Помогите с настройкой прокси-сервера

[Maikll]

Darth Emil: два вопроса:

где брал squid с поддержкой delay_pools?

ограничения как я понимаю применяются к любым отдельным запросам, например к открытию страниц (при открытии другой все по-новой) или же считается суммарный трафик пользователя и по превышении скорость режется насовсем?

выложи кусок конфига где прописывал delay_pools, интересно посмотреть.

[Darth Emil]

Maikll: брал тут. Насчёт ограничений я тоже задумался. Ибо щас вспомнил что после тестовой скачки архива на 640 кбайт были замечены тормоза с загрузкой страниц. Вот этот момент хотелось бы прояснить у кого-нить более сведущего :D

Кусок конфига выложу завтра либо с работы, либо вечером из дома ;)

[Maikll]

Если будешь консультироваться, попроси подробнее объяснить про разницу между пулами 2 и 3 класса и потом расскажи ;)

Почему-то мне после прочтения мана кажется что этот параметр работает на на общее скачивание клиентом, а не на большие файлы, тоесть как только пользыватель насидел сколько-то кб в инете, его скорость падает до ограничения и насовсем. И вроде как пул 3 класса позволяет обойти это и задать ограничения на отдельные запросы ;) (не уверен в своем знании англ.)

Вот этот бы вопрос прояснить.

З.Ы, За ссылку - фенкс :D

[Darth Emil]

Maikll: я бы рад проконсультироваться, но в реале не у кого ;) Вся надежда на форум :D

Почему-то мне после прочтения мана кажется что этот параметр работает на на общее скачивание клиентом, а не на большие файлы, тоесть как только пользыватель насидел сколько-то кб в инете, его скорость падает до ограничения и насовсем.

Не у тебя одного, у меня и у коллег тоже такое впечатление. А почему ты считаешь что пул 3 класса может помочь?

[Maikll]

Оффтоп

надежда слабая. кроме нас двоих тут никого что-то :sm(100):

Мое мнение сложилось после прочтения вот этого но с англ. как я уже заметил у меня не все гуд.

А во всех факах, что мне попадались, по данному вопросу только такой ответ

4.21 Могу ли я предотвратить закачку больших файлов пользователями?

Вы можете установить глобальный праметр reply_body_max_size. Эта опция контролирует размер наибольшего тела HTTP-сообщения, которое будет послано кешем клиенту за один раз.

Если HTTP-ответ, пришедший от сервера содержит загловок Content-length, то Squid сравнивает значение content-length и значение reply_body_max_size. Если content-length больше, то соединение с сервером закрывается и клиент получает сообщение о ошибке от Squid-а.

Некоторые ответы не имеют заголовка Content-length. В этом случае Squid подсчитывает сколько байт отдано клиенту. Как только лимит достигнут, клиентское соединение закрывается.

Заметьте, что ``креативные'' агенты смогут загружать большие файлы через кеш, используя HTTP/1.1 range requests.

[Darth Emil]

Вот, как обещал, выкладываю конфиг:

#ставим свой адрес или оставляем только порт, если хотите чтобы сквид крутился на #всех интерфесах

http_port 192.168.0.1 80

hierarchy_stoplist cgi-bin

#visible_hostname "inet"

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

hosts_file c:\WINDOWS\system32\drivers\etc\hosts

cache_mem 64 MB

cache_swap_high 95

cache_swap_low 90

maximum_object_size 8192 KB

minimum_object_size 0 KB

maximum_object_size_in_memory 16 KB

ipcache_size 1024

ftp_user squid@

error_directory c:/squid/share/errors/Russian-1251

#Может это и не надо:

cache_access_log c:/squid/var/logs/access.log (журнализируется каждый запрос к кешу)

cache_log c:/squid/var/logs/cache.log (журнал запусков процессов)

cache_store_log c:/squid/var/logs/store.log

#

#включаем squidGuard

#redirect_program /usr/bin/squidGuard

redirect_children 5 #ставим больше 10 для высоко нагруженного

redirector_bypass on

#Suggested default:

