nixp.ru v3.0

23 октября 2017,
понедельник,
23:52:47 MSK

DevOps с компанией «Флант»
neogeisha написала 17 июля 2007 года в 07:53 (500 просмотров) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

есть куча вопросов по прокси, начну с первого

1. сгвид не вырезает банеры

cat deny_ban

88×31.*gif

88×31.*GIF

100×80.*gif

100×80.*GIF

100×100.*gif

100×100.*GIF

120×60.*gif

120×60.*GIF

179×69.*gif

179×69.*GIF

193×72.*gif

193×72.*GIF

468×60.*gif

468×72.*GIF

cat deny_url

^http://*.*top*.mail.ru

^http://*.*top*.rambler.ru

^http://*top*.mail.ru

^http://*top*.rambler.ru

^http://www.pobediteli.ru

^http://neolink.ru/banners/victors.gif

acl BadBan url_regex '/etc/squid/deny_ban'

acl BadUrl url_regex '/etc/squid/deny_url'

http_access deny BadBan

http_access deny BadUrl

http_access allow users

http_access deny server

http_access deny lan1

http_access deny lan2

http_access deny all

Dr. Evil

нет ли у тебя в конфиге squid правила http_access allow all?

если нет, то показывай права доступа с файлам deny_ban и deny_url.

еще хочется посмотреть на лог запуска squid (можно взять из файла /var/log/messages или syslog)

neogeisha

не, нету

ls -la

-rw-r--r-- 1 root root 0 Jul 15 13:07 allow_www

-rw-r--r-- 1 root root 168 Jul 15 13:21 deny_ban

-rw-r--r-- 1 root root 163 Jul 15 13:10 deny_url

-rw——- 1 root root 4623 Jul 15 13:13 squid.conf

тестирую на http://neolink.ru/

Dr. Evil
neogeisha
acl BadBan url_regex '/etc/squid/deny_ban'

acl BadUrl url_regex '/etc/squid/deny_url'

эх…. а бревно я сразу не заметил.

ты неправильно акл написала.

надо вот так писать:

acl acl_name url_regex "path_to_file"
neogeisha

acl acl_name url_regex «/etc/squid/deny_ban»

http_access deny acl_name

все равно банеры показываются

Dr. Evil
neogeisha
acl acl_name url_regex «/etc/squid/deny_ban»

http_access deny acl_name

все равно банеры показываются

а вот так:

<font size=«+1»>acl acl_name urlpath_regex «/etc/squid/deny_ban»</font>

Genie

покажи вывод команды

# egrep '^http_.*access| url_' squid.conf

у меня работало нормально, как и указано у тебя, через url_regex

правда, картинки/баннеры резались через mime_type

yei
Genie
покажи вывод команды

# egrep '^http_.*access| url_' squid.conf

у меня работало нормально, как и указано у тебя, через url_regex

правда, картинки/баннеры резались через mime_type

а можно поподробнее что как и где?

зы. приду домой, папробую оба варианта

neogeisha
Dr. Evil
а вот так:

<font size=«+1»>acl acl_name urlpath_regex «/etc/squid/deny_ban»</font>

несработало ((

neogeisha
Genie
покажи вывод команды

# egrep '^http_.*access| url_' squid.conf

у меня работало нормально, как и указано у тебя, через url_regex

правда, картинки/баннеры резались через mime_type



http_access allow users
http_access deny acl_name
http_access deny users !Safe_ports
http_access deny server
http_access deny lan2
http_access deny all

раскажи поподробне плиз, как что и где делал, спасибо

Genie
раскажи поподробне плиз, как что и где делал, спасибо

охх.. по-моему с тобой уже обсуждали, что порядок правил, которые проверяются сквидом, очень важен?

вот те твои правила эквивалентны всего ДВУМ:

http_access allow users
http_access deny all

сквид проверяет правила в порядке их записи.

