我在Debian上使用Squid 3.4,我想知道如何在禁用其他的子网站时允许某些子url。 特别是,我想禁止访问reddit.com/*,但允许访问reddit.com/r/foo/*和reddit.com/r/foo/ acl bad url_regex reddit\.com.* acl good url_regex reddit\.com.*foo* http_access deny bad http_access allow good … http_access allow localnet http_access allow localhost http_access deny all 这段代码似乎不起作用,reddit.com上的所有内容都会被阻止。 我怎样才能得到我想要的configuration? 编辑:更新的configuration仍然不起作用: acl good url_regex http(s)?://(www\.)?reddit\.com/r/foo.* acl bad url_regex http(s)?://(www\.)?reddit\.com.* http_access allow good http_access deny bad … http_access allow localnet http_access allow localhost http_access deny all 这与前面的代码有相反的效果; […]
我正在尝试安装Squid 3.5.2以利用HSTS网站改进的sslbumpfunction。 我正在关注新的CentOS 7 VM安装文档 。 我遇到的问题是在安装Squid时没有创buildssl_crtd文件夹,尽piperpm似乎已经使用相应的开关进行了configuration。 请参阅下面的Squid -v的输出 [root@squid]# squid -v Squid Cache: Version 3.5.2 Service Name: squid configure options: '–build=x86_64-redhat-linux-gnu' '–host=x86_64-redhat-linux-gnu' '–program-prefix=' '–prefix=/usr' '–exec-prefix=/usr' '–bindir=/usr/bin' '–sbindir=/usr/sbin' '–sysconfdir=/etc' '–datadir=/usr/share' '–includedir=/usr/include' '–libdir=/usr/lib64' '–libexecdir=/usr/libexec' '–sharedstatedir=/var/lib' '–mandir=/usr/share/man' '–infodir=/usr/share/info' '–exec_prefix=/usr' '–libexecdir=/usr/lib64/squid' '–localstatedir=/var' '–datadir=/usr/share/squid' '–sysconfdir=/etc/squid' '–with-logdir=$(localstatedir)/log/squid' '–with-pidfile=$(localstatedir)/run/squid.pid' '–disable-dependency-tracking' '–enable-follow-x-forwarded-for' '–enable-auth' '–enable-auth-basic=DB,LDAP,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB,getpwnam' '–enable-auth-ntlm=smb_lm,fake' '–enable-auth-digest=file,LDAP,eDirectory' '–enable-auth-negotiate=kerberos,wrapper' '–enable-external-acl-helpers=wbinfo_group,kerberos_ldap_group,AD_group' '–enable-cache-digests' '–enable-cachemgr-hostname=localhost' '–enable-delay-pools' '–enable-epoll' […]
我有一个由四个服务器联网在一起的环境。 一台服务器充当服务器,另外三台充当客户端,用于使用Phoromatic运行自动化testing和Linux基准testing。 这四个系统都在企业防火墙之后。 如果我在客户端上设置了“http_proxy”和“https_proxy”环境variables,他们可以连接到外部世界并下载testing等,但是当它们尝试使用代理连接到本地服务器时,它们将不会连接到服务器。 因为我想caching软件包的下载,testing等等,所以我在服务器系统上设置了一个Squid代理,并将其configuration为透明代理,但只能用于http请求。 我想要做的是通过caching处理http请求,并根据需要转发给父代理。 显然,我不能解密SSL会话,但我不知道如何让Squid代理转发父代理的https请求。 此外,squid代理与基于Web的Phoromatic服务器运行在同一个机器上,但使用用户可configuration的非标准端口,但是squid喜欢阻止对所述端口的请求,即使它被添加到configuration中也是允许的。 只要让客户端直接使用企业防火墙进行https和ftp请求,并且只需要使用Squidcaching来处理http请求,或者完全丢弃Squid代理,并让客户端设置为不使用本地主机的代理,就可以。 这让我非常沮丧,因为大部分时间我都擅长搜集信息,自己动手做事,而不必去挑选其他人的头脑,但是我想我有一个相当独特的情况! 是的,我尝试了Phoroon的Phoronix论坛无济于事。 服务器是运行Fedora 24的SuperMicro X8DTT双机箱系统。networkingconfiguration包括到交换机的GbE连接(用作到外部世界的连接)以及每个系统上的两个10Gb,也通过交换机连接,但是10Gb系统没有连接到外部世界 – 它们被用于带宽testing(10Gb卡的驱动程序是系统设置testing的)
我有一个在pfsense防火墙上设置透明Squid代理的问题。 我为HTTPS MITM创build了一个CA,将其安装在浏览器中,并且可以与大多数网站一起使用。 但是像ubuntuusers.de这样的网站使用我们的encryption证书似乎会导致问题。 奇怪的是这似乎是正确的:它的CN是域,他们的CA是正确的让我们encryption权限X3。 然而,只要Squid代理拦截证书,MITM将其自己的证书的CN证书成为ubuntuusers.de以及浏览器的IP地址, Chrome和Firefox都会拒绝它,因为cn和domain don't fit (net::ERR_CERT_COMMON_NAME_INVALID) 这只发生在这个网站,所以它必须做这个证书的东西。 我没有足够的证书来理解为什么会发生这种情况。 … Common Name (CN) 213.95.41.4 Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate> Serial Number 7C… Issued By Common Name (CN) myown-ca … 也许有人可以向我解释这种行为?
