Доброго времени суток!

Знаю,что тема может быть и есть где-то,но я настойчиво все прочитал,прежде чем создавать тему.

Значит,проблема следующая...

взял за основу вот этот мануаль.
http://srijit.com/how-to-setup-squid-as-transparent-proxy-in.../

Все настроил,все сделал. Включаю роут на микротике и в итоге мне пишет следующее:

ERROR

The requested URL could not be retrieved

При получении URL http://178.172.253.236:8080/ произошла следующая ошибка

Доступ запрещён.

Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

Администратор Вашего кэша: webmaster.

вот конфиг
http://pastebin.com/6S7q5aJw

Стоит Squid на freebsd. С этими системами сталкиваюсь впервые. В чем проблема, время от времени падает squid, вроде как говорит, что порт занят, а потом "Cannot HTTP..."

Cannot bind socket FD 23 to *:3535: (48) Address already in use
FATAL: Cannot open HTTP Port

обычно падение кратковременное и перезагрузка squidа через скрипт помогает, но вот уже 2 раза за 2 месяца падения "глобальные". Выдает сообщение которые выше...Вроде разрешаю эти проблемы, но хотелось бы, чтобы их не было. Ребята, помогите разобраться, что нужно делать? Какие логи и конф необходимо предоставить? Спасибо.

кешировать ютуб возможно на сквиде ?
есть где почитать ?

Добрый день!

Вот уже несколько дней хочу настроить прозрачный сквид 3.3.8 на убунте 13.10. Но сквид не кеширует https. На фв указаны все редайректы портов, тисипидамп показывает принятый пакет с 443 порта, но вот тот же пакет уже не видим на access.log сквида. С http все нормально работает. Думаю может не указана опция активирования ссл при компиляции сквида, результат команды "squid3 -v":

====================================================================================================================================================================================

--build=x86_64-linux-gnu --prefix=/usr --includedir=${prefix}/include --mandir=${prefix}/share/man --infodir=${prefix}/share/info --sysconfdir=/etc --localstatedir=/var --libexecdir=${prefix}/lib/squid3 --srcdir=. --disable-maintainer-mode --disable-dependency-tracking --disable-silent-rules --datadir=/usr/share/squid3 --sysconfdir=/etc/squid3 --mandir=/usr/share/man --enable-inline --enable-async-io=8 --enable-storeio=ufs,aufs,diskd,rock --enable-removal-policies=lru,heap --enable-delay-pools --enable-cache-digests --enable-underscores --enable-icap-client --enable-follow-x-forwarded-for
--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB --enable-auth-digest=file,LDAP --enable-auth-negotiate=kerberos,wrapper --enable-auth-ntlm=fake,smb_lm --enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group --enable-url-rewrite-helpers=fake --enable-eui --enable-esi --enable-icmp --enable-zph-qos --enable-ecap --disable-translation --with-swapdir=/var/spool/squid3 --with-logdir=/var/log/squid3 --with-pidfile=/var/run/squid3.pid --with-filedescriptors=65536 --with-large-files --with-default-user=proxy --enable-linux-netfilter build_alias=x86_64-linux-gnu CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now CPPFLAGS=-D_FORTIFY_SOURCE=2 CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security

====================================================================================================================================================================================

Видимо надо вот компилировать исходник с опциями --enable-ssl --enable-ssl-crtd. Добавил это все вместе и скомпилировал со всеми этими опциями. А он ошибку выдает:

====================================================================================================================================================================================
/usr/bin/ld: cannot find -lssl
/usr/bin/ld: cannot find -lcrypto
collect2: error: ld returned 1 exit status
make[3]: *** [basic_ncsa_auth] Error 1
make[3]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth/NCSA'
make[2]: *** [all-recursive] Error 1
make[2]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers/basic_auth'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/bb/Downloads/squid-3.3.8/helpers'
make: *** [all-recursive] Error 1
====================================================================================================================================================================================

Может кто знает как компилировать или где достать готовую компиляцию с https?
Спасибо!

Помогите разобраться с проблемой.
Есть прокси squid, у всех юзеров он в настройках явно прописан. Но у некоторых он отказывается работать. При попытке открыть страницу брауйзер долго и нудно чего-то ждет. Пробовал разные браузеры (IE, Хром) разницы нет. Если прокси в настройках выключить, то страницы начинают нормально открываться.

пинг на прокси идет стабильно, без потерь
телнетом порт 3128 открывается
трасса на проски правильная
пробовал на проски занизить mtu до 1400 - не помогло
в access.log запрос от клиента виден

по всем тестам должно все работать, но оно не работает
подскажите как найти причину этой загадки

Машина на Centos 6.5
Скачал и скомпилировал squid 3.4.1
Ставил следующим образом
./configure --prefix=/usr --includedir=/usr/include --datadir=/usr/share --bindir=/usr/sbin --libexecdir=/usr/lib/squid --localstatedir=/var --sysconfdir=/etc/squid --enable-icmp --enable-delay-pools --disable-wccp --disable-wccpv2 --disable-snmp --enable-nf-transparent --disable-auth-basic --disable-auth-ntlm --disable-auth-negotiate --disable-ipv6
make
make install
Ошибок во время установки не было.
Но при команде service squid start выдаёт unrecognized service
в /etc/rc.d/init.d скрипта squid нет
Машину перезагружал
Что мне делать дальше?
Прошу сильно не пинать, первый раз ставлю из исходников

Привет.

Должен настроить сквид сервер, чтобы фильтрация происходила по мак адресам и по базе данных. Ну типо пропускал только те компы, мак адреса которых на базе есть. Ну вообще external_acl_type не получилось использовать, есть кто разбирается?

Добрый день,
Прошу помочь собрать сквид без ротации логов, только эта опция мешает и периодически убивает его. Никакие способы отключения ротации логов не помогают.