итого, чтобы у тебя работало отрезание баннеров, попробуй так:

http_access deny CONNECT !Safe_ports
http_access deny acl_name
http_access allow users
http_access deny all
neogeisha
Genie
охх.. по-моему с тобой уже обсуждали, что порядок правил, которые проверяются сквидом, очень важен?

вот те твои правила эквивалентны всего ДВУМ:

http_access allow users
http_access deny all

сквид проверяет правила в порядке их записи.

итого, чтобы у тебя работало отрезание баннеров, попробуй так:

http_access deny CONNECT !Safe_ports
http_access deny acl_name
http_access allow users
http_access deny all

спасибо за разъеснения.

вот у меня еще такой вопросик:

как спрятать локальную сеть за сквидом?

а то захажу на сайт, смотрю информаци о IP, а там видно IP локальной сети

топология следущая:

интернет через dsl -> dsl подключен к шлюзу -> на шлюзе стоит сквид и раздает интеренет каму надо

а если dsl подключить на пряму к локалке, то локальные IP не видно,

видно только IP dslки

Dr. Evil

а зачем тебе прятать ip-адреса внутри локальной сети?

neogeisha
Dr. Evil
а зачем тебе прятать ip-адреса внутри локальной сети?

просто интересно пачему так!!!!

Genie
просто интересно пачему так!!!!

искать в конфигурационном файле слово X-Forwarded-For. ну или типа того.

Dr. Evil
neogeisha
просто интересно пачему так!!!!

во-первых, потому что так должно быть, а во-вторых, потому что у тебя не настроен должным образом прокси-сервер. ;)

я вообще ничего страшного не вижу в том, что кто-то может узнать, какой у тебя ip-адресс внутри сети.

neogeisha
Dr. Evil
во-первых, потому что так должно быть, а во-вторых, потому что у тебя не настроен должным образом прокси-сервер. ;)

вот!

а что может быть не так?

кстати, а почему баннеры не режуться по размерам, как настроить?

правильно ли строки

^http://www.pobediteli.ru
http://neolink.ru/banners/victors.gif
penis
/banner/
\.banner\.

хранить в одном файле, тоесть все банеры, урлы и плохие ресурсы закинуть в один файл?

Dr. Evil
neogeisha
вот!

а что может быть не так?

да потому что настройки по умолчанию не скрывают твой ip на других машина. ибо это совсем не нужно.

neogeisha
кстати, а почему баннеры не режуться по размерам, как настроить?

так у тебя не получилось настроить резалку чтоли?

neogeisha
Dr. Evil
да потому что настройки по умолчанию не скрывают твой ip на других машина. ибо это совсем не нужно.

а как сделать чтоб скрывался, есть какие то недокументированные параметры?

Dr. Evil
так у тебя не получилось настроить резалку чтоли?

режит только по URl, но не по размерам банеров, скажем 80ч30.GIF

ps.хотя ща ище кое что папробую, но вопрос не снимается =)

Dr. Evil
neogeisha
cat deny_ban

88×31.*gif

88×31.*GIF

100×80.*gif

100×80.*GIF

100×100.*gif

100×100.*GIF

120×60.*gif

120×60.*GIF

179×69.*gif

179×69.*GIF

193×72.*gif

193×72.*GIF

468×60.*gif

468×72.*GIF

acl BadBan url_regex «/etc/squid/deny_ban»

http_access deny BadBan

вот так должно работать.

если нет, то давай логи, которые привести тебя давно просили.

fly4life
neogeisha
а как сделать чтоб скрывался, есть какие то недокументированные параметры?

Всё документировано =). Смотри в сторону параметра «forwarded_for».

neogeisha
Dr. Evil
вот так должно работать.

если нет, то давай логи, которые привести тебя давно просили.

вот, наконец то интернет появился.

значится так

вот часть конфига:

acl deny_ban_size url_regex «/etc/squid/deny_ban_size»

http_access deny CONNECT !Safe_ports

#http_access deny deny_ban

http_access deny deny_ban_size

http_access allow users

http_access deny all

deny_ban_size вида:

88×31.gif

88×31.GIF

захожу на баш и на нем все банеры видны.

логи какого именно лога показать?

Dr. Evil

/var/log/messages

/var/log/syslog

в момента запуска/перезапуска squid.

neogeisha
Dr. Evil
/var/log/messages

/var/log/syslog

в момента запуска/перезапуска squid.

/var/log/messages

Aug 23 20:25:22 inet squid[784]: Squid Parent: child process 787 exited with status 0
Aug 23 20:25:22 inet squid[860]: Squid Parent: child process 863 started

/var/log/syslog

Aug 23 20:24:51 inet squid[787]: Preparing for shutdown after 97 requests
Aug 23 20:24:51 inet squid[787]: Waiting 30 seconds for active connections to finish
Aug 23 20:24:51 inet squid[787]: FD 20 Closing HTTP connection
Aug 23 20:25:22 inet squid[787]: Shutting down...
Aug 23 20:25:22 inet squid[787]: Closing unlinkd pipe on FD 19
Aug 23 20:25:22 inet squid[787]: storeDirWriteCleanLogs: Starting...
Aug 23 20:25:22 inet squid[787]:   Finished.  Wrote 13261 entries.
Aug 23 20:25:22 inet squid[787]:   Took 0.1 seconds (140700.3 entries/sec).
Aug 23 20:25:22 inet squid[787]: Squid Cache (Version 2.5.STABLE9): Exiting normally.
Aug 23 20:25:22 inet squid[784]: Squid Parent: child process 787 exited with status 0
Aug 23 20:25:22 inet squid[860]: Squid Parent: child process 863 started
Aug 23 20:25:22 inet squid[863]: Starting Squid Cache version 2.5.STABLE9 for i386-debian-linux-gnu...
Aug 23 20:25:22 inet squid[863]: Process ID 863
Aug 23 20:25:22 inet squid[863]: With 1024 file descriptors available
Aug 23 20:25:22 inet squid[863]: DNS Socket created at 0.0.0.0, port 1026, FD 9
Aug 23 20:25:22 inet squid[863]: Adding nameserver 192.168.1.1 from /etc/resolv.conf
Aug 23 20:25:22 inet squid[863]: helperOpenServers: Starting 5 'ncsa_auth' processes
Aug 23 20:25:23 inet squid[863]: User-Agent logging is disabled.
Aug 23 20:25:23 inet squid[863]: Referer logging is disabled.
Aug 23 20:25:23 inet squid[863]: Unlinkd pipe opened on FD 19
Aug 23 20:25:23 inet squid[863]: Swap maxSize 512000 KB, estimated 39384 objects
Aug 23 20:25:23 inet squid[863]: Target number of buckets: 1969
Aug 23 20:25:23 inet squid[863]: Using 8192 Store buckets
Aug 23 20:25:23 inet squid[863]: Max Mem  size: 8192 KB
Aug 23 20:25:23 inet squid[863]: Max Swap size: 512000 KB
Aug 23 20:25:23 inet squid[863]: Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
Aug 23 20:25:23 inet squid[863]: Store logging disabled
Aug 23 20:25:23 inet squid[863]: Rebuilding storage in /var/spool/squid (CLEAN)
Aug 23 20:25:23 inet squid[863]: Using Least Load store dir selection
Aug 23 20:25:23 inet squid[863]: Current Directory is /
Aug 23 20:25:23 inet squid[863]: Loaded Icons.
Aug 23 20:25:23 inet squid[863]: Accepting HTTP connections at 192.168.2.3, port 3128, FD 20.
Aug 23 20:25:23 inet squid[863]: HTCP Disabled.
Aug 23 20:25:23 inet squid[863]: WCCP Disabled.
Aug 23 20:25:23 inet squid[863]: Ready to serve requests.
Aug 23 20:25:24 inet squid[863]: Store rebuilding is 30.9% complete
Aug 23 20:25:25 inet squid[863]: Done reading /var/spool/squid swaplog (13261 entries)
Aug 23 20:25:25 inet squid[863]: Finished rebuilding storage from disk.
Aug 23 20:25:25 inet squid[863]:     13261 Entries scanned
Aug 23 20:25:25 inet squid[863]:         0 Invalid entries.
Aug 23 20:25:25 inet squid[863]:         0 With invalid flags.
Aug 23 20:25:25 inet squid[863]:     13261 Objects loaded.
Aug 23 20:25:25 inet squid[863]:         0 Objects expired.
Aug 23 20:25:25 inet squid[863]:         0 Objects cancelled.
Aug 23 20:25:25 inet squid[863]:         0 Duplicate URLs purged.
Aug 23 20:25:25 inet squid[863]:         0 Swapfile clashes avoided.
Aug 23 20:25:25 inet squid[863]:   Took 2.0 seconds (6514.4 objects/sec).
Aug 23 20:25:25 inet squid[863]: Beginning Validation Procedure
Aug 23 20:25:25 inet squid[863]:   Completed Validation Procedure
Aug 23 20:25:25 inet squid[863]:   Validated 13261 Entries
Aug 23 20:25:25 inet squid[863]:   store_swap_size = 145623k
Aug 23 20:25:26 inet squid[863]: storeLateRelease: released 0 objects
Dr. Evil

