几个星期前,我在networking上安装了squid,首先它使得网站的默认configuration加载速度非常慢,但是在squid.conf中进行了一些更改(从我公司的另一台服务器上复制而来),现在正在工作大多数情况下,但不时,一些网站仍然加载非常缓慢。 不正是网站加载速度慢,会发生什么,如冻结3或4秒,然后开始加载网站。 这是在configuration更改之前完成的。 我有不同的网站(更好的硬件,但更多的用户)完全相同的鱿鱼configuration,并正在完美工作。 该机器是Debian 6的一个小型准系统,只用于岸墙和鱿鱼。 问题可能与服务器只有512MB的内存和硬盘是SD卡,但如前所述,只用于防火墙和Squid。 这个旧服务器将在不久的将来被删除,但用户和pipe理人员总是抱怨 这是鱿鱼configuration 604a605,608 > acl salesforce dstdomain .salesforce.com > always_direct allow salesforce > cache deny salesforce > 609,611c613,621 < acl localnet src 10.0.0.0/8 # RFC1918 possible internal network < acl localnet src 172.16.0.0/12 # RFC1918 possible internal network < acl localnet src 192.168.0.0/16 # RFC1918 possible internal network […]
我正在尝试使用以下文档configurationWCCP + Squid: http : //www.crypt.gen.nz/papers/cisco_squid_wccp.html 我有一个思科交换机,一个testing客户端和一个鱿鱼代理服务器。 我认为交换机的configuration是正确的,因为当我跟着tcpdump看到GREstream量的时候。 但是,stream量似乎并没有让它到鱿鱼服务器。 我的鱿鱼隧道configuration如下: # cat /etc/sysconfig/network-scripts/ifcfg-tun0 DEVICE=tun0 TYPE=GRE BOOTPROTO=none MY_INNER_IPADDR=172.16.1.1 PEER_OUTER_IPADDR=10.1.1.1 PEER_INNER_IPADDR=172.16.1.2 NETMASK=255.255.255.252 ONBOOT=yes IPV6INIT=no USERCTL=no 我认为服务器无法解封GRE数据包,我对这个ifcfg文件应该如何configuration有些疑惑。 在这里,我有10.1.1.1作为交换机的地址。 这两个172.x地址没有明确configuration在其他地方,我不知道他们是否需要。 当我调出tun0时,我可以ping 172.16.1.1,但不能。 由于这个configuration全部存在于我的鱿鱼服务器上,我想知道是否需要调出一个接口.2。 我注意到的另一个奇怪的事情是,红帽(6)不会让我命名设备gre0。 我不确定这是否可以解决我的问题? 编辑: 对不起,迟到了,过去几天我一直把我的头撞在墙上。 这是一个Cisco 6509.代理服务器似乎向交换机注册,但处于“不可用”状态。 redirect和数据包返回显示为“L2”。 我已经在我的Squidconfiguration中将它设置为GRE和L2,但是在交换机上似乎没有什么区别。 我也尝试“哈希”和“面具”分配。 以下是相关的开关configuration: Standard IP access list WCCP-SQUID 10 permit 10.1.1.150 (1301 matches) Extended IP access list WCCP-REDIRECT 10 […]
我的目标是让互联网上的客户端连接到一个鱿鱼代理服务器,提供一个用户名和密码,然后通过使用像192.168.11.152这样的IP地址访问服务器所在内部networking上的多个http服务器。 目前,对于这些服务器的访问是通过从一些IP的内部端口80转发到非标准外部端口的一系列NAT端口来处理的。 这要求人们记住IP 192.168.11.152的设备是通过http://example.com:8936访问的,并不理想。 另外,许多设备不支持用户名和密码,所以我通过默默无闻的方式来依靠安全性。 我不想使用VPN,因为我想从外部允许进入networking的唯一stream量是HTTP和HTTPSstream量。 我无法修改任何设备上的HTTP服务器,因为它们都是embedded式系统(电源开关,安全摄像机,信号设备等)。 我已经在debian上search了关于设置squid代理服务器的指南,但是他们都是关于设置匿名代理,不支持用户名和密码,并允许代理连接到外部资源。 一旦连接到代理,它应该转发的唯一的stream量是到192.168.11.xxx地址的stream量。 所以,我的问题是: 这甚至有可能吗? 基于我的谷歌search,没有人这样做,也许这是因为它不能做到? 这是一个好主意吗? 如果没有,有没有更好的,更安全的,仍然符合我的要求? 我从哪说起呢? 所有在线指南只是剪切和粘贴configuration文件,没有解释任何东西,所以我不能真正修改它们到我的目的。 手册页是不够清楚的,我已经需要知道我想要什么之前,find有关它的信息。 在我错过的地方有没有一本好书/一套教程? 我意识到,对这个问题的完整答案比任何不是我的人都要花费更多的时间。 我会接受一个简要讨论上述3点的答案,并附有详细的参考资料。