Ошибка:
storeDirWriteCleanLogs: Starting...
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Логи сливаются в файл /var/log/squid/access.log из которого потом все забирает TraffPro и складывает в базу MySQL - затирая данные в access.log.
Squid хочет очистить логи, это видно из:
storeDirWriteCleanLogs: Starting...
Потом после безуспешной попытки очистки он пишет:
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Нужно просто собрать сквид все по дефолту, но без ротации логов.
Можно ссылку на мануал, или кто делал раньше подобное

Система CentOS 6.4 x64
Traffpro 1.3.8 + squid 3.1.0

Спасибо

Привет! В связи с переходом сети на доменную структуру переношу аутентификацию прокси с basic на kerberos. Все прошло удачно, работает.

Работает с одной оговоркой. Пробую описать ситуацию.

Когда пользователь запускает браузер (тестировалось на IE8 и Google Chrome. Платформа Windows 7), у него должна открываться стартовая страница, предписанная групповыми политиками.
На деле - первая открытая страница "Зависает", а в статус баре значится "соединение...".
Так происходит до тех пор, пока это самое "соединение..." не отобьет по тайм-ауту.

В тоже время, если открыть вторую вкладку браузера в этом же окне, то там все моментально открывается! Повторю, пока первая вкладка не может соединиться с чем-то там, во второй уже можно работать. А если на зависшей вкладке нажать F5 (обновить страницу) то и она загрузится.

Проблема плавающая. Не при каждом открытии браузера страница залипает, бывает все проходит как и должно. Но жалуются довольно часто и в тестовой виртуальной машине проблема подтвердилась.

На самом деле проблема может быть в WPAD? В тестовой среде, если напрямую указывать FQDN прокси-сервера я так и не смог уловить эту проблему. Но диагностика затруднена тем, что казус выявляется так редко. Но умножая на количество пользователей - это серьезная проблема для меня.

function FindProxyForURL(url, host) {
    if (isPlainHostName(host)) {
        return "DIRECT";
    }
    if (dnsDomainIs(host, ".my.domain")) {
        return "DIRECT";
    }
return "PROXY squid.my.domain:3128"
}

Пытался посмотреть wiresharkом трафик, но ничего аномального не увидел.

Настройки прокси клиент получает от файла автоконфигурации. Путь к нему выдается групповой политикой домена.
wpad.dat размещен на том же сервере что и сквид, доступ к нему без проблем. Все DNS-имена настроены и резолвятся, с клиента легко закачивается wpad.dat файл по пути, указанному политикой.

Господа, с чем может быть связан такой казус?

Любая информация и конфиги по требованию.
squid 3.1.20
lighttpd 1.4.31
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.51-1 i686 GNU/Linux (Полностью обновленный Debian 7, без GUI)

PS - Почему я раздаю WPAD политиками, а не сразу FQDN прокси? Таким образом я организовал failover. Существуюет второй прокси-сервер, абсолютно автономный, с такими же настройками и со своим wpad.dat. Между ними работает ha-heartbeat. В случае падения первого сервера, его айпиадрес подхватывает второй, продолжая раздавать WPAD.dat по тому же адресу, но уже с другим содержанием, указывая что прокси сервер - он, а не умерший.

Если у вас есть способы организовать отказоустойчивый кластер для squid с kerberos аутентификацией проще и(или) надежней, дайте мне знать, пожалуйста, я не придумал :(

Простите за большое количество текста.

Уважаемые форумчане, вот какая интересная задача:

Есть Интернет, есть сервер со squid3 и настроенным файрволом (debian), и есть локальная сеть с пользователями, которые хотят интернет...

На компьютерах пользователей установлена такая приблуда (VipNet[Открытый интернет] если что), суть ее в следующем - когда пользователь переходит в режим интернета, то локальная сеть отрубается (на логическом уровне) и пользователю доступен только интернет-сервер, это типа защита такая - локальная сеть не доступна, ну я думаю, понятно.

Схема такая(это когда пользователь переключился в режим открытого интернета):
[интернет]----[сервер интернет, Linux]-----[координатор VipNet]----[Хаб]-----[Польз.1][Польз.2][Польз.3]...

Когда пользователь не в режиме открытого интернета - он идет напрямую на интернет сервер (координатор открытого интернета не доступен)

IP адреса у пользователей при переключении режимов не меняются.
                                                      
Так вот, на squid мне нужно как-то определять, что пользователь идет через Координатор VipNet, или он идет напрямую.

Для чего? Для того, что по заданию партии, когда пользователь идет в интернет напрямую у него одни доступы, когда через координатор открытого интернета - другие, более расширенные.

Пока придумал только запускать 2 экземпляра squid. Но вопрос - можно ли использовать один кэш или нужно будет 2? И вообще, как лучше запустить 2 копии squid - может кто даст пошаговую инструкцию, было бы здорово...

А может посоветуете другой способ?

есть ЦентОс есть сквид 3.1.10 в iptables создал правило заворачиваещее трафик 80 порта на сквид
$IPT -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

в конфиге сквида
http_port 192.168.0.7:3128 transparent

аутентификация  нтлм
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

так вот если в браузере прокси и порт прописаны то всё ходит как надо, а если нет трафик заворачивается и сквид никого не пускает. пишет что
he requested URL could not be retrieved
При получении URL http://www.yandex.ru/? произошла следующая ошибка
Доступ запрещён.
Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.

Что ж ему надо????

После смены провайдера squid стал резать входящую скорость на freebsd 8.2
После переноса конфигурации на 9.2 ситуация не изменилась

Starting squid.
2013/11/20 02:42:02| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2013/11/20 02:42:02| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2013/11/20 02:42:02| WARNING: (B) '127.0.0.0/8' is a subnetwork of (A) '127.0.0.0/8'
2013/11/20 02:42:02| WARNING: because of this '127.0.0.0/8' is ignored to keep splay tree searching predictable
2013/11/20 02:42:02| WARNING: You should probably remove '127.0.0.0/8' from the ACL named 'to_localhost'

сам squid

http_port  127.0.0.1:3128 transparent

hierarchy_stoplist cgi-bin ?

#acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl QUERY urlpath_regex cgi-bin \?
acl HTTP        port    80
acl HTTPS       port    443
acl purge method PURGE
acl connect method CONNECT

http_access allow purge localhost
http_access deny purge

acl nobanners src all
acl good_url url_regex -i "/usr/local/etc/squid/ban_list/good_url"
acl megagood url_regex -i "/usr/local/etc/squid/ban_list/megagood"
acl mail     url_regex -i "/usr/local/etc/squid/ban_list/mail"
acl banners  url_regex -i "/usr/local/etc/squid/ban_list/banner"
acl bad_url  url_regex -i "/usr/local/etc/squid/ban_list/bad_url"
acl socnet   url_regex -i "/usr/local/etc/squid/ban_list/socnet"
acl media    urlpath_regex -i \.mp3$ \.wav$ \.avi$ \.flv$ \.mp4$ \.wma$ \.f4v$
acl tranz    url_regex -i .gm.com$ .asus.com$
acl 192   src 192.168.1.0/24

no_cache deny QUERY all manager localhost to_localhost purge connect nobanners banners media tranz

http_access allow manager 192
http_access deny  manager
http_access deny  connect
http_access deny  banners !megagood
http_access deny  bad_url
http_access deny  socnet
http_access allow 192

http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all

visible_hostname Kill_Bill

pid_filename<-->/usr/local/squid/squid.pid
coredump_dir<-->/usr/local/squid/
#access_log<--->/usr/local/squid/access.log
cache_dir ufs<->/usr/local/squid/cache<><------>5096 16 256
cache_log<----->/usr/local/squid/logs/cache
cache_store_log>none
access_log<---->none

log_mime_hdrs<->off

error_directory /usr/local/etc/squid/errors/Russian-1251

cache_swap_low  80
cache_swap_high 85
cache_mem 100 MB
maximum_object_size 50 MB

Добрый день, уважаемые!

У меня падает демон Squid, причем падает на пол и при этом больше не встает, пока в ручную его не запустишь снова...

А падает он сперва сказав слова:

storeDirWriteCleanLogs: Starting...

Потом у него кружится голова и из уст его звучат его последние слова:

FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Логи сливаются в файл /var/log/squid/access.log из которого потом все забирает TraffPro и складывает в базу MySQL - затирая данные в access.log.

У меня сложилось впечатление что Squid хочет очистить логи, это видно из:
storeDirWriteCleanLogs: Starting...

Потом после безуспешной попытки очистки он пишет:
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Вопрос: Как можно заставить Squid не очищать лог файл - /var/log/squid/access.log ?
В Интернете нашел инфу что можно удалить файл ротации логов squid - rm /etc/logrotate.d/squid
Но это не помогло, потом выяснилось что можно вырубить ротацию дописав в файл - /etc/squid/squid.conf строчку:
log_rotate 0

Это тоже к сожалению не помогло. Гугл молчит :sad:

Осталось спросить у Гуру Unix/Linux  мира, запостив данное сообщение тут на Opennet.
Помогите Юниксоиды и Линуксоиды своим добрым словом, буду  рад услышать от Вас конструктивные предложения по устранению данного казуса.

Заранее Спасибо!

Система CentOS 6.4 x64
Версия Squid 3.1.10

Вот лог при падении демона Squid:

cache.log          [----]  0 L:[3382+57 3439/3439] *(290134/290134b) <EOF>
2013/11/15 10:07:17| Squid plugin modules loaded: 0
2013/11/15 10:07:17| Adaptation support is off.
2013/11/15 10:07:17| Ready to serve requests.
2013/11/15 10:07:17| Store rebuilding is 1.98% complete
2013/11/15 10:07:18| Done reading /var/spool/squid swaplog (207299 entries)
2013/11/15 10:07:18| Finished rebuilding storage from disk.
2013/11/15 10:07:18|    207299 Entries scanned
2013/11/15 10:07:18|         0 Invalid entries.
2013/11/15 10:07:18|         0 With invalid flags.
2013/11/15 10:07:18|    207299 Objects loaded.
2013/11/15 10:07:18|         0 Objects expired.
2013/11/15 10:07:18|         0 Objects cancelled.
2013/11/15 10:07:18|         0 Duplicate URLs purged.
2013/11/15 10:07:18|         0 Swapfile clashes avoided.
2013/11/15 10:07:18|   Took 0.48 seconds (430594.59 objects/sec).
2013/11/15 10:07:18| Beginning Validation Procedure
2013/11/15 10:07:18|   Completed Validation Procedure
2013/11/15 10:07:18|   Validated 414619 Entries
2013/11/15 10:07:18|   store_swap_size = 4718372
2013/11/15 10:07:18| storeLateRelease: released 0 objects
2013/11/15 10:38:13| clientProcessRequest: Invalid Request
2013/11/15 10:40:53| clientProcessRequest: Invalid Request
2013/11/15 10:41:08| clientProcessRequest: Invalid Request
2013/11/15 10:42:00| clientProcessRequest: Invalid Request
2013/11/15 10:43:31| clientProcessRequest: Invalid Request
2013/11/15 10:54:43| storeDirWriteCleanLogs: Starting...
2013/11/15 10:54:43| WARNING: Closing open FD   16
2013/11/15 10:54:43|     65536 entries written so far.
2013/11/15 10:54:43|    131072 entries written so far.
2013/11/15 10:54:43|    196608 entries written so far.
2013/11/15 10:54:43|   Finished.  Wrote 210078 entries.
2013/11/15 10:54:43|   Took 0.11 seconds (1928099.42 entries/sec).
FATAL: logfileWrite: /var/log/squid/access.log: (32) Broken pipe

Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 32.499 seconds = 21.474 user + 11.025 sys
Maximum Resident Size: 508016 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
<------>total space in arena:  119376 KB
<------>Ordinary blocks:       118337 KB    825 blks
<------>Small blocks:               0 KB      1 blks
<------>Holding blocks:          1356 KB      5 blks
<------>Free Small blocks:          0 KB
<------>Free Ordinary blocks:    1038 KB
<------>Total in use:          119693 KB 100%
<------>Total free:              1038 KB 1%
2013/11/15 10:54:46| Starting Squid Cache version 3.1.10 for x86_64-redhat-linux-gnu...
2013/11/15 10:54:46| Process ID 9388
2013/11/15 10:54:46| With 1024 file descriptors available
2013/11/15 10:54:46| Initializing IP Cache...
2013/11/15 10:54:46| DNS Socket created at 0.0.0.0, FD 8
2013/11/15 10:54:46| Adding nameserver 127.0.0.1 from squid.conf
2013/11/15 10:54:46| Adding nameserver 8.8.8.8 from squid.conf
2013/11/15 10:54:46| Adding nameserver 8.8.4.4 from squid.conf
2013/11/15 10:54:46| User-Agent logging is disabled.
2013/11/15 10:54:46| Referer logging is disabled.

