[Comm] Squid из коробки Alt Linux Master 2.4

[Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

Здравствуйте!

Вопрос - какие именно параметры файла squid.conf кроме указания самого  
адреса прокси-сервера и группы настроек acl необходимо менять? Иными  
словами возможно ли применение максимума дефолтных настроек squid (кроме  
acl, некотрых настроек кэша и времени доступа юзеров) из коробки?  
Преполагается применение в качества прозрачного прокси без  
аутентификации...

-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Mike Lykov]

В сообщении от Пятница 01 Апрель 2005 00:27 Владимир Гусев написал:

> Вопрос - какие именно параметры файла squid.conf кроме указания самого
> адреса прокси-сервера и группы настроек acl необходимо менять? 

Я думаю, что в основном ничего менять, кроме указанного вами, не надо, но 
почему бы вам просто не прочитать подробные комментарии, которыми снабжен 
конфиг?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

On Fri, 01 Apr 2005 09:19:08 +0400, Mike Lykov <combr@vesna.ru> wrote:

> В сообщении от Пятница 01 Апрель 2005 00:27 Владимир Гусев написал:
>
>> Вопрос - какие именно параметры файла squid.conf кроме указания самого
>> адреса прокси-сервера и группы настроек acl необходимо менять?
>
> Я думаю, что в основном ничего менять, кроме указанного вами, не надо, но
> почему бы вам просто не прочитать подробные комментарии, которыми снабжен
> конфиг?
>

Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов из сети...
Пишут все абсолютно по-разному, различные советы, различные строчки для -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на порт сквида), на любой вкус, и пока все попробуешь - голова кругом...


-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Маркелов Александр]

Владимир Гусев пишет:
  > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов
> из сети...
> Пишут все абсолютно по-разному, различные советы, различные строчки для 
> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на 
> порт сквида), на любой вкус, и пока все попробуешь - голова кругом...

Если вы хотите делать transparent proxy, то не достаточно поменять 
только те настройки, которые вы перечислили.
Еще как минимум надо поменять:
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
(Во всяком случаи так пишут во всех доках по transparent proxy)

ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял 
на 3128(порт на котором слушает сквид)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 3128
в данном случаи eth0 это внутренний интерфейс

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

>   > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов
>> из сети...
>> Пишут все абсолютно по-разному, различные советы, различные строчки для
>> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на
>> порт сквида), на любой вкус, и пока все попробуешь - голова кругом...
>
> Если вы хотите делать transparent proxy, то не достаточно поменять
> только те настройки, которые вы перечислили.
> Еще как минимум надо поменять:
> httpd_accel_host virtual
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> (Во всяком случаи так пишут во всех доках по transparent proxy)
>
> ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял
> на 3128(порт на котором слушает сквид)
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
> в данном случаи eth0 это внутренний интерфейс

Вот мои squid.conf и /etc/sysconfig/iptables (хотя и прописывание напрямую не помогло - не работает сквид):

[root@gate squid]# cat squid.conf

# NETWORK OPTIONS
# -----------------------------------------------------------------------------

#Расположение прокси-сервера Squid

http_port 3128
icp_port 3130

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------

#Рекомендуется оставить включенными эти две строки.

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------

cache_mem 32 MB
maximum_object_size 16384 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 16 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95

fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru


# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------

cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf

log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
#client_netmask 255.255.255.0


# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

ftp_user user@moscow.postshop.ru
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on

#cache_dns_program /usr/lib/squid/dnsserver
#dns_children 7
#dns_retransmit_interval 5 seconds
#dns_timeout 2 minutes
#dns_defnames off

# первым указан 127.0.0.1 - так как запущен pdnsd
dns_nameservers 127.0.0.1 212.188.4.10

hosts_file /etc/hosts
diskd_program /usr/lib/squid/diskd
unlinkd_program /usr/lib/squid/unlinkd
pinger_program /usr/lib/squid/pinger


# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------------------------

wais_relay_port 0

request_header_max_size 10 KB

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 3 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
range_offset_limit 0 KB

# TIMEOUTS
# -----------------------------------------------------------------------------

# ACCESS CONTROLS
# -----------------------------------------------------------------------------

acl postshop src 192.168.1.0/255.255.255.0
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
acl france src 192.168.1.4 192.168.1.9 192.168.1.19 192.168.1.54
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow POSTSHOP
http_access allow localhost

http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

cache_effective_user squid
cache_effective_group squid

# OPTIONS FOR THE CACHE REGISTRATION SERVICE
# -----------------------------------------------------------------------------
#