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern . 0 20% 4320

#Тут настраиваем аккаунты и порты

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255

acl manager proto cache_object

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563 # https, snews

acl SSL_ports port 873 # rsync

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025 -65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT

acl Safe_ports port 110 # POP3

acl Safe_ports port 25 # SMTP

acl Safe_ports port 2593 # Proxifire

#acl Safe_ports port 3724 2255 2261 2262 8085 3306 # WOW

#acl Safe_ports port 7777 7778 7799 # UT

acl purge method PURGE

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

# Only allow purge requests from localhost

http_access allow purge localhost

http_access deny purge

# Deny requests to unknown ports

http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports

#http_access deny CONNECT !SSL_ports #нужно чтобы Proxifire работал

# ------------============ описание сети ================------------

# ================ Кафедры и прочее =====================

acl all_local src 192.168.0.0/24

# ------------- Аудитории ---------------------

# ============= =====================

acl local_107 src "C:\squid\etc\cabinets\107.txt"

acl local_201 src "C:\squid\etc\cabinets\201.txt"

acl local_203 src "C:\squid\etc\cabinets\203.txt"

acl local_206 src "C:\squid\etc\cabinets\206.txt"

acl local_207 src "C:\squid\etc\cabinets\207.txt"

acl local_210 src "C:\squid\etc\cabinets\210.txt"

acl local_302 src "C:\squid\etc\cabinets\302.txt"

acl local_303 src "C:\squid\etc\cabinets\303.txt"

acl local_burn src "C:\squid\etc\cabinets\burn.txt"

acl local_lab src "C:\squid\etc\cabinets\lab.txt"

acl local_libra src "C:\squid\etc\cabinets\libra.txt"

acl local_singles src "C:\squid\etc\cabinets\singles.txt"

acl level1 src "C:\squid\etc\level1.txt"

#---------------------DELAY POOLS

delay_pools 1

delay_class 1 1

delay_parameters 1 8000/640000

delay_access 1 allow level1

delay_access 1 deny all

#---------------------------------описание правил

#запрет сайтов по словосочетанию в ссылке

acl porn url_regex "c:\squid\etc\porno.txt"

#запрет файлообмеников

acl rapids url_regex "c:\squid\etc\rapids.txt"

#запрет доменов

acl Deny_domain dstdom_regex "c:\squid\etc\deny_domain.txt"

#Файлы. Фильтр по словосочетанию в ссылке.

acl files urlpath_regex -i "c:\squid\etc\felis_urlpath.txt"

# Файлы. Фильтр по заголовку Content-Length

acl mime_files rep_mime_type "c:\squid\etc\felis_mime.txt"

# Мультимедиа. Фильтр по словосочетанию в ссылке.

acl media urlpath_regex -i "c:\squid\etc\media_content.txt"

acl mime_media rep_mime_type "c:\squid\etc\media_mime.txt"

# запретить баннеры

acl banners urlpath_regex -i "c:\squid\etc\baner1.txt"

#

acl multimedia urlpath_regex -i "c:\squid\etc\multimedia.txt"

#acl url_level2 url_regex -i "C:\squid\etc\cabinets\deny_url.txt"

#acl eko_kz dstdom_regex -i eko.edu.kz test3.ru

acl all_dom dstdom_regex -i .*

#Разрешения. Блок 1

#http_access deny !eko_kz

http_access deny banners

#http_access allow all_local

http_access deny porn

http_access deny media

http_access deny rapids

http_access allow level1

http_access deny files

http_access deny deny_domain

#deny_info ERR_DENY_DOMAIN deny_domain

#Разрешения. Блок 1 конец

#Разрешения. Блок 2

#http_access deny url_level2

#http_access allow

http_access allow local_107

http_access allow local_201

http_access allow local_203

http_access allow local_206

http_access allow local_207

http_access allow local_210

http_access allow local_302

http_access allow local_303

http_access allow local_burn

http_access allow local_lab

http_access allow local_libra

http_access allow local_singles

#Разрешения. Блок 2 конец

#Разрешения. Блок 3

http_access deny all_dom

http_access allow all_local

#Разрешения. Блок 3 конец

#Запретить всем остальным

http_access deny all

#Под каким юзером будет работать сквид

cache_effective_user proxy

cache_effective_group proxy

visible_hostname www.eko.edu.kz

coredump_dir /var/spool/squid

cache_mgr eko_semsk@mail.ru

Вот только всё-таки делай пулс блочит весь трафик юзера.

[Maikll]

получается определяем пул 1 и говорим ему что он первого класса. А попробуй указать третий класс :) что это даст.