Люди добрые, срочно нужна помощь...
Установил squid 3.3.9, настроил.... делаю service squid start, а он мне...
Запускается squid:                                         [СБОЙ ]
squid: error while loading shared libraries: cannot restore segment prot after reloc: Permission denied
Что не так?

Добрый день.
Помогите, пожалуйста, настроить делэй пулз.

Есть два листа пользователей, одним (inet_full) даю безграничный интернет, вторым (inet_users) - ограниченный.
Но суть в том, что при запуске этого конфига, у безграничных интернет по хттп есть, а у ограниченных - нет вообще. Всю голову сломал, что не так.
Прошу помощи в нахождении и исправлении ошибки.

Ниже приведен конфиг.

http_port 3128
http_port 3129 transparent
hierarchy_stoplist cgi-bin ?

#  ACL
acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 256 MB

cache_dir ufs /squid/cache 50000 64 512
access_log /squid/access.log
cache_store_log none

hosts_file /etc/hosts

error_directory /usr/local/etc/squid/errors/Russian-1251
cache_log /var/log/squid/cache.log

#debug_options ALL,5
pid_filename /var/log/squid/squid.pid

#
acl     safe_ports              port    80      # http
#acl     safe_ports              port    21      # ftp
#acl     safe_ports              port    443     # ssl
#acl     icq_ports               port    5190    # ICQ

#
acl inet_users src "/usr/local/etc/squid/inet_users"
acl inet_full src "/usr/local/etc/squid/inet_full"

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255

acl deny_url url_regex "/usr/local/etc/squid/deny_url"
acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains"

# delay_pools_conf
delay_pools 2
delay_initial_bucket_level 50

delay_class 1 2
delay_access 1 allow inet_full
delay_access 1 deny inet_users
#delay_access 1 deny all
delay_parameters 1 -1/-1 -1/-1

delay_class 2 2
delay_access 2 allow inet_users
delay_access 2 deny inet_full
#delay_access 2 deny all
delay_parameters 2 1024000/-1 64000/64000

http_access allow inet_full

http_access deny deny_url

http_access deny deny_domains

http_access deny !safe_ports

http_access allow inet_users

http_access deny all

Добрый день! Помогите с настройкой сквида на Ubuntu Server 12.04.

Сейчас у меня две подсети и соответственно два пула. Сlass 2
Появилась необходимость усложнить схему.
А конкретно в одной подсети ограничить всем юзерам скорость, кроме одного.
Понятно что нужно переделать пул в Class 4. Но не до конца понимаю его работу.

Обязательно ли всех переводить на авторизацию для этого?
Или можно просто через acl добавить нужный ip у которого не будет ограничений

Собственно, проблема в заголовке. HTTPS в Squid'е настроен в режиме accel. При попытке зайти на заблокированный ресурс через https выдается стандартная страница ошибки браузера, но страница блокировки Squid'а.
Куда копать? Возможно ли исправить? Причем желательно в том же режиме accel все работало.

Доброго времени суток!

Предистория...
Жил был серверок-прокся на 6.3+ сквид 2.7.. Обслуживал 500 запросов в минуту и не тужил.

Но тут пришло время обновляться (видимо по глупости меня). И стал он 6.4 + сквид 3.1.10

Все как бы работает, но cache.log стал рости..
причина не выявлена.. пишет следующее..

2013/10/30 17:24:20| clientProcessRequest: Invalid Request
2013/10/30 17:24:30| clientProcessRequest: Invalid Request
2013/10/30 17:24:40| clientProcessRequest: Invalid Request
2013/10/30 17:24:50| clientProcessRequest: Invalid Request
2013/10/30 17:25:00| clientProcessRequest: Invalid Request
2013/10/30 17:25:10| clientProcessRequest: Invalid Request
2013/10/30 17:25:20| clientProcessRequest: Invalid Request
2013/10/30 17:25:30| clientProcessRequest: Invalid Request
2013/10/30 17:25:51| clientProcessRequest: Invalid Request
2013/10/30 17:26:01| clientProcessRequest: Invalid Request
2013/10/30 17:26:21| clientProcessRequest: Invalid Request
2013/10/30 17:26:31| clientProcessRequest: Invalid Request
2013/10/30 17:26:41| clientProcessRequest: Invalid Request
2013/10/30 17:26:51| clientProcessRequest: Invalid Request
2013/10/30 17:27:01| clientProcessRequest: Invalid Request
2013/10/30 17:27:11| clientProcessRequest: Invalid Request
2013/10/30 17:27:21| clientProcessRequest: Invalid Request
2013/10/30 17:27:31| clientProcessRequest: Invalid Request
2013/10/30 17:27:41| clientProcessRequest: Invalid Request
2013/10/30 17:27:51| clientProcessRequest: Invalid Request
2013/10/30 17:28:11| clientProcessRequest: Invalid Request
2013/10/30 17:28:21| clientProcessRequest: Invalid Request
2013/10/30 17:28:31| clientProcessRequest: Invalid Request
2013/10/30 17:28:41| clientProcessRequest: Invalid Request

и ... так далее...

Просторы инета не дали ответов.

Вот и пришел глупенький админ просить совета у старейшин..

Что это за гадость?
никаких видимых причин нет...ошибок тоже... нареканий в работе тоже нет..

Добрый день!

Я использую локальный прокси сервер для туннелирования трафика от браузера через различние openvpn каналы (в зависимости от порта).

Сейчас появилась необходимость не "палить" локальный адрес за прокси как и само использование прокси.

В связи с этим вопрос - что мне нужно поменять в squid.conf для этого? Какие строки с 'reply_header_access' раскоментить для этого?