# HTTPD-ACCELERATOR OPTIONS
# -----------------------------------------------------------------------------
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#anonymize_headers deny User-Agent
#fake_user_agent Mozilla/5.0 (x11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122

# MISCELLANEOUS
# -----------------------------------------------------------------------------

dns_testnames www.ru netscape.com internic.net nlanr.net

# DELAY POOL PARAMETERS (all require DELAY_POOLS compilation option)
# -----------------------------------------------------------------------------

acl magic_words1 url_regex -i 192.168
acl magic_words2 url_regex -i ftp .exe .mp3 .zip .rar .avi .mpeg .mpe .mpg .ram .rm .wav .mov

acl pshop time 09:00-18:00
acl adm time 00:01-23:59
acl fra time 09:00-22:00
delay_pools 2

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow magic_words1

delay_class 2 2
delay_parameters 2 5000/150000 5000/120000
delay_access 2 allow pshop
delay_access 2 allow adm
delay_access 2 allow fra
delay_access 2 deny !pshop !adm !fra
delay_access 2 allow magic_words2

coredump_dir /var/spool/squid

***********************************************************

[root@gate squid]# iptables-save
# Generated by iptables-save v1.2.11 on Fri Apr  1 15:38:45 2005
*nat
:PREROUTING ACCEPT [143850:11458205]
:POSTROUTING ACCEPT [146:13122]
:OUTPUT ACCEPT [24:1298]
-A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 62.118.1.120
COMMIT
# Completed on Fri Apr  1 15:38:45 2005
# Generated by iptables-save v1.2.11 on Fri Apr  1 15:38:45 2005
*filter
:INPUT DROP [42407:6305210]
:FORWARD ACCEPT [2004050:920346225]
:OUTPUT ACCEPT [13345:4075017]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -d 192.168.1.100 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Fri Apr  1 15:38:45 2005

(Примечание - -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128  - это я пока тренируюсь на себе (192.168.1.49), шлюз - 192.168.1.100)

И ничего не работает - при насильном прописывании 192.168.1.100:3128 в броузер ничего не работает... при чистых настройках браузера но с строкой PREROUTING - работает в обход, напрямую...


-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 844 bytes --]

* Суббота 02 Апрель 2005 00:39 Владимир Гусев <vova1971@narod.ru>

> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp
> --dport 80 -j REDIRECT --to-ports 3128

-A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp -m 
tcp --dport 80 -j REDIRECT --to-ports 3128

-A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j SNAT 
--to-source 62.118.1.120

> (Примечание - -A PREROUTING -s 192.168.1.49 -d 192.168.1.100
> -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128  - это я
> пока тренируюсь на себе (192.168.1.49), шлюз - 192.168.1.100)

>
> И ничего не работает - при насильном прописывании
> 192.168.1.100:3128 в броузер ничего не работает... при чистых
> настройках браузера но с строкой PREROUTING - работает в
> обход, напрямую...

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

>> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m tcp
>> --dport 80 -j REDIRECT --to-ports 3128
>
> -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp -m
> tcp --dport 80 -j REDIRECT --to-ports 3128

не объясните действие этой строки? В целом понятно, я насчет  
192.168.1.100/32 - почему именно так?

> -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j SNAT
> --to-source 62.118.1.120






-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 832 bytes --]

* Суббота 02 Апрель 2005 23:10 Владимир Гусев

> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
> >> tcp --dport 80 -j REDIRECT --to-ports 3128
> >
> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>
> не объясните действие этой строки? В целом понятно, я насчет
> 192.168.1.100/32 - почему именно так?

Все пакеты протокола tcp,приходящие на порт 80 с адреса 
192.168.1.100 и идущие мимо сети 192.168.1.0 с маской 
255.255.255.0, заворачивать на порт 3128.

Мне просто более понятнее адреса в формате CIDR.

Пакеты в прокси начали заворачиватся или продолжают ходить мимо?