А я представлял себе, что delay_parameters должен стоять после разрешений delay_access или это все равно?

delay_pools 1

delay_class 1 3

delay_access 1 allow level1

delay_access 1 deny all

delay_parameters 1 8000/640000

[Darth Emil]

Maikll: ругается на строку delay_parameters 1 8000/640000. Насколько я понимаю, в пуле 3го класса не один параметр вида 8000/640000, а несколько. Вот что прописать? :g:

[Maikll]

:blushing: Попробуй указать

delay_parameters 1 -1/-1 8000/640000

Кстати, ты эту строчку передвинул ниже delay_access ил оставил как было? Просто я подумал, вдруг я порядок все-таки неправильно предложил :dontgetit:

[Darth Emil]

Передвинул ниже. Но тоже ругается. По идее там должно быть не два параметра, а три.

[Maikll]

мдя...

может, указать общий канал сквиду?

delay_parameters 1 10000/10000 -1/-1 8000/640000 (для примера канал 10 Кб)

[Darth Emil]

Maikll: спасибо! Теперь вроде всё работает :)

[Maikll]

Darth Emil: я уточню...

теперь работает именно так как надо? т.е. при скачивании более 640 Кб скорость урезается, но при повторной закачке первые 640 кб скачиваются на максимальной скорости?

Изменено 21 октября, 2008 пользователем Maikll

[Darth Emil]

Maikll: теперь инет тормозит и медленно грузятся страницы. Т.е. резаться-то режется, но всё подряд, а не архивы. Т.е. смена класса пула ничего не дала.

[Darth Emil]

delay_pools 1

delay_class 1 3

#delay_access 1 allow level1

delay_access 1 allow files

#delay_access 1 deny all

delay_parameters 1 200000/200000 -1/-1 1024/640000

Вот так работает. Чёрным подсвечено то что нужно изменить.

[Maikll]

а откуда взялась группа files? создал новую?

[Darth Emil]

Нет. Это разрешения для файлов.

#Файлы. Фильтр по словосочетанию в ссылке.

acl files urlpath_regex -i "c:\squid\etc\felis_urlpath.txt"

И кстати, пул надо было воткнуть после ВСЕХ acl, включая описания правил для файлов, а не только acl юзеров :D

[Maikll]

Подожди, а разве эти файлы не блокируются у тебя чуть ниже?

http_access deny files

[Darth Emil]

Maikll: да, но только не для level1. level1 находится выше, поэтому под запрет не попадает.

[Maikll]

Все, не увидел сразу http_access allow level1. :tabl_dots:

Поэтому ты и убрал delay_access 1 allow level1 - все будет разруливаться разрешениями для групп. Красиво получилось.

З.Ы, как юзеры восприняли нововведение?

[Darth Emil]

как юзеры восприняли нововведение?

Ну, это мера для "качков", которые у нас есть. Изначально доступ к скачиванию был закрыт. Просил тут один открыть доступ к скачиванию архивов, якобы для работы. Решили с коллегами что "640 кбайт хватит всем" :tabl_dots: Ибо 640 кб для документов хватит за глаза.

[Darth Emil]

Имеется вопрос.

Как в squid'е закрыть определенные порты для определенной группы? Нужно для студентов закрыть Mail.ru Agent.

[Maikll]

На сайте указано, что агент работает по портам TCP 443, 2041, 2042.

Адреса для соединения нагуглил такие

194.67.57.1 - 194.67.57.254

194.67.23.1 - 194.67.23.254

194.186.55.1 - 194.186.55.254

Ориентируясь на конфиг из 31 поста определим группу студентов для запрета и куда им запретить

acl students src "C:\squid\etc\cabinets\students.txt"

acl Magent dst 194.67.23.0/24 194.168.55.0/24 194.67.57.0/24

http_access deny students CONNECT SSL_ports Magent

за неимением сквида проверить не могу, но должно блокировать для группы students SSL-соединения на все адреса серверов агента майла, при этом майл.ру остается доступным через браузер :)

Попробуй и отпишись.

Оффтоп

о, трёхтысячное сообщение, однако...

[Darth Emil]

Подскажите как завести еще один delay pools, так чтобы на определенную группу резалась скорость на определенные сайты? Все в архиве squid.rar

squid.rar

[Maikll]

чтобы на определенную группу резалась скорость на определенные сайты

С именно такой задачей не приходилось ни разу сталкиваться (обычно я сайты либо запрещаю, либо разрешаю :) ), но навскидку что-то вроде этого:

delay_pools 2

delay_class 1 1

delay_class 2 3

delay_access 1 allow vip white

delay_access 1 deny all

delay_access 2 allow files

delay_access 2 deny all

delay_parameters 1 2000/2000

delay_parameters 2 200000/200000 -1/-1 1024/640000

для примера использовал кусок выложенного тобой конфига.