# AUTOGENERATED LINES
http_port 3131 name=3131
acl tasty3131 myportname 3131 src 10.12.0.58
http_access allow tasty3131
tcp_outgoing_address 10.12.0.58 tasty3131
http_port 3129 name=3129
acl tasty3129 myportname 3129 src 10.200.1.7
http_access allow tasty3129
tcp_outgoing_address 10.200.1.7 tasty3129
http_port 3128 name=3128
acl tasty3128 myportname 3128 src 10.44.0.7
http_access allow tasty3128
tcp_outgoing_address 10.44.0.7 tasty3128
http_port 3130 name=3130
acl tasty3130 myportname 3130 src 10.44.0.6
http_access allow tasty3130
tcp_outgoing_address 10.44.0.6 tasty3130
# AUTOGENERATED LINES

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid3

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
# example lin deb packages
#refresh_pattern (\.deb|\.udeb)$   129600 100% 129600
refresh_pattern .        0    20%    4320

#  TAG: request_header_access
#    Usage: request_header_access header_name allow|deny [!]aclname ...
#
#    WARNING: Doing this VIOLATES the HTTP standard.  Enabling
#    this feature could make you liable for problems which it
#    causes.
#
#    This option replaces the old 'anonymize_headers' and the
#    older 'http_anonymizer' option with something that is much
#    more configurable. This new method creates a list of ACLs
#    for each header, allowing you very fine-tuned header
#    mangling.
#
#    This option only applies to request headers, i.e., from the
#    client to the server.
#
#    You can only specify known headers for the header name.
#    Other headers are reclassified as 'Other'. You can also
#    refer to all the headers with 'All'.
#
#    For example, to achieve the same behavior as the old
#    'http_anonymizer standard' option, you should use:
#
#        request_header_access From deny all
#        request_header_access Referer deny all
#        request_header_access Server deny all
#        request_header_access User-Agent deny all
#        request_header_access WWW-Authenticate deny all
#        request_header_access Link deny all
#
#    Or, to reproduce the old 'http_anonymizer paranoid' feature
#    you should use:
#
#        request_header_access Allow allow all
#        request_header_access Authorization allow all
#        request_header_access WWW-Authenticate allow all
#        request_header_access Proxy-Authorization allow all
#        request_header_access Proxy-Authenticate allow all
#        request_header_access Cache-Control allow all
#        request_header_access Content-Encoding allow all
#        request_header_access Content-Length allow all
#        request_header_access Content-Type allow all
#        request_header_access Date allow all
#        request_header_access Expires allow all
#        request_header_access Host allow all
#        request_header_access If-Modified-Since allow all
#        request_header_access Last-Modified allow all
#        request_header_access Location allow all
#        request_header_access Pragma allow all
#        request_header_access Accept allow all
#        request_header_access Accept-Charset allow all
#        request_header_access Accept-Encoding allow all
#        request_header_access Accept-Language allow all
#        request_header_access Content-Language allow all
#        request_header_access Mime-Version allow all
#        request_header_access Retry-After allow all
#        request_header_access Title allow all
#        request_header_access Connection allow all
#        request_header_access All deny all
#
#    although many of those are HTTP reply headers, and so should be
#    controlled with the reply_header_access directive.
#
#    By default, all headers are allowed (no anonymizing is
#    performed).
#Default:
# none

#  TAG: reply_header_access
#    Usage: reply_header_access header_name allow|deny [!]aclname ...
#
#    WARNING: Doing this VIOLATES the HTTP standard.  Enabling
#    this feature could make you liable for problems which it
#    causes.
#
#    This option only applies to reply headers, i.e., from the
#    server to the client.
#
#    This is the same as request_header_access, but in the other
#    direction.
#
#    This option replaces the old 'anonymize_headers' and the
#    older 'http_anonymizer' option with something that is much
#    more configurable. This new method creates a list of ACLs
#    for each header, allowing you very fine-tuned header
#    mangling.
#
#    You can only specify known headers for the header name.
#    Other headers are reclassified as 'Other'. You can also
#    refer to all the headers with 'All'.
#
#    For example, to achieve the same behavior as the old
#    'http_anonymizer standard' option, you should use:
#
#        reply_header_access From deny all
#        reply_header_access Referer deny all
#        reply_header_access Server deny all
#        reply_header_access User-Agent deny all
#        reply_header_access WWW-Authenticate deny all
#        reply_header_access Link deny all
#
#    Or, to reproduce the old 'http_anonymizer paranoid' feature
#    you should use:
#
#        reply_header_access Allow allow all
#        reply_header_access Authorization allow all
#        reply_header_access WWW-Authenticate allow all
#        reply_header_access Proxy-Authorization allow all
#        reply_header_access Proxy-Authenticate allow all
#        reply_header_access Cache-Control allow all
#        reply_header_access Content-Encoding allow all
#        reply_header_access Content-Length allow all
#        reply_header_access Content-Type allow all
#        reply_header_access Date allow all
#        reply_header_access Expires allow all
#        reply_header_access Host allow all
#        reply_header_access If-Modified-Since allow all
#        reply_header_access Last-Modified allow all
#        reply_header_access Location allow all
#        reply_header_access Pragma allow all
#        reply_header_access Accept allow all
#        reply_header_access Accept-Charset allow all
#        reply_header_access Accept-Encoding allow all
#        reply_header_access Accept-Language allow all
#        reply_header_access Content-Language allow all
#        reply_header_access Mime-Version allow all
#        reply_header_access Retry-After allow all
#        reply_header_access Title allow all
#        reply_header_access Connection allow all
#        reply_header_access All deny all
#
#    although the HTTP request headers won't be usefully controlled
#    by this directive -- see request_header_access for details.
#
#    By default, all headers are allowed (no anonymizing is
#    performed).
#Default:
# none

Всем привет.
Есть прокси сервер Squid 3.0.
Пользователи винды ходят в инет через связку Squid+samba+kerberos.

Выявилась очень странная вещь с сайтом etp.roseltorg.ru
Данный сайт прекрасно грузится через firefox, chrome и тд.
При этом в access.log вижу следующее:

1383041678.029      0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/ - NONE/- text/htmls5000-px01:~/.mc/cedit

Стоит мне зайти через IE, пробовал 8,9,10 IE, как от сайта загружается лишь html код, css, javascript остается за бортом. При этом в логе я наблюдаю, как все эти файлы отвергаются.