у меня вот такая идея появилась.

neogeisha, ты всегда с одоного компьютера проверяешь резанье баннеров? всегда с одного сайта?

может, у тебя на этом компьютере надо почистить кэш?

neogeisha
Dr. Evil
у меня вот такая идея появилась.

neogeisha, ты всегда с одоного компьютера проверяешь резанье баннеров? всегда с одного сайта?

может, у тебя на этом компьютере надо почистить кэш?

компьютер один и тот же, захожу на разные сайты

предварительно чищу var/spool в сквиде

и кэш браузера на машине

neogeisha

щас попробовала на новой системе, грузятся сабаки

как быть?

Genie

ох.. чую я, что хочется тебе чего-то странноватого.. посетила меня мысль, что ты пытаешься настроить фильтрацию картинок по их видимому размеру в пикселях… squid фильтрует по части url, потому и правило называется url_regex.

можно настроить фильтрацию по mime_type. но опять же, это несколько не то и не даёт возможности настраивать по размеру картинок в пикселях.

попробовать можно настроить по размеру в байтах, что, опять же очень мало коррелирует с размером в пикселях.

neogeisha
Genie
ох.. чую я, что хочется тебе чего-то странноватого.. посетила меня мысль, что ты пытаешься настроить фильтрацию картинок по их видимому размеру в пикселях… squid фильтрует по части url, потому и правило называется url_regex.

можно настроить фильтрацию по mime_type. но опять же, это несколько не то и не даёт возможности настраивать по размеру картинок в пикселях.

попробовать можно настроить по размеру в байтах, что, опять же очень мало коррелирует с размером в пикселях.

да, так и хочу, фильтрация по пикселям

спасибо за пояснения. буду капаться в DansGuardian

neogeisha

После рестарта прокси выдает

Starting proxy server: 2007/08/30 21:36:38| aclParseAclLine: WARNING: empty ACL: acl deny_user proxy_auth «/etc/squid/deny_user»

squid.

В чем проблема?

вроде было все нормально, не пищал,а сейчас заорал

acl deny_ban url_regex «/etc/squid/deny_ban»

acl deny_ban_size url_regex «/etc/squid/deny_ban_size»

acl deny_user proxy_auth «/etc/squid/deny_user»

http_access deny deny_user

http_access deny CONNECT !Safe_ports

http_access deny deny_ban

http_access deny deny_ban_size

http_access allow users

http_access deny all

Dr. Evil

а где же содержание файла /etc/squid/deny_user?