forum.opennet.ru

Составление сообщения

Исходное сообщение

"freebsd+pf+squid. проблема со squid"
Отправлено Strannik_S, 24-Авг-17 09:02

здравствуйте. так случилось что админа в организации не стало, а меня воткнули на его место. С freebsd я новичек, знаю только азы. помер HDD на сервере. Конечно заменил, установил freebsd с пересборкой ядра +pf+squid+openvpn. все работает кроме сквида. уже 2 недели пытаюсь найти решение в интернете да на форумах но пока безуспешно.
pf успешно направляет на squid, а что дальше происходит не пойму.
если оставляю http_port 3128, то на локальной машине с использованием прокси все работает
ставлю прозрачное проксирование http_port 3128 intercept и тишина. http ресурсы недоступны.
конфиги pf u squid удалось вытащить со старой системы. Возможно на новой версии freebsd u squid изменился синтаксис или какие команды..
uname -a
FreeBSD proxy 11.1-RELEASE FreeBSD 11.1-RELEASE #0: Sat Aug 19 15:52:29 MSK 2017     strannik@proxy:/usr/obj/usr/src/sys/GENERIC1  amd64
# squid -v
Squid Cache: Version 3.5.26
и странно что не могу поставить squid 3.5.8, доступен только 3.5.26
squid
acl localnet src 192.168.2.0/24
acl localnet_21 src 10.0.0.0/16
acl localnet_22 src 10.1.22.0/24
acl localnet_23 src 10.1.23.0/24
acl localnet_24 src 10.1.24.0/24
acl localnet_39 src 10.1.39.0/24
acl localnet_40 src 10.1.40.0/24
# Порт SSL для подключений по HTTPS-протоколу
acl SSL_ports port 443
# Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#acl RestrictedDomains dstdomain "/usr/local/etc/squid/AccessLists/url_block.txt"
#acl RestrictedDomains2 dstdomain "/usr/local/etc/squid/AccessLists/url_block_2.txt"
#acl white url_regex -i "/usr/local/etc/squid/AccessLists/white.txt"

acl AdDomains url_regex -i "/usr/local/etc/squid/AccessLists/url_porno.txt"
http_access allow manager localhost
http_access allow localnet_21 manager
http_access deny manager
# Запретить доступ к портам, отсутствующим в списке выше
http_access deny !Safe_ports
# Запретить метод CONNECT не на SSL-порт
http_access deny CONNECT !SSL_ports
http_access deny AdDomains
# запрещаем доступ к листу 1
http_access deny RestrictedDomains
# открываем этим подсетям доступ ко всему остальному
http_access allow localnet
http_access allow localnet_21
http_access allow localnet_22
http_access allow localnet_24
#http_access allow localnet_39
#http_access allow localnet_40
#закрываем доступ к листу 2
http_access deny RestrictedDomains2
# остальное делаем доступно для подсетей ниже
#http_access allow localnet_22
http_access allow localnet_23
http_access allow localnet_40
# Последнее правило, блокирует все, что не было разрешено выше
http_access deny all

icp_access allow localnet
icp_access allow localnet_21
icp_access allow localnet_22
icp_access allow localnet_23
icp_access allow localnet_24
icp_access allow localnet_39
icp_access allow localnet_40
icp_access deny all