Точнее отвергались, было много строчек вида:
0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/{имя файла, будь то js или css}

В момент написания топика уже не наблюдаю этой кучи строчек с отказом, НО, сам вид сайта так и остался голым html.

Нагуглил, что может не хватать аутентификаций пользователям, менял параметр количества, не помогло.
Добавлял .roseltorg.ru в список разрешенных, прописывал отдельное правило, не помогает. Я не понимаю, куда копать.

В линуксе я довольно нубоват, в сквиде, соответственно тоже. Необходимость его администрирования появилась на работе.

В какую сторону нужно копать?

Добрый день.
Вопрос в следующем.
Каким образом можно блокировать сайты по URL, помимо прокси..пробывал сквид oops..не подходит..
Какие еше есть возможности блокировать???
Прошу вашей помощи((

Здравствуйте опешу проблему есть балансировщик за ним 5 squid авторизация в ad и все работает и все счастливы, но периодически примерно раз в месяц, начинают прилетать 407 ошибка, в ад настроено так что пароль менять не нужно, не могу понять в чем проблема может кто подскажет куда копать.

Здравствуйте. Инсталлировал CentOS 6.4, squid-3.1.10-19.el6_4.i686. В squid.conf указано-

..
acl RootUser src "/etc/squid/squidblock/users/root.users"
acl Download_in_RootUsers src "/etc/squid/squidblock/users/download_allow.users"
acl BadUsers src "/etc/squid/squidblock/users/bad.users"
acl skype_users src "/etc/squid/squidblock/users/skype.users"
acl LocalNetwork src "/etc/squid/squidblock/users/local.users"
acl GPF_LocalNetwork src "/etc/squid/squidblock/users/local.gpf.users"
..

При запуске squid в логах вижу сообщение-

2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/root.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl RootUser src "/etc/squid/squidblock/users/root.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/download_allow.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl Download_in_RootUsers src "/etc/squid/squidblock/users/download_allow.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/bad.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl BadUsers src "/etc/squid/squidblock/users/bad.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/skype.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl skype_users src "/etc/squid/squidblock/users/skype.users"
2013/10/22 20:21:20| strtokFile: /etc/squid/squidblock/users/local.gpf.users not found
2013/10/22 20:21:20| Warning: empty ACL: acl GPF_LocalNetwork src "/etc/squid/squidblock/users/local.gpf.users"

Т.е. из шести файлов squid видет лишь один.
Листинг каталога squid-

/etc/squid/:
итого 648
-rw-r--r--. 1 root  squid    419 Окт  1 16:40 cachemgr.conf
-rw-r--r--. 1 root  root     419 Окт  1 16:40 cachemgr.conf.default
-rw-r--r--. 1 root  root    1547 Окт  1 16:40 errorpage.css
-rw-r--r--. 1 root  root    1547 Окт  1 16:40 errorpage.css.default
lrwxrwxrwx. 1 root  root      26 Окт 22 17:26 errors -> /usr/share/squid/errors/ru
lrwxrwxrwx. 1 root  root      10 Окт 22 17:26 hosts -> /etc/hosts
lrwxrwxrwx. 1 root  root      22 Окт 22 17:26 icons -> /usr/share/squid/icons
lrwxrwxrwx. 1 root  root      14 Окт 22 17:26 logs -> /var/log/squid
-rw-r--r--. 1 root  root   11651 Окт  1 16:40 mime.conf
-rw-r--r--. 1 root  root   11651 Окт  1 16:40 mime.conf.default
-rw-r--r--. 1 root  root     421 Окт  1 16:40 msntauth.conf
-rw-r--r--. 1 root  root     421 Окт  1 16:40 msntauth.conf.default
drwxr-xr-x. 3 squid squid   4096 Окт 22 09:26 squidblock
-rw-r--r--. 1 root  root  240460 Окт 22 20:13 squid.conf
-rw-r-----. 1 root  root  144210 Окт 17 07:52 squid.conf.asplinux-20131022
-rw-r--r--. 1 root  root    2510 Окт  1 16:40 squid.conf.default
lrwxrwxrwx. 1 root  root      49 Окт 22 17:29 squid.conf.documented -> /usr/share/doc/squid-3.1.10/squid.conf.documented
-rw-r--r--. 1 root  root  211021 Апр 26 14:50 squid.conf.documented-3.1.23
-rw-r--r--. 1 root  root    1381 Окт 22 20:22 test.notes
/etc/squid/squidblock:
итого 144
-rw-r--r--. 1 squid squid   216 Окт 17 07:45 always_direct.txt
-rw-r--r--. 1 squid squid  1296 Сен 24 12:57 anonimajzery.block.txt
-rw-r--r--. 1 squid squid   279 Окт 22 08:34 anonimajzery.unblock.txt
-rw-r--r--. 1 squid squid  9423 Сен 24 12:56 badlang.block.txt
-rw-r--r--. 1 squid squid   671 Окт 22 08:33 badlang.unblock.txt
-rw-r--r--. 1 squid squid 22840 Июл 17  2012 banners.acl
-rw-r--r--. 1 squid squid   327 Окт 22 08:33 diffservice.unblock.txt
-rw-r--r--. 1 squid squid   744 Апр 15  2013 entertain.block.txt
-rw-r--r--. 1 squid squid   185 Окт 22 08:32 entertain.unblock.txt
-rw-r--r--. 1 squid squid   636 Апр 15  2013 games.block.txt
-rw-r--r--. 1 squid squid    25 Окт 22 08:32 games.unblock.txt
-rw-r--r--. 1 squid squid   483 Окт 17 07:48 good_ips.txt
-rw-r--r--. 1 squid squid   311 Мар 20  2013 mail_ru.block.txt
-rw-r--r--. 1 squid squid   165 Авг 16 05:03 mp3.block.txt
-rw-r--r--. 1 squid squid    22 Окт 22 08:32 mp3.unblock.txt
-rw-r--r--. 1 squid squid  1115 Авг 16 06:11 pirate.block.txt
-rw-r--r--. 1 squid squid    97 Окт 22 08:31 pirate.unblock.txt
-rw-r--r--. 1 squid squid 13246 Авг 15 05:12 porn.block.txt
-rw-r--r--. 1 squid squid  1541 Окт 22 09:26 porn.unblock.txt
-rw-r--r--. 1 squid squid   173 Окт 22 08:31 pron.block.txt
drwxr-xr-x. 2 squid squid  4096 Окт 22 20:11 users
/etc/squid/squidblock/users:
итого 52
-rw-r--r--. 1 squid squid  997 Окт 22 18:29 bad.users
-rw-r--r--. 1 squid squid  336 Окт 22 18:29 download_allow.users
-rw-r--r--. 1 squid squid  501 Окт 22 18:29 local.gpf.users
-rw-r--r--. 1 squid squid 4805 Окт 22 18:55 local.users
-rw-r--r--. 1 squid squid  483 Окт 22 18:29 root.users
-rw-r--r--. 1 squid squid 1205 Окт 22 18:29 skype.users

Как устранить проблему?
Спасибо.

Lj,hsq ltym uehe!
Всем привет)
Появилась необходимость одной WEB программке выходить в инет.
но мой SQUID ее блочит!
в логах  192.168.100.81 NONE/417 5008 POST http://webdemand.Lup.com/rd/chnp/Service.asmx - NONE/- text/html
мои блокировки заканчиваются на ВКОНТАКТЕ, ОДНОКЛАСННИКАХ и скачивании mp3 & avi.
Жду совета!

если необходимо могу выложить все конфиги squid

Доброго времени.
Здесь, вроде, не по теме обсуждать DNS, но по ним раздела не нашёл..... хочу обратиться к сообществу за консультацией.

По существу.
Стоит Unbound Version 1.4.19, всем доволен, только вот после ребута шлюза кэш, естественно уничтожается. Может быть есть идеи, как его (кэш) сохранить и после запуска скормить Unbound. Интересует сама идея, скрипт напишу сам.

Спасибо.
  

Задача! Нужно в прокси сервере настроить авторизацию по МАС адресу. Вопрос!!! Как можно блокировать МАС адрес компьютера который находится в другой подсети в Linux? В Windows например. получается фильтрация через программу CCPROXY если даже компьютер находится в другой подсети. A в Linux Squid, iptables не могут блокировать по МАС адресу, если компьютер находится в другой подсети, они блокируют компьютеры с другой подсети только по IP.

Пример:
1 - 192.168.5.1/24 192.168.5.250(Gateway - Маршрутизатор) Proxy Server
2 - 192.168.5.2/24 192.168.5.250(Gateway - Маршрутизатор) Client B
3 - 192.168.6.2/24 192.168.6.250(Gateway - Маршрутизатор) Client C

Прокси сервер блокирует клинта В по МАС адресу без проблем, потому что клиент В находится в одной подсети с прокси сервером.
Прокси сервер не может блокирует клинта С по МАС адресу, потому что клиент С находится в другой подсети с прокси сервером.
Самое странное в Windows CCPROXY фильтрирует клиента по МАС, а в Линуксе я не могу найти решение!Пожалуйста помогите !!!

P.S.
В документациях Squid написано, что он не может блокировать MAC адрес другой подсети. На форумах читал, что iptables тоже не может блокировать MAC адрес другой подсети. На практике проверил, что эти программы реально не могут блокировать MAC адрес другой подсети(по крайнем мере у меня). А в Windows 2-3 программы реально блокируют MAC другой подсети. В Windows блокировка получается, значить в самой сети что-то перенастроить по поэму не нужно. Только найти решение в Linux для того, чтобы блокировать MAC адрес клиента, который находится в другом сегменте сети. Пробовал arptables, ebtables все равно не помогло. Если маршрутизатор не пропускал бы MAC клиента в другую подсеть, то тогда как все это в Windows на CCProxy работает? В Linux есть ли на это решение? A то клиенты могут менять IP и сидеть в Интернете. Пожалуйста, не предлагать привязывать в коммутаторе IP на MAC, слишком большая сеть и клиентов много(слишком трудоёмкая работа). Авторизация по паролю тоже не пойдет. Может есть какие-то утилиты для решения такой проблемы? Пожалуйста дайте варианты!

Добрый день форумчане!
Знаком с FreeBSD не так много как хотелось... НО нет больше сил терпеть и пытаться победить проблему.. и так начну:
Имеется сервак поднятый на с ip-адресом 172.16.0.9
    root@Squid:# uname -a
    FreeBSD Squid 9.1-RELEASE FreeBSD 9.1-RELEASE #0: Fri Jun  7 16:25:36 MSK 2013     root@squid:/usr/obj/usr/src/sys/MYKERNEL  amd64

Ядро собранное с опциями:

Код: Выделить всё
    options         IPFIREWALL               # сам файрвол
    options         IPFIREWALL_VERBOSE        # логгинг пакетов, если в правиле # написано `log`
    options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов# например, для прозрачного прокси
    options         DUMMYNET                # если понадобится ограничивать скорость # инета пользователям (обычно - да)
    options         IPFIREWALL_DEFAULT_TO_ACCEPT     # дефолтовое правило (последнее)

в sysctl.conf

    net.inet.ip.fw.one_pass=0
    net.inet.tcp.rfc1323=0
    net.inet.icmp.icmplim=0
    net.inet.tcp.msl=3000
    kern.maxfilesperproc=65536
    kern.maxfiles=262144
    kern.ipc.maxsockets=131072
    kern.ipc.somaxconn=1024
    net.inet.tcp.recvspace=16384
    net.inet.tcp.sendspace=16384
    kern.ipc.nmbclusters=32768
    net.inet.ip.forwarding=1

