log
2015/08/04 16:24:08 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/access.log'
(ssl_crtd): Cannot create /var/lib/ssl-db
2015/08/04 16:24:08 kid1| Store logging disabled
2015/08/04 16:24:08 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2015/08/04 16:24:08 kid1| Target number of buckets: 1008
2015/08/04 16:24:08 kid1| Using 8192 Store buckets
2015/08/04 16:24:08 kid1| Max Mem  size: 262144 KB
2015/08/04 16:24:08 kid1| Max Swap size: 0 KB
2015/08/04 16:24:08 kid1| Using Least Load store dir selection
2015/08/04 16:24:08 kid1| Set Current Directory to /var/spool/squid
2015/08/04 16:24:08 kid1| Finished loading MIME types and icons.
2015/08/04 16:24:08 kid1| HTCP Disabled.
2015/08/04 16:24:08 kid1| Squid plugin modules loaded: 0
2015/08/04 16:24:08 kid1| Adaptation support is off.
2015/08/04 16:24:08 kid1| Accepting HTTP Socket connections at local=[::]:3129 remote=[::] FD 21 flags=9
2015/08/04 16:24:08 kid1| Accepting NAT intercepted HTTP Socket connections at local=[::]:3130 remote=[::] FD 22 flags=41
2015/08/04 16:24:08 kid1| Accepting NAT intercepted SSL bumped HTTPS Socket connections at local=[::]:3131 remote=[::] FD 23 flags=41
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr1, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr2, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr4, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr3, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| helperHandleRead: unexpected read from ssl_crtd #Hlpr5, 25 bytes 'Initialization SSL db...
'
2015/08/04 16:24:08 kid1| WARNING: ssl_crtd #Hlpr1 exited
2015/08/04 16:24:08 kid1| Too few ssl_crtd processes are running (need 1/32)
2015/08/04 16:24:08 kid1| Closing HTTP port [::]:3129
2015/08/04 16:24:08 kid1| Closing HTTP port [::]:3130
2015/08/04 16:24:08 kid1| Closing HTTPS port [::]:3131
2015/08/04 16:24:08 kid1| storeDirWriteCleanLogs: Starting...
2015/08/04 16:24:08 kid1|   Finished.  Wrote 0 entries.
2015/08/04 16:24:08 kid1|   Took 0.00 seconds (  0.00 entries/sec).
FATAL: The ssl_crtd helpers are crashing too rapidly, need help!

Сборка squid была со следующими параметрами:

squid -v

Squid Cache: Version 3.5.7-20150801-r13880
Service Name: squid
configure options:  '--prefix=/usr' '--includedir=/usr/include' '--datadir=/usr/share' '--bindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--sysconfdir=/etc/squid3' '--enable-delay-pools' '--enable-ssl' '--enable-ssl-crtd' '--enable-linux-netfilter' '--enable-eui' '--enable-snmp' '--with-openssl' --enable-ltdl-convenience

cat /etc/squid3/squid.conf | grep -v "^#"

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl wan src ip/21
acl wan src ip/21

acl url_filtered src ip/21
acl url_filtered src ip/21
acl url_filtered src 10.0.0.0/8

acl blacklist url_regex -i "/etc/squid3/blacklist_test"

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny blacklist url_filtered
http_access allow localnet
http_access allow localhost
http_access allow wan

http_access deny all

http_port 3129
http_port 3130 intercept
https_port 3131 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid3/ssl/squid.pem key=/etc/squid3/ssl/squid.pem

always_direct allow all

ssl_bump client-first all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl-db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

cache_access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log squid

cache_effective_user squid
cache_effective_group squid

Генерирование сертификата:

openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem

Делал rm -rf /var/lib/ssl_db && /usr/lib/squid/ssl_crtd -c -s /var/lib/ssl_db && chown -R squid:squid /var/lib/ssl_db   - не помогло.

C правами вроде бы всё нормально:

ls -lsa ssl/
итого 12
4 drwxrwxrwx 2 squid squid 4096 Авг  4 16:08 .
4 drwxr-xr-x 3 squid squid 4096 Авг  4 16:14 ..
4 -rw-r--r-- 1 squid squid 1783 Авг  4 16:08 squid.pem

Может кто сталкивался с данной проблемой, заранее спасибо за помощь.