http_port 3129
http_port 3128 intercept
#http_port 127.0.0.1:3128 options=NO_SSLv3:NO_SSLv2
#hierarchy_stoplist cgi-bin ?
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
delay_pools 2
#ограничение по скорости
delay_class 1 2
delay_parameters 1 -1/-1 256000/128000   #2mb/s
delay_access 1 allow localnet
delay_access 1 allow localnet_21
delay_access 1 allow localnet_22
delay_access 1 allow localnet_23
delay_access 1 allow localnet_24
delay_access 1 allow localnet_39
delay_access 1 allow localnet_40
delay_access 1 deny all
delay_class 2 2
delay_parameters 2 1280000/1280000 256000/256000
#delay_access 2 allow localnet_50
#delay_access 1 allow localnet_34
delay_access 2 deny all
delay_initial_bucket_level 50
forwarded_for transparent
via off
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
memory_replacement_policy lru
cache_replacement_policy lru
cache_dir ufs /usr/local/squid/cache  4000 16 256
store_dir_select_algorithm least-load
maximum_object_size  8 MB
cache_swap_low 90
cache_swap_high 95
logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /usr/local/squid/log/access.log squid
cache_log /usr/local/squid/log/cache.log
cache_store_log /usr/local/squid/log/store.log
pid_filename /var/run/squid/squid.pid
strip_query_terms off
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
# По умолчанию, приоритет отдается протоколу IPv6, что может привести к ошибкам соединения, если IPv6 недоступен
dns_v4_first on
shutdown_lifetime 1 seconds
visible_hostname proxy.orlyonok.local
check_hostnames on
coredump_dir /usr/local/squid/cache

Исходное сообщение
"freebsd+pf+squid. проблема со squid" Отправлено Strannik_S, 24-Авг-17 09:02
здравствуйте. так случилось что админа в организации не стало, а меня воткнули на его место. С freebsd я новичек, знаю только азы. помер HDD на сервере. Конечно заменил, установил freebsd с пересборкой ядра +pf+squid+openvpn. все работает кроме сквида. уже 2 недели пытаюсь найти решение в интернете да на форумах но пока безуспешно. pf успешно направляет на squid, а что дальше происходит не пойму. если оставляю http_port 3128, то на локальной машине с использованием прокси все работает ставлю прозрачное проксирование http_port 3128 intercept и тишина. http ресурсы недоступны. конфиги pf u squid удалось вытащить со старой системы. Возможно на новой версии freebsd u squid изменился синтаксис или какие команды.. uname -a FreeBSD proxy 11.1-RELEASE FreeBSD 11.1-RELEASE #0: Sat Aug 19 15:52:29 MSK 2017 strannik@proxy:/usr/obj/usr/src/sys/GENERIC1 amd64 # squid -v Squid Cache: Version 3.5.26 и странно что не могу поставить squid 3.5.8, доступен только 3.5.26 squid acl localnet src 192.168.2.0/24 acl localnet_21 src 10.0.0.0/16 acl localnet_22 src 10.1.22.0/24 acl localnet_23 src 10.1.23.0/24 acl localnet_24 src 10.1.24.0/24 acl localnet_39 src 10.1.39.0/24 acl localnet_40 src 10.1.40.0/24 # Порт SSL для подключений по HTTPS-протоколу acl SSL_ports port 443 # Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #acl RestrictedDomains