SQUID як дочірний проксі сервер

[0x7663h]

Щастя й радості панове!

Виник у мене глюк .Ситуація типова: потрібно обмежити по швидкості та доступу користувачів підмережі.
Поставив squid/2.6.STABLE4 налаштував "ТРІШКИ" і побачив глюк: при завантажені сторінок без РНР скриптів www.google.com.ua наприклад усе працює, як тільки йде завантаження сторінок з РНР то отримую помилку

ОШИБКА
Запрошенный URL не может быть доставлен.

--------------------------------------------------------------------------------

Во время доставки URL: http://www.google.com.ua/search?

Произошла следующая ошибка:

Не удалось установить соединение.
Был получен ответ:

    (101) Network is unreachableУдалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.



--------------------------------------------------------------------------------

Generated Tue, 12 Aug 2008 12:04:53 GMT by proxy.ХХХ.local (squid/2.6.STABLE4)

В чому проблема?

[0x7663h]

Проблему наче вдалося вирішити
Мій проксі сервер є дочірним. В конфігу пишу для цього таке(наводжу лише проблемний код)

cache_peer XXX.XXX.XXX.XXX parent 3128 0 proxy-only

закоментував далі

#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \ ?
#cache deny QUERY

в такому вигляді наче все працює
і визріло інше питання?
у мене файли і т.д. не кешуються.... аце   мені потрібно :-/!!!
допоможіть хто що знає

[0x7663h]

Уточню питання трішки на що потрібно замінити proxy-only(а саме він не дозволяє кешувати файли локально) щоб файли кешувалися локально?
cache_peer XXX.XXX.XXX.XXX parent 3128 0 proxy-only

може на default ?

[0x7663h]

знайшовся визхід
просто замість cache_peer XXX.XXX.XXX.XXX parent 3128 0 proxy-only пишем:
cache_peer XXX.XXX.XXX.XXX parent 3128 0

[PAL]

закоментував далі

#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \ ?
#cache deny QUERY

Оце дуже погано коментувати.
Ви розумієте, нащо потрібен цей блок? Ввважаю, скоріш за все ні (бо новачок).

Поясняю - це наказ проксі не кешувати сторінки, URI яких має cgi-bin та ? - тобто динамічні сторінки.

hyerarchy_stoplist - це параметр, що наказує не користуватися "батьківським" (parent) проксі для таких сторінок.  Це закоментовано правильно, при умові, якщо проксік не має незалежного виходу до інету, а повинен завжди ходити лише через батьківський.

[0x7663h]

Дякую за допомогу та розяснення пану PAL!!!з усього видно , що ви знавець СКВІДА.
Стосовно рекомендації то можу лиш сказати, що  після того як я вирішив проблему з кешуванням то я ці  "моменти розкоментував".

і знову запитання.....

на портал однокласніки.ру на який люблять "ходити" користувачі  через мій проксі зайти не можна(СКІВД вмдає помилку аналогічну тій, що я наводив з гуглом), а ще ICQ клієнт не праює.
В чому проблема я не догадуюсь....
Може вкогось є якісь думки чи практика...

[Praporshic]

Off-topic:

Дякую за допомогу та розяснення пану PAL!!!з усього видно , що ви знавець СКВІДА.

Ще який. Я вперше хвилин 20 вчитувався у його acl`і, коли виникла потреба щось додати.

на портал однокласніки.ру на який люблять "ходити" користувачі  через мій проксі зайти не можна(СКІВД вмдає помилку аналогічну тій, що я наводив з гуглом).
В чому проблема я не догадуюсь....
Може вкогось є якісь думки чи практика...

Код: [Вибрати]

ірtables -А FORWARD -p tcp -m tcp -m multіport -m strіng --strіng "оdnоklаssnіkі.ru" --аlgо kmр --tо 65535 -j DRОР  IMHO, один з кращих варіантів  
Взагалі, може наведете повний (без коментарів) конфіг, щоб було зручніше шукати проблему?

P.S. Треба мабуть підкрутити mod_security - довелось у коді усі літери на схожі українські поміняти...

[0x7663h]

Проблема так і не вирішилася ( )
На рахунок іртаблиць питання??
виходить наче брандмауер щось блокує чи що?
Чому аська не праює.....

[0x7663h]

Жарко на дворі...ой жарко... 8-)робити нічого не хочеться  :-/, а тут як на зло проксі якось "чудно працює"
Одним словом із замічених недоліків (в настройці мабуть ) : не працює  Аська, а також помилка при спробі відвідати сайти із SSL доступом (гмейл, одокласніки.ру.....). Отож як останій вихід навожу вирізаний від коментарів конфігураційний файл сквіда.

Код: [Вибрати]


#WELCOME TO SQUID 2.6.STABLE4
http_port 8080
cache_peer 100.100.100.100 parent 3128 3120
icp_query_timeout 2000
maximum_icp_query_timeout 2000
dead_peer_timeout 20 seconds
acl QUERY urlpath_regex  cgi-bin \?  
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 2048 MB
minimum_object_size 0 KB
maximum_object_size_in_memory 32 KB
ipcache_size 2024
ipcache_low 90
ipcache_high 95
cache_dir ufs /XXX/cache 100 16 256

access_log /var/lib/squid/logs/access.log squid
dns_retransmit_interval 15 seconds
dns_timeout 2 minutes
refresh_pattern ^ftp:            1440      20%      10080
refresh_pattern ^gopher:      1440      0%      1440
refresh_pattern .            0      20%      4320


# ACCESS CONTROLS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80            # http
acl Safe_ports port 21            # ftp
acl Safe_ports port 443 563      # https, snews
acl Safe_ports port 70            # gopher
acl Safe_ports port 210            # wais
acl Safe_ports port 1025-65535      # unregistered ports
acl Safe_ports port 280            # http-mgmt
acl Safe_ports port 488            # gss-http
acl Safe_ports port 591            # filemaker
acl Safe_ports port 777            # multiling http
acl CONNECT method CONNECT

#http_access allow all

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl admin src "/XXX/admin"
acl mrd src "/XXX/mrd"
acl user src "/XXX/user"

http_access allow admin
http_access allow  mrd
http_access allow  user

icp_access allow all
cache_peer_access 100.100.100.100 allow all
error_directory /usr/share/squid/errors/Russian-1251

Панове допоможіть хто чим може! хто посиланнями, хто порадами, а хто "добрим словом" (П.С. про погоду)......

[olex]

перша порада - використовуйте свіжий софт

тобто скачайте собі новий сквід і встановіть його
мені залишається загадкою чому ви досі використовуєте 2.6.STABLE4 - уже є 2.6.STABLE21
я уже не кажу про 2.7.STABLE4  i 3.0.STABLE8

до речі, реліз 2.6.STABLE4 був 26 вересня 2006 року

[Praporshic]

На рахунок іртаблиць питання??
виходить наче брандмауер щось блокує чи що?

Не виходить. Я навів правило, що використовується мною для одноклітинників. Як оно у вас - не знаю.

[PAL]

2prapor: 0x7663h жаліється, що в нього воно не працює, хоча має.
Зходу на думку приходить лише, що odnoklasssniki заблоковані батьківським проксі (інше ж бо працює?). Або перенаправляється на нестандартний порт (див нижче про icq).
Off-topic:

НМД, ім там і місце (в довічному бані) - дебільний проект від ФСБ. Разом з "В контактє".

Щодо icq - по-перше, перевірте, що у icq клієнті вказано проксі, причому тип проксі треба вказати http або https
По-друге, у вас стандартний порт для коннекту асі не входить до списку дозволених. Тому або добавте до списку або пропишіть на клієнті коннектитися на порт 443, наприклад (login.icq.com:443)

[0x7663h]

Що там за діла такі можуть бути (налаштування на батьківському проксі), що у мене не має зв"язку по ССЛ...
я вже в конфігу прописав
acl SSL_ports port 443
http_access allow SSL_ports

галімотня якась:

1проксяк--> PC - all work  
1проксяк--> 2 проксяк--> PC - work but not all  

[0x7663h]

Привіт панству!!!
Проблему вдалося вирішити шляхом правки конфігураційного файла:

Код: [Вибрати]

#Default
#nonhierarchical_direct onправим на

Код: [Вибрати]

nonhierarchical_direct offЗа замовчанням Squid направляе будь-які не ієрархічні запити  зразу до серверів, що запрошуються.
Якщо встановити параметр в офф, то СКВІД(КАЛЬМАР ) буде посилати запити через батьківський проксі сервер.
Можливо є ,ще один спосіб це використати never_direct , але я не провіряв!!!

Всім спасибі за допомогу!!!