Доброго дня!
Помогите найти решение проблемы.
Дано: Ubuntu Server 14/04. Squid 3.3.8 + Sams2.
Проблема в том, что если в имени пользователя есть заглавные буквы / либо пароль более 8 символов, то в браузере сколько угодно раз вводить, без результатно.
Почитал в сети, говорят, что проблема в basic_ncsa_auth используется алгоритм шифрования DES, а sams2 когда создаешь пользователя из web интерфейса алгоритм MD5.
причем если я ручками из командной строки создаю пользователя - то все ОК. И заглавные буквы и длинные пароли - все работает...
Т.е. я предполагаю, что проблема именно в скриптах SAMS2.
Подскажите, где и в каких скриптах можно снять эти ограничения?

Здравствуйте, имеется прокси сервер на фря:

9.3-RELEASE FreeBSD 9.3-RELEASE #2: Thu Jun 11 09:52:58 MSK 2015     user@gate.local:/usr/obj/usr/src/sys/MYKERNEL  amd64

И Есть вопрос
Шлюз с nat+ipfw+squid, прокси работает в прозрачном режиме, так же прикручен sslbump, все работает, но есть проблема с google drive, dropbox и яндекс диском, подключение не происходит. Если прописать проксю в браузере вида 192.168.0.* 3128 то, гугл драйв начинает работать, но по https перестает блокироваться аудио видео, редиректор блокирует запрещенные сайты, но при этом почему то не перенаправляет на корп. ресурс, а просто открывается пустая страница
Готов добавить в исключения (allow_site), но не понимаю как корректно занести все поддомены, пробовал на яндексе, добавив:
yandex.ru
disk.yandex.ru
яндекс диск стал подключаться за 5-10 минут, при этом если я открываю яндекс то, в свойствах безопасности я вижу сертификат яндекса (а не свой), если я иду по вкладкам то, содержимое страниц начинает отображаться не полность, возможно там используются еще какие то сертификаты, которые прокси уже не пропускает, но с гуглом не получилось даже так. В поддержка гугла есть https://support.google.com/drive/answer/2589954?hl=ru вся имена, которые надо добавить в исключения, но не очень понятно как это сделать корректно, и в каком виде
Если смотреть логи, то весь трафик идет на googledrive.com:433

Пробовал добавлять googledrive.\com, но результат тот же

конфиг сквида (убрал блокировку видео\аудио и флеша для сокращения):

shutdown_lifetime 2 seconds
#########################################################################
acl localnet src 192.168.0.0/24
###########################################################################

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost

acl webserver src 192.168.0.30/32
http_access allow manager localhost
http_access allow manager webserver
http_access deny manager

cachemgr_passwd ********* all

http_access deny to_localhost

acl allow_sites url_regex "/usr/local/etc/squid/allow_site"

###########################################################################
http_access allow localnet
http_access allow localhost
#######################################################################
http_access deny all
#######################################################################

# Squid normally listens to port 3128
http_port 3128
http_port 3129 intercept
https_port 3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/squid.pem key=/usr/local/etc/squid/squid.pem

redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

ssl_bump none domains_ssl_direct
ssl_bump server-first all

# Also add the following lines to enable SSL bumping:
always_direct allow all !domains_ssl_direct
ssl_bump client-first all

# the following two options are unsafe and not always necessary:
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

#sslproxy_capath /var/lib/ssl_db/certs

sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB
#Access.log
#log_fqdn on
access_log /var/log/squid/access.log squid !user-gods

# Uncomment and adjust the following to add a disk cache directory.
cache_log /var/log/squid/cache.log
cache_dir ufs /var/squid/cache 8192 16 256
maximum_object_size 10 MB
cache_effective_user squid
#cachemgr_passwd none all
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

dns_v4_first on
redirector_access deny localhost

Всем привет.

Имеется проблема с выходом с интернет не доменных пользователей.

Мой squid.conf

visible_hostname FreePROXY

#cache_effective_user root

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_port 172.16.10.15:3128

# Аутентификация в Active Directory

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 200
auth_param ntlm keep_alive on

auth_param basic program /usr/local/libexec/squid/basic_ncsa_auth /usr/local/etc/squid/passwd
auth_param basic children 30
auth_param basic realm Basic auth
auth_param basic credentialsttl 2 hours

acl passwd proxy_auth REQUIRED
http_access allow passwd
http_access deny all

С доменными пользователями проблем нет, а при выходе в интернет недоменных, появляется окно авторизации. Причем, как я понял, окно авторизации ntlm. Как можно сделать таким образом, чтоб у недоменных пользователей не выходило окно авторизации ntlm?

Доброго времени)
У меня пул второго класса. Заметил следующее:
если прописать
delay_parameters 1 -1/-1 1250000/1250000
то скорость не 10, а 5 мегабит
если увеличить размер
delay_parameters 1 -1/-1 1250000/2500000
то все ОК
скорость меряю через локальный сервер скриптом speedtest mini

Это так и должно быть?

Добрый день.
После какого-то обновления версии squid начал определять себя на таких сервисах как  http://leader.ru/secure/who.html

Наличие прокси
да
Пройденные прокси
1
Ближайший прокси
мой_хост [ squid/3.3.13 ]

помогите пожалуйста разобраться

Конфиг:

auth_param basic program /usr/local/libexec/squid/basic_ncsa_auth /usr/local/etc/squid/passwd
acl SSL_ports port 443
acl CONNECT method CONNECT
acl authuser proxy_auth REQUIRED
http_access allow authuser
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 3128
cache_log /var/squid/log/cache.log
cache_store_log /var/squid/log/store.log
refresh_pattern ^ftp:    1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern (cgi-bin|\?)    0    0%    0
refresh_pattern .    0    20%    4320
icp_port 3130
forwarded_for off
coredump_dir /usr/local/squid/cache
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
acl ip1 myip 62.х.х.1
tcp_outgoing_address 62.х.х.1 ip1
acl ip2 myip 62.х.х.2
tcp_outgoing_address 62.х.х.2 ip2

Помогите уже неделю бьюсь)
Поднял сквид3 на убунте 14.04 в обычном режиме если прописать в браузере адрес прокси все работает.

Но есть шлюз аппаратный на нем поднято 2Wan(интерфейса)  и две Lan + firewall + nat + dhcp.
Мне надо смотреть кто куда ходит , по каким сайтам и вести статистику.
Шлюз zyxel usg 300 на нем включил функцию редирект Http 192.168.1.36:3128 <- ip squid servera.

192.168.1.1 ip Шлюза.

Как мне сделать чтоб весь трафик проходил через сквид а потом уходил на роутер и  в инет.

/etc/squid3/squid3.conf
acl student src 192.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443     # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl localnet src 192.168.1.0/24
acl CONNECT method CONNECT
http_access allow localhost
http_access allow student
http_access allow all
http_access allow localnet
http_port 3128
http_port 127.0.0.1:3128 intercept
http_reply_access allow student
cache_mem 32 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir aufs /var/log/squid3/cache 10000 14 256
maximum_object_size 128000 KB
cache_swap_low 95
cache_swap_high 99
cache_store_log /var/log/squid3/store.log
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern -i \.(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200
refresh_pattern -i \.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080 90% 43200
refresh_pattern -i \.(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000
refresh_pattern -i \.(html|htm|css|js)$ 1440 75% 40320
refresh_pattern -i \.index.(html|htm)$ 0 75% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 1440 90% 10080
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 100
store_avg_object_size 13 KB
visible_hostname localhost
access_log /var/log/squid3/access.log

/etc/network/interfaces

auto lo
iface lo inet dhcp

у меня на шлюзе мак-бигдинг для прокси сервера 192.168.1.36
auto lo
iface lo inet dhcp

Кстати если прописать прокси шлюзом
192.168.1.200 ip
255.255.255.0 mask
192.168.1.36 gw
8.8.8.8 DN

То все прекрасно работает.

Добрый день.
Windows 2008r2 и squid 3.5

Часть кода не работает:

delay_pools 1
delay_class 1 1
delay_access 1 allow all
delay_parameters 1 0,05/0,05

squid.exe -k reconfigure -n squid
говорит, что нет таких команд.

Доброго всем дня. Имеется виртуальный сервер на FreeBSD 10.1 со связкой Samba 4.1.18 и Squid 3.5.3. Столкнулся с проблемой бесконечного появления окна аутентификации пользователя при работе данной связки и браузеров IE у клиента.

Конфиг Сквида такой:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
### !Вот этого файла не было в версиях 3.3-3.5, потому копировал с версии 3.2 вручную. Впрочем, на решение проблемы это не повлияло.

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.0/20
acl samsungnet src 192.168.7.0/26
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl POST method POST
acl inetuser proxy_auth REQUIRED
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow all inetuser
#http_access allow localnet
http_access allow samsungnet
http_access allow localhost
http_access allow POST localnet
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 192.168.2.1:3128
redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
redirect_children 50
cache_dir rock /var/squid/cache/rock 5120 max-size=102400
access_log daemon:/var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache/
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Конфиг с некоторыми правками взят с полностью рабочего сервера на FreeBSD 9.2 + Squid 3.2.13 + Samba 3.6.23.

Samba, на всякий случай, находится в домене, правильно отдаёт пользователей и группы, и вообще вся связка работает корректно на браузере Firefox и других.
Проблема наблюдается только в IE, причём сайт загружается, но при этом постоянно вылетает окно аутентификации:
> Для входа на сервер по адресу Squid proxy-caching web server нужны имя пользователя и пароль.

После чего при отмене и переходе на другую страницу
> Доступ к кэшу запрещён.

Если ввести верные данные, то IE запоминает их до первой перезагрузки.

Что я пробовал: ставить версии Squid 3.5.3, 3.4.11, 3.4.10, 3.3 и ковыряться с конфиг-файлом. Безуспешно.
Что советует гугл: https://social.technet.microsoft.com/Forums/azure/en-US/c379... — вот такое решение, с которым связано две проблемы:
— оно явно костыльное;
— файлов /usr/lib/squid3/squid_ldap_auth и /usr/lib/squid3/squid_ldap_group я в версии на FreeBSD так и не нашёл.

Приветствую всех!
Возник небольшой вопрос и не могу понять в какую же мне сторону копать, подскажите.
Есть FreeBSD линейки 10.x Generic с настроенным SQUID 3.5.3, аутентификация kerberos.
Нужно открыть порты для клиент-банка, не совсем понимаю как это правильно сделать и куда смотреть. Из гугла понял, что в сквиде можно добавить Safe_ports, сделал - не работает, также понял, что ipfw по умолчанию не включен/насроен/работает т.к. при выводе
# ipfw list
получаю
ipfw: getsockopt(IP_FW_GET): Protocol not available
Конфигурация на фре - умолчальная, никаких фаерволлов не настраивал.
Хочу понять, чтобы открыть порты на внешку, что мне нужно настраивать?
вот вывод netstat
# netstat -na | grep LIST
tcp4       0      0 127.0.0.1.3128         *.*                    LISTEN
tcp4       0      0 10.68.12.1.3128        *.*                    LISTEN
tcp4       0      0 127.0.0.1.25           *.*                    LISTEN
tcp4       0      0 *.80                   *.*                    LISTEN
tcp4       0      0 *.22                   *.*                    LISTEN
tcp6       0      0 *.22                   *.*                    LISTEN
Заранее благодарю за помощь.

Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:

1432272664.391    121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -

Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:

1432272926.972    215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -

если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...

Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128

# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local

acl SSL_ports         port 443    # ssl
acl SSL_ports         port 9091    # BKS-bank
acl SSL_ports         port 9443    # sberbank
acl Safe_ports         port 80        # http
acl Safe_ports         port 21     # ftp
acl Safe_ports         port 443     # https
acl Safe_ports         port 70     # gopher
acl Safe_ports         port 210     # wais
acl Safe_ports         port 1025-65535    # unregistered ports
acl Safe_ports         port 280     # http-mgmt
acl Safe_ports         port 488     # gss-http
acl Safe_ports         port 591     # filemaker
acl Safe_ports         port 777     # multiling http
acl CONNECT         method             CONNECT

# Списки доступа клиентов
acl IP_Full_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"

acl lan         src            192.168.0.0/24
acl lan2 src            10.0.105.0/24 192.168.2.0/24
acl auth         proxy_auth         REQUIRED
acl Blocked_Access    external memberof     Internet-Blocked
acl Restricted_Access    external memberof     Internet-Restricted
acl Standard_Access    external memberof     Internet-Standard
acl Full_Access        external memberof    Internet-Full
acl Kadr_Access        external memberof    Internet-Kadr
acl Video_Access    external memberof    Internet-Video
acl Razvlech_Access    external memberof    Internet-Razvlecheniya
acl SocSeti_Access    external memberof    Internet-SocSeti
acl Steam_Access    src            192.168.0.50
acl sber        dstdomain        .sberbank.ru

#Списки доступа к сайтам
acl Allowed_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam        dstdomain         "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx        urlpath_regex -i     serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers    src            "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access    allow    localhost manager
http_access    allow    lan manager
http_access    deny    manager
http_access    deny    !Safe_ports
http_access    deny    CONNECT !SSL_ports
http_access    allow    sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access    deny    Porno_Sites
# Allow unrestricted access to prioritysites
http_access    allow    Priority_Sites
# Allow direct access to Windows Update
http_access    allow    GlobalWU_Sites    LocalWU_Servers
# Allow direct access to steam
http_access    allow    Steam        Steam_Access
http_access    allow    SteamRegEx    Steam_Access
http_access    deny    IP_Restrict_Access    all
http_access    allow    IP_Full_Access
http_access    allow    Video_Sites        IP_Video_Access
http_access    deny    Video_Sites        lan2
http_access    allow    Razvlech_Sites        IP_Razvlech_Access
http_access    deny    Razvlech_Sites        lan2
http_access    allow    Kadr_Sites        IP_Kadr_Access
http_access    deny    Kadr_Sites        lan2
http_access    allow    SocSeti_Sites        IP_SocSeti_Access
http_access    deny    SocSeti_Sites        lan2
http_access    allow    IP_Standard_Access
http_access    deny    lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access    deny    !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access    deny    Blocked_Access        all
http_access    allow    Allowed_Sites                    lan
http_access    deny    Restricted_Access    all
http_access    deny    IP_Restrict_Access    all
http_access    allow    Full_Access                auth    lan
http_access    allow    Video_Sites        Video_Access     auth    lan
http_access    deny    Video_Sites
http_access    allow    Razvlech_Sites        Razvlech_Access    auth    lan
http_access    deny    Razvlech_Sites
http_access    allow    Kadr_Sites        Kadr_Access    auth    lan
http_access    deny    Kadr_Sites
http_access    allow    SocSeti_Sites        SocSeti_Access    auth    lan
http_access    deny    SocSeti_Sites
http_access    allow    Standard_Access                auth    lan
http_access    deny    all

Доброго времени суток, читатель!
Обращаюсь к тебе с проблемой в надежде обрести немного помощи. Суть такова:
Есть FreeBSD 10.1 с тремя интерфейсами, два из которых объединены в мост без адреса. Интерфейсы также без адресов. Третий - с адресом, для О&М нужд. Стоит сквид 3.5.4 в режиме TPROXY. Не получается направить на него HTTP-траффик. Правила ipfw использую такие:

ipfw add 1100 fwd 127.0.0.1,8080 log ip from any to any 80 in recv bge0
ipfw add 1101 fwd 127.0.0.1 log ip from any 80 to any in recv bge1

В итоге счетчки растут:

01100   56  10370 fwd 127.0.0.1,8080 log logamount 50 ip from any to any dst-port 80 in recv bge0
01101   44  33438 fwd 127.0.0.1 log logamount 50 ip from any 80 to any in recv bge1

Логи пигшутся:

May 17 19:46:02 squid kernel: ipfw: 1100 Forward to 127.0.0.1:8080 TCP 192.168.1.10:13944 192.168.1.20:80 in via bge0
May 17 19:46:02 squid kernel: ipfw: 1101 Forward to 127.0.0.1 TCP 192.168.1.20:80 192.168.1.10:13944 in via bge1

А на сквиде - пусто. Если застопить сквид, то ничего не меняется, следовательно все идет мимо. В этом вся проблема.

В качестве предыстории расскажу, что сначала пробовал запустить intercept с использованием pf - все заработало, когда присвоил адрес мосту (интерфейсы без адресов), но, естественно, подменяло адрес источника, чего мне не надо. Поэтому перешел к режиму tproxy.

Итак, конфиг сквида:

acl localnet src 192.168.0.0/16        # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl manager url_regex -i ^cache_object:// /squid-internal-mgr/
http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128
http_port 127.0.0.1:8080 tproxy

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
#refresh_pattern .               0       20%     43200 override-lastmod reload-into-ims
refresh_pattern .               0       20%     4320

debug_options ALL,1 0,9 5,9  11,9 17,9 73,9 76,9 89,9 22,3 3,3 28,9

logformat squid %{%Y.%m.%d %H:%M:%S %z}tl %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

В кеш логе на старте:

2015/05/17 20:03:49.015 kid1| Accepting TPROXY intercepted HTTP Socket connections at local=127.0.0.1:8080 remote=[::] FD 17 flags=25

squid -v:

configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--disable-eui' '--disable-cache-digests' '--disable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--disable-ipv6' '--enable-kqueue' '--with-large-files' '--disable-http-violations' '--without-nettle' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--enable-ipfw-transparent' '--disable-pf-transparent' '--with-nat-devpf' '--disable-forw-via-db' '--disable-wccp' '--disable-wccpv2' '--with-heimdal-krb5=/usr' 'CFLAGS=-I/usr/include -O2 -pipe  -fstack-protector -fno-strict-aliasing' 'LDFLAGS=-L/usr/lib  -pthread -fstack-protector' 'LIBS=-lkrb5 -lgssapi -lgssapi_krb5 ' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=ufs aufs diskd' '--enable-disk-io=AIO Blocking IpcIo Mmapped DiskThreads DiskDaemon' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd10.1' 'build_alias=amd64-portbld-freebsd10.1' 'CC=cc' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -fstack-protector -fno-strict-aliasing ' 'CPP=cpp' '--enable-ltdl-convenience'

В /etc/rc.conf лежит следующее:

hostname="squid"
sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="AUTO"
zfs_enable="YES"

background_fsck="NO"

defaultrouter="10.16.0.1"
ifconfig_bge3="inet 10.16.2.165/22"

cloned_interfaces="bridge0"
ifconfig_bridge0="addm bge0 addm bge1 up"
ifconfig_bge0="up"
ifconfig_bge1="up"

firewall_enable="YES"
firewall_type="open"
firewall_logging="YES"

squid_enable="YES"
squid_user="root"

В процессе тестов правила ipfw добавляю вручную. Получается так:

00100     0       0 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
00400     0       0 deny ip from any to ::1
00500     0       0 deny ip from ::1 to any
00600     0       0 allow ipv6-icmp from :: to ff02::/16
00700     0       0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800     0       0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900     0       0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000     0       0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100    82    8498 fwd 127.0.0.1,8080 log logamount 50 ip from any to any dst-port 80 in recv bge0
01101    56   30724 fwd 127.0.0.1 log logamount 50 ip from any 80 to any in recv bge1
65000 17790 1820248 allow ip from any to any
65535     0       0 deny ip from any to any

Ну и sysctl -a | grep forward:

kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0

kldstat:

Id Refs Address            Size     Name
1   16 0xffffffff80200000 17627c8  kernel
2    1 0xffffffff81963000 2f94a0   zfs.ko
3    2 0xffffffff81c5d000 6040     opensolaris.ko
4    1 0xffffffff81e11000 939c     if_bridge.ko
5    1 0xffffffff81e1b000 53f8     bridgestp.ko
6    1 0xffffffff81e21000 11460    ipfw.ko

Гуглил очень долго, ориентировался в первую очередь на: http://www.opennet.me/openforum/vsluhforumID12/7113.html
Подскажите, пожалуйста, что я делаю не так? Использование ipfw мне не принципиально, остальное важно.

Собственно, вопрос в том, правильно ли я понимаю работу этой опции.
Как мне кажется, при обращении к серверу http/1.1, при установке соединения, сервер отдает ответ с кодом 100 (мол, все ок, жду). Клиент, получив такой код, начинает передачу и все поехало. Squid в нормальном состоянии ожидает получить такой код ответа, после чего продолжит обмен данными. Если сервер не отправит код 100, то Squid генерит ошибку 417 и передает ее клиенту. На случай корявых разработчиков сервера, можно дать команду забить на ожидание кода 100. Это и выполняется с помощью ignore_expect_100 on.
И больше никакой смысловой нагрузки эта опция не несет. Так или нет?