> > -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j SNAT
> > --to-source 62.118.1.120

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

>> >> -A PREROUTING -s 192.168.1.49 -d 192.168.1.100 -p tcp -m
>> >> tcp --dport 80 -j REDIRECT --to-ports 3128
>> >
>> > -A PREROUTING -s 192.168.1.100/32 -d ! 192.168.1.0/24 -p tcp
>> > -m tcp --dport 80 -j REDIRECT --to-ports 3128
>>
>> не объясните действие этой строки? В целом понятно, я насчет
>> 192.168.1.100/32 - почему именно так?
>
> Все пакеты протокола tcp,приходящие на порт 80 с адреса
> 192.168.1.100 и идущие мимо сети 192.168.1.0 с маской
> 255.255.255.0, заворачивать на порт 3128.
>
> Мне просто более понятнее адреса в формате CIDR.
>
> Пакеты в прокси начали заворачиватся или продолжают ходить мимо?

Предыдущий вопрос с содержанием своего squid.conf и iptables я задал еще  
на работе. Потом, к концу вчерашнего рабочего дня я случайно запустил  
service iptables status  и увидел наглядно, что строка для INPUT (-A INPUT  
-m state --state RELATED,ESTABLISHED -j ACCEPT) блокирует пакеты типа NEW  
и изнутри (интерфейс конкретно ведь я не указал..) Я переделал, сделав две  
строки

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -  
для внешнего интерфейса
iptables -A INPUT -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j  
ACCEPT - для внутреннего интерфейса..
Видимо внутр. сеть просто не имела доступ к любому порту на шлюзе изнутри,  
в том числе и к 3128.
Далее я убрал строку с разрешением доступа изнутри к порту 22 (SSH) и  
сделал редирект с 80 (8080,8081) на 3128, как по мануалам разным.. судя по  
моментально разросшемуся /var/log/squid/access.log вся сеть перешла на  
squid.
НО, вечером дома принял ваши строки и задумался.. вроде бы тут они  
выполняют двойную задачу и изящнее - тут и перенаправление с одновременным  
исключением других путей.. Попробую..

И еще вопрос - насколько уязвим мой способ? Можно ли давать доступ к  
портам к внутр. интерфесу шлюза?
Единственной строкой как-то исключающей возможность прикидываться членами  
нашей локалки извне стала такая:
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP

Проблемы несанкционированного доступа из локалки по SSH (кроме меня) нет..

После того как сквид заработал, я на себе ощутил работу "замедления  
скорости":) и понял примерно, как это работает.. правда не совсем..
Не понял до конца про то, как лучше написать логику..
Например,

#задается вся сеть
acl postshop src 192.168.1.0/255.255.255.0
#задается группа лиц, имеющих полный и неогранич. доступ к инету
# НИГДЕ НЕ НАШЕЛ, как перечислять отдельные ip-адреса, не расположенные  
#по порядку! Ниже  - мое предположение...
acl admin src 192.168.1.1 192.168.1.3 192.168.1.49

***
#Задается время pshop для сети postshop
acl pshop time MTWHF 09:00-18:00
#Задается время adm для адресов admin
acl adm time MTWHFAS 00:01-23:59
#Тут, насколько я понял, количество delay_pools, честно говоря, #запутался  
в этом всем..:(  Вроде бы 2 - это класс сети (?).. 192.168.#1.0/24 - куда  
попадает, в класс 2 ?

delay_pools 2

#с delay_class у меня еще хуже..первая цифра - это класс пула
# вторая цифра - это номер пула (какой номер, откуда берется..?)
delay_class 1 2

#тупо передрал.. :(
delay_parameters 1 -1/-1 -1/-1

#А тут раздача "слонов" - богу богово и т.д.
#Что здесь значит 2 ?
#достаточно будет одной строки? "Запретить сети postshop все время #кроме  
диапазона pshop" и т.д.

delay_access 2 deny postshop !pshop
delay_access 2 deny admin !adm

Правильно ли тут что-нибудь? Просто правило "delay_access 2 deny postshop  
!pshop" будет действовать и на группу admin.. Запутался..

P.S. Читал очень много материалов, http://squid.opennet.ru и  
http://atmsk.altlinux.org.ua в том числе, наверное отсюда и каша в голове..


-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

> задается вся сеть
> acl postshop src 192.168.1.0/255.255.255.0
> задается группа лиц, имеющих полный и неогранич. доступ к инету
> НИГДЕ НЕ НАШЕЛ, КАК ПЕРЕЧИСЛЯТЬ ОТДЕЛЬНЫЕ IP-АДРЕСА, РАСПОЛОЖЕННЫЕ НЕ ПО  
> ПОРЯДКУ.Ниже  - мое предположение...
> acl admin src 192.168.1.1 192.168.1.3 192.168.1.49
>

Никто не ответит хотя бы на изложенное выше и на предыдущее сообщение в  
целом?

-- 
С уважением, Владимир Гусев

Re[2]: [Comm] Squid из коробки Alt Linux Master 2.4

[Беляев В. Н.]

Hello Владимир,

ВГ> После того как сквид заработал, я на себе ощутил работу "замедления
ВГ> скорости":) и понял примерно, как это работает.. правда не совсем..

А в чем выражается "замедление"? И на каких масштабах? Я у себя когда
настраивал squid, вроде-бы никаких замедлений не нашел.


-- 
E-mail: w_n_b@mail.ru
ICQ: 119181289

Re: Re[2]: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

>> После того как сквид заработал, я на себе ощутил работу "замедления
>> скорости":) и понял примерно, как это работает.. правда не совсем..
>
> А в чем выражается "замедление"? И на каких масштабах? Я у себя когда
> настраивал squid, вроде-бы никаких замедлений не нашел.

Ну если вы видели мой конфиг, то там жалкая попытка уменьшить толщину  
канала для отдельных лиц.. Естественно, была ошибка, и не только  
"отдельные лица" ощутили запланированное замедление...

-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Mike Lykov]

В сообщении от Пятница 01 Апрель 2005 11:01 Владимир Гусев написал:
> > Я думаю, что в основном ничего менять, кроме указанного вами, не надо, но
> > почему бы вам просто не прочитать подробные комментарии, которыми снабжен
> > конфиг?
> Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов из
> сети...

ну так не читайте "совецких газет".
Документация - она рулит, и скорее всего она - самое верное решение ;)

> Пишут все абсолютно по-разному, различные советы, различные строчки 
> для -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на
> порт сквида),

руководство по iptables даст верный ответ. 
Там ничего мудреного, просто прочитайте про опции DNAT.

> на любой вкус, и пока все попробуешь - голова кругом... 

squid.opennet.ru - там вроде бы все есть и все верно.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Владимир Гусев]

On Fri, 01 Apr 2005 15:39:49 +0400, Владимир Гусев <vova1971@narod.ru> wrote:

>>   > Вы думаете, я не читал?:) И не только сам конфиг, но и тучу материалов
>>> из сети...
>>> Пишут все абсолютно по-разному, различные советы, различные строчки для
>>> -t nat PREROUTING (перенаправление запросов 80-ого порта клиентов на
>>> порт сквида), на любой вкус, и пока все попробуешь - голова кругом...
>>
>> Если вы хотите делать transparent proxy, то не достаточно поменять
>> только те настройки, которые вы перечислили.
>> Еще как минимум надо поменять:
>> httpd_accel_host virtual
>> httpd_accel_with_proxy on
>> httpd_accel_uses_host_header on
>> (Во всяком случаи так пишут во всех доках по transparent proxy)
>>
>> ну а iptables надо говорить что бы все запросы с 80 порта перенаправлял
>> на 3128(порт на котором слушает сквид)
>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
>> --to-port 3128
>> в данном случаи eth0 это внутренний интерфейс
>
> Вот мои squid.conf и /etc/sysconfig/iptables (хотя и прописывание напрямую не помогло - не работает сквид):
>
> [root@gate squid]# cat squid.conf
>

После отсылки конфигов обнаружил ошибку в расписаниях.. поправил вроде синтаксис:

delay_access 2 allow postshop pshop
delay_access 2 allow admin adm
delay_access 2 allow france fra
delay_access 2 deny postshop !pshop



-- 
С уважением, Владимир Гусев

Re: [Comm] Squid из коробки Alt Linux Master 2.4

[Andrey Rybak]

Владимир Гусев wrote:

> Здравствуйте!
>
> Вопрос - какие именно параметры файла squid.conf кроме указания 
> самого  адреса прокси-сервера и группы настроек acl необходимо менять? 


Более того - можно даже адреса прокси-сервера не указывать. Т.е. 
достаточно создать только acl для ваших юзеров - и все...