嗨,我正在用squid3和dansguardian软件包build立pfsense。 但是,当我尝试启动dansguardian服务时,出现以下错误: May 27 22:17:37 php: /pkg_edit.php: The command '/usr/local/etc/rc.d/dansguardian.sh start' returned exit code '1', the output was 'kern.ipc.somaxconn: 16384 -> 16384 kern.maxfiles: 131072 -> 131072 kern.maxfilesperproc: 104856 -> 104856 kern.threads.max_threads_per_proc: 4096 -> 4096 Starting dansguardian. filterports (2) must match number of filterips (1) Error parsing the dansguardian.conf file or other DansGuardian configuration files /usr/local/etc/rc.d/dansguardian.sh: […]
我想要一个基本上覆盖DNS的转发代理,如/ etc / hosts在客户机上。 所以当人们去Google.com(例如)代理发送请求到指定的IP地址。 我认为这可以用鱿鱼来完成,有人可以指出我正确的方向吗? 这只是我需要pipe理的一小部分URL,其他所有内容都应该传递给实际的服务器。 这样做的目的是将一些组指向一个UAT环境,这样他们可以testing一些被迁移的网站,这比pipe理所有的主机文件要容易。 客户端是Mac,服务器是RHEL 6
我正在用squid_passwd文件和Mysqltesting两个身份validation。 这是我的configuration auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/squid_passwd # auth_param basic program /usr/lib/squid3/basic_db_auth –dsn "DBI:mysql:database=abc" –user "root" –password "aaa" –table "user" –usercol "User_Name" –passwdcol "Password" –cond "" –plaintext auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 1 minute auth_param basic casesensitive off # auth_param basic children 5 # auth_param basic […]
目前我必须为所有本地ips定义规则: acl ip1 localip 1.1.1.1/32 tcp_outgoing_address 1.1.1.1 ip1 acl ip2 localip 2.2.2.2/32 tcp_outgoing_address 2.2.2.2 ip2 acl ip3 localip 3.3.3.3/32 tcp_outgoing_address 3.3.3.3 ip3 因为我需要configuration几个服务器和他们总是有不同的ips我想configuration鱿鱼总是用作传入地址相同的地址也用作传出地址。 这可能吗? 我也对其他解决scheme开放。 我尝试了tinyproxy,它有“bindsame”选项,但缺乏定义外部authentication脚本的可能性。 我也需要通过一个鱿鱼能够做的程序进行外部authentication。
我有squid.conf下的configuration。 但是,当我的黑莓电子邮件客户端试图获取新的电子邮件等Squid访问日志显示以下错误: imap.gmail.com "CONNECT imap.gmail.com:993 HTTP/1.1" 403 3465 "-" "-" TCP_DENIED:NONE smtp.gmail.com "CONNECT smtp.gmail.com:465 HTTP/1.1" 403 3465 "-" "-" TCP_DENIED:NONE 因此,没有电子邮件被抓取。 acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port […]
在透明模式下,使用以下iptable规则将stream量redirect到squid。 iptables -I PREROUTING -t nat -p tcp –dport 80 -j REDIRECT –to-ports 3128 据我所知,REDIRECT将目标IP地址更改为本地接口的IP。 所以当stream量到达鱿鱼时,由于目的IP已经改变了,squid怎么知道要把它转发到哪里呢?
我想阻止networking访问(http和https)到某些mac地址。 我能够使用鱿鱼做到这一点,但它仍然让https网站通过。 acl denylist arp "/etc/squid/mac-deny-list.lst http_access deny denylist https / 443怎样才能做到这一点? 我试过使用iptables iptables -I INPUT -p tcp –dport 443 -m mac –mac-source XX:XX:XX:XX:XX:XX -j DROP 和 iptables -I FORWARD -p tcp –dport 443 -m mac –mac-source XX:XX:XX:XX:XX:XX -j DROP 我也尝试使用REJECT而不是DROP 。 都没有工作。 我的iptables规则的其余部分是: *nat :PREROUTING ACCEPT [467:49957] :POSTROUTING ACCEPT [4:784] :OUTPUT ACCEPT [6:960] -A […]