dstdomain "/usr/local/etc/squid/AccessLists/url_block.txt" #acl RestrictedDomains2 dstdomain "/usr/local/etc/squid/AccessLists/url_block_2.txt" #acl white url_regex -i "/usr/local/etc/squid/AccessLists/white.txt" acl AdDomains url_regex -i "/usr/local/etc/squid/AccessLists/url_porno.txt" http_access allow manager localhost http_access allow localnet_21 manager http_access deny manager # Запретить доступ к портам, отсутствующим в списке выше http_access deny !Safe_ports # Запретить метод CONNECT не на SSL-порт http_access deny CONNECT !SSL_ports http_access deny AdDomains # запрещаем доступ к листу 1 http_access deny RestrictedDomains # открываем этим подсетям доступ ко всему остальному http_access allow localnet http_access allow localnet_21 http_access allow localnet_22 http_access allow localnet_24 #http_access allow localnet_39 #http_access allow localnet_40 #закрываем доступ к листу 2 http_access deny RestrictedDomains2 # остальное делаем доступно для подсетей ниже #http_access allow localnet_22 http_access allow localnet_23 http_access allow localnet_40 # Последнее правило, блокирует все, что не было разрешено выше http_access deny all icp_access allow localnet icp_access allow localnet_21 icp_access allow localnet_22 icp_access allow localnet_23 icp_access allow localnet_24 icp_access allow localnet_39 icp_access allow localnet_40 icp_access deny all http_port 3129 http_port 3128 intercept #http_port 127.0.0.1:3128 options=NO_SSLv3:NO_SSLv2 #hierarchy_stoplist cgi-bin ? always_direct allow all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER delay_pools 2 #ограничение по скорости delay_class 1 2 delay_parameters 1 -1/-1 256000/128000 #2mb/s delay_access 1 allow localnet delay_access 1 allow localnet_21 delay_access 1 allow localnet_22 delay_access 1 allow localnet_23 delay_access 1 allow localnet_24 delay_access 1 allow localnet_39 delay_access 1 allow localnet_40 delay_access 1 deny all delay_class 2 2 delay_parameters 2 1280000/1280000 256000/256000 #delay_access 2 allow localnet_50 #delay_access 1 allow localnet_34 delay_access 2 deny all delay_initial_bucket_level 50 forwarded_for transparent via off cache_mem 256 MB maximum_object_size_in_memory 64 KB memory_replacement_policy lru cache_replacement_policy lru cache_dir ufs /usr/local/squid/cache 4000 16 256 store_dir_select_algorithm least-load maximum_object_size 8 MB cache_swap_low 90 cache_swap_high 95 logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt access_log /usr/local/squid/log/access.log squid cache_log /usr/local/squid/log/cache.log cache_store_log /usr/local/squid/log/store.log pid_filename /var/run/squid/squid.pid strip_query_terms off refresh_pattern ^ftp: &n... 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 # По умолчанию, приоритет отдается протоколу IPv6, что может привести к ошибкам соединения, если IPv6 недоступен dns_v4_first on shutdown_lifetime 1 seconds visible_hostname proxy.orlyonok.local check_hostnames on coredump_dir /usr/local/squid/cache