в rc.conf прописано такое - 172.16.0.7 адрес моего устройства Cisco (Asa 5550) с кем сервер и соединяется для создания wccp :

    cloned_interfaces="gre0"
    ifconfig_gre0="inet 172.16.0.9 10.10.10.10 netmask 255.255.255.255  tunnel 172.16.0.9 172.16.0.7 link2 up"

ipfw такие правила

    00001 allow ip from any to any via lo0
    00002 deny ip from any to 127.0.0.0/8
    00003 deny ip from 127.0.0.0/8 to any
    00004 allow gre from any to any frag
    00200 fwd 172.16.0.9,3130 tcp from any to any dst-port 80 recv gre0
    65535 allow ip from any to any

и на конец настройки на ASA конкретно для wccp

    ciscoasa# sh run | include wccp
    access-list wccp-server extended permit ip host 172.16.0.9 any
    access-list wccp-traffic extended deny ip host 172.16.0.9 any
    access-list wccp-traffic extended permit ip host 172.16.0.154 any
    wccp web-cache redirect-list wccp-traffic group-list wccp-server
    wccp interface inside web-cache redirect in

теперь сам кольмар:

    root@Squid:/etc # squid -v
    Squid Cache: Version 3.3.9
    configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS  fake getpwnam' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group SQL_session' '--enable-auth-negotiate=none' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--disable-ipv6' '--enable-delay-pools' '--disable-snmp' '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--disable-http-violations' '--disable-eui' '--enable-ipfw-transparent' '--disable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--enable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--disable-optimizations' '--enable-debug-cbdata' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-pipe -I/usr/local/include -I/usr/local/include -g' 'LDFLAGS= -pthread -Wl,-rpath=/usr/local/lib -L/usr/local/lib -L/usr/local/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/local/include -I/usr/local/include -g' 'CPP=cpp'

некоторые настройки из squid.conf

    acl localnet src 172.16.0.0/16
    http_access allow localnet
    http_access deny all
    #прозрачный порт для 80го порта (Http)

    http_port 172.16.0.9:3130 intercept

    #порт необходим для нормальной работы кольмара
    http_port 127.0.0.1:3128

    wccp2_router 172.16.0.7
    wccp2_forwarding_method gre
    wccp2_return_method gre
    wccp2_service standard 0

И так суть проблемы: при завороте на ASA пользователя на пример 172.16.0.154 то происходит зависание на минутку (в принципе логично пока не создатся маршрутизация на са и не пойдт пакеты по новому) и после начинает отрабатывать как положено всё. Счетчик ipfw растет

    00001     0       0 allow ip from any to any via lo0
    00002     0       0 deny ip from any to 127.0.0.0/8
    00003     0       0 deny ip from 127.0.0.0/8 to any
    00004    44    2112 allow gre from any to any frag
    00200   414  132913 fwd 172.16.0.9,3130 tcp from any to any dst-port 80 recv gre0

Но проблема в другом - если я заворачиваю не одного пользователя, а под сеть 172.16.1.0/24 то у всех пользователей странички интернет не открываются и вываливается сообщение от Squid Operation time out. В общем отваливаются странички по таймауту... я уже не знаю что делать и как победить проблему... Прошу помощи!!! :st: Нет сил, нет нервов...
При этом в access.log тишина - будто пользователь вообще не куда не пытался зайти....... HELP

у меня конфиг виртуальных юзеров
так вот файлы с флагом -w всё-равно удаляются, а мне надо, чтобы некоторые нельзя было удалить
как?

конфиг:
pam_service_name=vsftpd
nopriv_user=somenoprivuser
secure_chroot_dir=/var/run/vsftpd/empty

guest_enable=YES
guest_username=someusername
local_enable=YES
write_enable=YES
anonymous_enable=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_world_readable_only=NO
chroot_local_user=YES
user_sub_token=$USER
local_root=/usr/local/homas/$USER

listen=YES
pasv_min_port=30000
pasv_max_port=30999
max_clients=50
max_per_ip=2
data_connection_timeout=60
hide_ids=YES
ftpd_banner=banner
delete_failed_uploads=YES
use_localtime=YES

vsftpd_log_file=/var/log/vsftpd.log
xferlog_file=/var/log/xferlog.log
log_ftp_protocol=YES
xferlog_enable=YES
dual_log_enable=YES

Поставил Squid для раздачи интренет в офисе и в других отдаленных магазинах, которые подключены по vpn провайдера. Сдеал его прозрачным, порт 8080 указал. В удаленных магазинах прописываю и в офиссе в настройках браузера прокси, все отлично работает. Но есть проблема, в магазинах кассы, к ним подключены сбер банковские терменалы, через com, порты. Сами теременалы соеденияються через telnet посредтсвом этих касс, в tcp/ip прописываю шлюз прокси сервера где стоит Squid, но при этом telnet не работает. А вот при прокси сервер wingate(ухожу от него ) все в порядке, работает. Подскажите в чем проблема. Что нужно еще прописать? Спасибо.

Доброго времени суток.
Нужно оргнанизовать прозрачное проксирование https трафика.
Выполнял следующие шаги:
-скачал с оф. сайта исходники.
-сделал ./configure со след опциями --prefix=/usr --includedir=${prefix}/include --localstatedir=/var --libexecdir=${prefix}/lib/squid3 --srcdir=. --datadir=${prefix}/share/squid3 --sysconfdir=/etc/squid3 --with-default-user=proxy --with-logdir=/var/log/squid3 --with-pidfile=/var/run/squid3.pid --bindir=/usr/sbin --enable-delay-pools --enable-ssl --enable-ssl-crtd --enable-linux-netfilter --enable-eui --enable-snmp --enable-gnuregex
- далее make && sudo checkinstall
- поставил все зависимости sudo apt-get build-dep squid
- в настройках сквида прописал
https_port 192.168.56.100:3130 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB key=/home/mut/squid.key cert=/home/mut/squid.pem
always_direct allow all
ssl_bump client-first all (и server-first пробовал)

Во время запуска (sudo squid) никаких сообщений.
ps -A | grep squid показывает 1 процесс(должно быть 2) и чуть позже пропадает и он.
если отключить ssl-bump, то браузер говорит, что не может получить запрошеный URL.

UPD. падает дочерний процесс со следующим сообщением "The ssl_crtd helpers are crashing too rapidly, need help". запись об этом в /var/log/syslog
Заранее благодарен за ответы.