在squid.conf中有一些 http_access拒绝ACL 捕获很多连接尝试,所以用TCP_DENIED行填充access.log。 这是正常的行为,但对我们来说太冗长了。 是否有可能避免logging这些? 最好的问候,萨拉
我刚刚尝试在CentOS7上的OpenVZ VPS上创build代理服务器。 所有的好,但我不能访问https网站,如谷歌,instagram,脸谱等。它说,超时,花了很长的时间来回应。 我已经生成了一个myCA.pem证书,并使用ssl_bump我已经链接签署的证书没有错误(与systemctl status squid检查),现在所有当我试图连接到上面的网站枚举它给了我没有互联网错误: 1 http://i.prntscr.com/9c443500cf84450cb128b7a52e858cf7.png 下面是我的squid.conf和这里我的cache.log http://pastebin.com/MUkujTig acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl […]
我正在运行Centos 7作为我的操作系统,并已安装鱿鱼来caching我公司的Windows更新。 通过日志文件,它显示了一切都是tcp_miss,包括当它访问Windows更新服务器。 我想我的鱿鱼安装只cachingWindows更新。 任何人有任何想法发生了什么,为什么它不cachingWindows更新? 以下是access.log文件的摘录: 1432161438.306 109488 192.168.5.163 TCP_MISS/200 4739 CONNECT exchange.heffron-it.com.au:443 – HIER_DIRECT/10.50.10.48 – 1432161441.375 110041 192.168.5.163 TCP_MISS/200 77216 CONNECT exchange.heffron-it.com.au:443 – HIER_DIRECT/10.50.10.48 – 1432161462.843 642 192.168.5.163 TCP_MISS/200 528 GET http://csm90-en.url.trendmicro.com/T/344/eqO8qdreMFHVsZPQHJe0cJKbush61hKMNSLH-GHMhZNC0gyHuu0CiOxud1YD3SlseyJzwmgic9qMFKrJvi2iP_ZVPlXHsmBt-a8QqO6MKTbQ5melaEY1Atd9fYSAYQRQgrChDZuAfCvHu2U5ddX40KEKuZF8YPclvhCb0giJpRgy7jPMiOyYA_wMJVDfGp5sGSbAVFEYRdJAR3hykIDkCPXPsQluymS-Y3axrSHHJzYG1b_F8GB04cbdakDlGZSBxwyHXbwiLzjcYfQ7K1ASldegziZO9ZUfRcZh1ce6txSK6qOZiDy45zaEUg63wIEEEM__EWcaJQmYIXIVS69vwQ== – HIER_DIRECT/104.72.70.19 text/html 1432161464.121 7 192.168.5.163 TCP_MISS/200 528 GET http://csm90-en.url.trendmicro.com/T/88/eqO8qdreMFHVsZPQHJe0cKMe63vDoh5niNui_qK5WZVN6azyvqm3qkTNA4CeLlgfBLjs_woCLvmIDOVQwkWfzQ== – HIER_DIRECT/104.72.70.19 text/html 1432161475.490 1793 192.168.5.163 TCP_MISS/200 6947 CONNECT www.windowssearch.com:443 – HIER_DIRECT/204.79.197.200 […]
我已经configuration了一个有很多父服务器的squid代理服务器。 我使用循环法分配负载,但是我不喜欢它。 大多数情况下,只有一两台服务器正在运行。由于这个原因我多次出现错误。 所以我想要做的是以某种方式自动select最好的父母,然后connect.Can它可以做某事? 我相信它可以使用ICP来完成。 我看到这个链接,他们以某种forms使用它。 (我不了解ICP) 这是我所做的: cache_peer parentip1 parent 3128 0 login=username:password round-robin no-query cache_peer parentip2 parent 3128 0 login=username:password round-robin no-query cache_peer parentip3 parent 3128 0 login=username:password round-robin no-query cache_peer parentip4 parent 3128 0 login=username:password round-robin no-query cache_peer parentip5 parent 3128 0 login=username:password round-robin no-query
我们有两个Squid代理服务器来实现高可用性。 我们希望在这些Squid代理服务器之前使用Amazon ELB。 当我们使用负载均衡协议作为TCP和端口8080,实例协议TCP和端口3128 – 在testing实例上使用ELB名称导出鱿鱼代理后,我们能够连接到互联网。 但 当我们使用负载平衡协议作为HTTP和端口80,实例协议HTTP和端口3128 – 在testing实例上使用ELB名称导出squid代理后,我们无法连接到互联网。 Squid代理configuration是我们获得包的原始configuration文件。 我们只添加了虚拟主机名。 有可能使用HTTP而不是TCP?
任何人都可以告诉我,如何通过使用Squid代理(Fedora 10或RHEL5)来阻止我的Lan(Windows XP和Vista客户端)上的utorrent。 我真的很困惑,而试图谷歌这一点。