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> здравствуйте. так случилось что админа в организации не стало, а меня воткнули > на его место. С freebsd я новичек, знаю только азы. помер > HDD на сервере. Конечно заменил, установил freebsd с пересборкой ядра +pf+squid+openvpn. > все работает кроме сквида. уже 2 недели пытаюсь найти решение в > интернете да на форумах но пока безуспешно. > pf успешно направляет на squid, а что дальше происходит не пойму. > если оставляю http_port 3128, то на локальной машине с использованием прокси все > работает > ставлю прозрачное проксирование http_port 3128 intercept и тишина. http ресурсы недоступны. > конфиги pf u squid удалось вытащить со старой системы. Возможно на новой > версии freebsd u squid изменился синтаксис или какие команды.. > uname -a > FreeBSD proxy 11.1-RELEASE FreeBSD 11.1-RELEASE #0: Sat Aug 19 15:52:29 MSK 2017 > strannik@proxy:/usr/obj/usr/src/sys/GENERIC1 amd64 > # squid -v > Squid Cache: Version 3.5.26 > и странно что не могу поставить squid 3.5.8, доступен только 3.5.26 > squid > acl localnet src 192.168.2.0/24 > acl localnet_21 src 10.0.0.0/16 > acl localnet_22 src 10.1.22.0/24 > acl localnet_23 src 10.1.23.0/24 > acl localnet_24 src 10.1.24.0/24 > acl localnet_39 src 10.1.39.0/24 > acl localnet_40 src 10.1.40.0/24 > # Порт SSL для подключений по HTTPS-протоколу > acl SSL_ports port 443 > # Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP > acl Safe_ports port 80 > # http > acl Safe_ports port 21 > # ftp > acl Safe_ports port 443 > # https > acl Safe_ports port 70 > # gopher > acl Safe_ports port 210 > # wais > acl Safe_ports port 1025-65535 # unregistered ports > acl Safe_ports port 280 > # http-mgmt > acl Safe_ports port 488 > # gss-http > acl Safe_ports port 591 > # filemaker > acl Safe_ports port 777 > # multiling http > acl CONNECT method CONNECT > #acl RestrictedDomains dstdomain "/usr/local/etc/squid/AccessLists/url_block.txt" > #acl RestrictedDomains2 dstdomain "/usr/local/etc/squid/AccessLists/url_block_2.txt" > #acl white url_regex -i "/usr/local/etc/squid/AccessLists/white.txt" > acl AdDomains url_regex -i "/usr/local/etc/squid/AccessLists/url_porno.txt" > http_access allow manager localhost > http_access allow localnet_21 manager > http_access deny manager > # Запретить доступ к портам, отсутствующим в списке выше > http_access deny !Safe_ports > # Запретить метод CONNECT не на SSL-порт > http_access deny CONNECT !SSL_ports > http_access deny AdDomains > # запрещаем доступ к листу 1 > http_access deny RestrictedDomains > # открываем этим подсетям доступ ко всему остальному > http_access allow localnet > http_access allow localnet_21 > http_access allow localnet_22 > http_access allow localnet_24 > #http_access allow localnet_39 > #http_access allow localnet_40 > #закрываем доступ к листу 2 > http_access deny RestrictedDomains2 > # остальное делаем доступно для подсетей ниже > #http_access allow localnet_22 > http_access allow localnet_23 > http_access allow localnet_40 > # Последнее правило, блокирует все, что не было разрешено выше > http_access deny all > icp_access allow localnet > icp_access allow localnet_21 > icp_access allow localnet_22 > icp_access allow localnet_23 > icp_access allow localnet_24 > icp_access allow localnet_39 > icp_access allow localnet_40 > icp_access deny all > http_port 3129 > http_port 3128 intercept > #http_port 127.0.0.1:3128 options=NO_SSLv3:NO_SSLv2 > #hierarchy_stoplist cgi-bin ? > always_direct allow all > sslproxy_cert_error allow all > sslproxy_flags DONT_VERIFY_PEER > delay_pools 2 > #ограничение по скорости > delay_class 1 2 > delay_parameters 1 -1/-1 256000/128000 #2mb/s > delay_access 1 allow localnet > delay_access 1 allow localnet_21 > delay_access 1 allow localnet_22 > delay_access 1 allow localnet_23 > delay_access 1 allow localnet_24 > delay_access 1 allow localnet_39 > delay_access 1 allow localnet_40 > delay_access 1 deny all > delay_class 2 2 > delay_parameters 2 1280000/1280000 256000/256000 > #delay_access 2 allow localnet_50 > #delay_access 1 allow localnet_34 > delay_access 2 deny all > delay_initial_bucket_level 50 > forwarded_for transparent > via off > cache_mem 256 MB > maximum_object_size_in_memory 64 KB > memory_replacement_policy lru > cache_replacement_policy lru > cache_dir ufs /usr/local/squid/cache 4000 16 256 > store_dir_select_algorithm least-load > maximum_object_size 8 MB > cache_swap_low 90 > cache_swap_high 95 > logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt > access_log /usr/local/squid/log/access.log squid > cache_log /usr/local/squid/log/cache.log > cache_store_log /usr/local/squid/log/store.log > pid_filename /var/run/squid/squid.pid > strip_query_terms off > refresh_pattern ^ftp: > 1440 20% 10080 > refresh_pattern ^gopher: 1440 > 0% 1440 > refresh_pattern -i (/cgi-bin/\|\?) 0 0% > 0 > refresh_pattern . > 0 > 20% 4320 > # По умолчанию, приоритет отдается протоколу IPv6, что может привести к ошибкам > соединения, если IPv6 недоступен > dns_v4_first on > shutdown_lifetime 1 seconds > visible_hostname proxy.orlyonok.local > check_hostnames on > coredump_dir /usr/local/squid/cache
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру