информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Он и в третий раз ходил за ёлкой... 21.05.04 14:55  Число просмотров: 2384
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Собственно, просто тупо скопировал всю эту радость в squid.conf:
----------


#Порты, которые Squid будет "слушать".
http_port 8080
icp_port 3130
#Файлы в каталогах cgi-bins кэшироваться не будут.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#Объем памяти, которую будет использовать Squid.
#Хотя он будет использовать гораздо больше.
# (Объем памяти, занимаемой Squid, рассчитывается по формуле:
# cache_mem * 3 -- Прим. пер.).
cache_mem 16 MB
#250 означает, что Squid будет использовать
#250 МБ дискового пространства.
cache_dir ufs /cache 250 16 256

#Место, где будут расположены файлы журналов.
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
#Сколько версий журналов оставлять до их удаления.
#Обратитесь к ЧаВО за более подробной информацией.
logfile_rotate 10

redirect_rewrites_host_header off
cache_replacement_policy GDSF
acl localnet src 10.4.100.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
maximum_object_size 3000 KB
store_avg_object_size 50 KB

#Эти установки нужны, если вы хотите работать в "прозрачном" режиме.
#Прозрачный прокси-сервер означает, что Вам не придется его
#настраивать в клиентских браузерах. В этом, однако, есть и свои минусы.
#Если Вы просто оставите эти строки незакомментированными, то это ни
#на чем не отразится
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#Всем внешним серверам будет казаться, что наши локальные
#пользователи используют браузер Mozilla, работающий на Linux. :)
anonymize_headers deny User-Agent
#Поместите все в одну строку:
fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122

#Что бы сделать наше соединение еще быстрее, поместите сюда
#две строки, аналогичные приведенной ниже. Они будут указывать
#на родительский прокси-сервер для нашего Squid. Не забудьте изменить
#адрес на тот, который ближе к Вам!
#Для измерений используйте ping, traceroute и т.п.
#Убедитесь, что порты http и icp указаны верно.

#Раскомментируйте строки, начинающиеся с "cache_peer", если необходимо.
#Это прокси-сервер, который Вы собираетесь использовать для всех запросов...
#cache_peer w3cache.icm.edu.pl parent 8080 3130 no-digest default

#...кроме запросов к адресам, начинающимся с "!".
#Неплохая идея не использовать родительский прокси-сервер для:
#cache_peer_domain w3cache.icm.edu.pl !.pl !7thguard.net !192.168.1.1

#Это полезно, когда мы хотим использовать менеджер кэша.
#Скопируйте cachemgr.cgi в каталог cgi-bin Вашего www-сервера.
#Теперь к нему можно обратится через браузер, введя адрес
#http://your-web-server/cgi-bin/cachemgr.cgi
cache_mgr lurga@gfu.dp.ua
cachemgr_passwd secret_password all

#Это имя пользователя и группы, от которых работает Squid.
cache_effective_user squid
cache_effective_group squid

log_icp_queries off
buffered_logs on


#####Пулы задержки
#Эта часть, является самой важной для ограничения входящего
#трафика при помощи Squid
#Для более детального описания обратитесь к файлу squid.conf, или
#к документации по адресу http://www.squid-cache.org

#Мы не хотим ограничивать загрузки внутри нашей ЛВС.
acl magic_words1 url_regex -i 10.4

#Мы хотим ограничить загрузки файлов следующих типов
#Поместите все в одну строку:
acl magic_words2 url_regex -i ftp .exe .mp3 .vqf .tar.gz .gz .rpm\
.zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov
#Мы не блокируем .html, .gif, .jpg и аналогичные файлы, поскольку
#обычно они не занимают значительной части полосы пропускания

#Мы хотим ограничить скорость только днем и разрешить
#полную скорость ночью
#Внимание! acl приведенный ниже, скорее всего оборвет активные
#загрузки в 23:59. Прочтите раздел FAQ этого документа, если
#хотите этого избежать.
acl day time 09:00-23:59

#Определяем два пула задержки
#Обратитесь к документации Squid по вопросам
#с delay_pools и delay_class.
delay_pools 2

#Первый пул
#Мы не хотим ограничивать локальный трафик.
#Существует три класса пулов; мы же будем работать только со
#вторым. Первый пул (1) второго класса (2).
delay_class 1 2

#-1/-1 означает, что ограничений нет.
delay_parameters 1 -1/-1 -1/-1

#magic_words1: 192.168 мы определили раньше
delay_access 1 allow magic_words1


#Второй пул.
#мы хотим ограничить скорость загрузки для файлов,
#упомянутых в magic_words2.
#Второй пул (2) второго класса (2).
delay_class 2 2

#Числа -- это значения в байтах;
#нужно помнить, что Squid не предполагает наличия
#стартовых/стоповых битов
#5000/150000 -- значения для всей сети
#5000/120000 -- значения для одного IP-адреса
#после загрузки 150 Кбайт,
#(или даже в два или три раза большего количества)
#скорость будет ограничена до 5000 байт в секунду.

delay_parameters 2 5000/150000 5000/120000
#Мы установили day в 09:00-23:59 выше.
delay_access 2 allow day
delay_access 2 deny !day
delay_access 2 allow magic_words2


------
После чего (уже в Вебмине) попытался проинициализировать кэш. А Вебмин меня послал в следующем направлении:



Производится инициализация кэш Squid через команду /opt/squid/sbin/squid -f /opt/squid/etc/squid.conf -z ..

2004/05/2113:52:04parseConfigFile: line 53 unrecognized: 'anonymize_headers deny User-Agent'
2004/05/2113:52:04parseConfigFile: line 55 unrecognized: 'fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122'
2004/05/2113:52:04squid.conf line 98: acl magic_words2 url_regex -i ftp .exe .mp3 .vqf .tar.gz .gz .rpm\
2004/05/2113:52:04aclParseRegexList: Invalid regular expression '.rpm\': Trailing backslash
2004/05/2113:52:04parseConfigFile: line 99 unrecognized: '.zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov'
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'

Squid Cache (Version 2.5.STABLE5): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.004 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 239


---------
Из чего имеем, что, даже если выкосить нах кучу всякого отстоя, в результате получим ту же истерику с определением visible_hostname.

Смотреть на него, на урода, не могу. =((((((
<sysadmin>
Я когда-нибудь убьюсь с этим плеером... 20.05.04 16:30  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
А речь, в сущности, не в плеере, а в Скиде, который меня, не иначе, убить задумал. 8-///
При вводе команды вида ./squid -z ОНО выдаёт parseConfigFile: line 2052 unrecognized: 'none'.
Будучи мальчиком догадливым, я полез на ту самую строку конфига и поискал этот страшный none. Как и ожидалось, сие было имя хоста. Повтыкавшись какое-то время и поэксперементировав с именами типа localhost, hostname, nostname.localdomain.xyz, hostname.fulldomain.name, моя догадливость закончилась и в ужасе бежала. Объясните, пожалуйста, недОумку, откуда выпрямляющие дрова на руки качать? Нутром чую, что сие как-то связано с ДНС, но ДНС-сервер (Вынь2К) эту машину знает. 8-///
Софт -- РэдХэт 8.0, Скид 2.5 стэйбл 5.
покажи как полностью выглядит строка на которую ругается 20.05.04 18:52  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Внутри. 20.05.04 19:04  
Автор: Lurga Статус: Elderman
Отредактировано 20.05.04 19:17  Количество правок: 1
<"чистая" ссылка>
[root@Nemezis sbin] ./squid -z
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'

Squid Cache (Version 2.5.STABLE5): Terminated abnormally.
CPU Usage: 0.008 seconds = 0.006 user + 0.002 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 236
Aborted

Соответственно строка -- блок visible_hostname с параметром none
очень странно 21.05.04 12:45  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
потому как написано в мануале если эта опция выставлена в none то visible_name выставляется в результат от gethostname, а если выставлено, то это используетсятолькопри выдаче ошибок, т.е. чтобы оно резолвилось совсем необязательно
попробуй выставить в squid.your-domain.ru
Третий день удивляюсь. 21.05.04 12:52  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
2004/05/2111:51:49parseConfigFile: line 2061 unrecognized: 'squid.gfu.dp.ua'
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'

Забить на Линукса, что ли... Вернусь к ВинГейту, почувствую себя человеком... =((((
а можешь выложить весь конфиг? 21.05.04 13:39  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
Да я менял его уйму раз, и всегда с одним и тем ж результатом. 21.05.04 13:43  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
А содрал (или попытался его содрать) вот отсюда:

http://www.opennet.ru/base/net/bandwidth_limiting.txt.html
Он и в третий раз ходил за ёлкой... 21.05.04 14:55  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Собственно, просто тупо скопировал всю эту радость в squid.conf:
----------


#Порты, которые Squid будет "слушать".
http_port 8080
icp_port 3130
#Файлы в каталогах cgi-bins кэшироваться не будут.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#Объем памяти, которую будет использовать Squid.
#Хотя он будет использовать гораздо больше.
# (Объем памяти, занимаемой Squid, рассчитывается по формуле:
# cache_mem * 3 -- Прим. пер.).
cache_mem 16 MB
#250 означает, что Squid будет использовать
#250 МБ дискового пространства.
cache_dir ufs /cache 250 16 256

#Место, где будут расположены файлы журналов.
cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_swap_log /var/log/squid/swap.log
#Сколько версий журналов оставлять до их удаления.
#Обратитесь к ЧаВО за более подробной информацией.
logfile_rotate 10

redirect_rewrites_host_header off
cache_replacement_policy GDSF
acl localnet src 10.4.100.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl Safe_ports port 80 443 210 119 70 20 21 1025-65535
acl CONNECT method CONNECT
acl all src 0.0.0.0/0.0.0.0
http_access allow localnet
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT
http_access deny all
maximum_object_size 3000 KB
store_avg_object_size 50 KB

#Эти установки нужны, если вы хотите работать в "прозрачном" режиме.
#Прозрачный прокси-сервер означает, что Вам не придется его
#настраивать в клиентских браузерах. В этом, однако, есть и свои минусы.
#Если Вы просто оставите эти строки незакомментированными, то это ни
#на чем не отразится
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#Всем внешним серверам будет казаться, что наши локальные
#пользователи используют браузер Mozilla, работающий на Linux. :)
anonymize_headers deny User-Agent
#Поместите все в одну строку:
fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122

#Что бы сделать наше соединение еще быстрее, поместите сюда
#две строки, аналогичные приведенной ниже. Они будут указывать
#на родительский прокси-сервер для нашего Squid. Не забудьте изменить
#адрес на тот, который ближе к Вам!
#Для измерений используйте ping, traceroute и т.п.
#Убедитесь, что порты http и icp указаны верно.

#Раскомментируйте строки, начинающиеся с "cache_peer", если необходимо.
#Это прокси-сервер, который Вы собираетесь использовать для всех запросов...
#cache_peer w3cache.icm.edu.pl parent 8080 3130 no-digest default

#...кроме запросов к адресам, начинающимся с "!".
#Неплохая идея не использовать родительский прокси-сервер для:
#cache_peer_domain w3cache.icm.edu.pl !.pl !7thguard.net !192.168.1.1

#Это полезно, когда мы хотим использовать менеджер кэша.
#Скопируйте cachemgr.cgi в каталог cgi-bin Вашего www-сервера.
#Теперь к нему можно обратится через браузер, введя адрес
#http://your-web-server/cgi-bin/cachemgr.cgi
cache_mgr lurga@gfu.dp.ua
cachemgr_passwd secret_password all

#Это имя пользователя и группы, от которых работает Squid.
cache_effective_user squid
cache_effective_group squid

log_icp_queries off
buffered_logs on


#####Пулы задержки
#Эта часть, является самой важной для ограничения входящего
#трафика при помощи Squid
#Для более детального описания обратитесь к файлу squid.conf, или
#к документации по адресу http://www.squid-cache.org

#Мы не хотим ограничивать загрузки внутри нашей ЛВС.
acl magic_words1 url_regex -i 10.4

#Мы хотим ограничить загрузки файлов следующих типов
#Поместите все в одну строку:
acl magic_words2 url_regex -i ftp .exe .mp3 .vqf .tar.gz .gz .rpm\
.zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov
#Мы не блокируем .html, .gif, .jpg и аналогичные файлы, поскольку
#обычно они не занимают значительной части полосы пропускания

#Мы хотим ограничить скорость только днем и разрешить
#полную скорость ночью
#Внимание! acl приведенный ниже, скорее всего оборвет активные
#загрузки в 23:59. Прочтите раздел FAQ этого документа, если
#хотите этого избежать.
acl day time 09:00-23:59

#Определяем два пула задержки
#Обратитесь к документации Squid по вопросам
#с delay_pools и delay_class.
delay_pools 2

#Первый пул
#Мы не хотим ограничивать локальный трафик.
#Существует три класса пулов; мы же будем работать только со
#вторым. Первый пул (1) второго класса (2).
delay_class 1 2

#-1/-1 означает, что ограничений нет.
delay_parameters 1 -1/-1 -1/-1

#magic_words1: 192.168 мы определили раньше
delay_access 1 allow magic_words1


#Второй пул.
#мы хотим ограничить скорость загрузки для файлов,
#упомянутых в magic_words2.
#Второй пул (2) второго класса (2).
delay_class 2 2

#Числа -- это значения в байтах;
#нужно помнить, что Squid не предполагает наличия
#стартовых/стоповых битов
#5000/150000 -- значения для всей сети
#5000/120000 -- значения для одного IP-адреса
#после загрузки 150 Кбайт,
#(или даже в два или три раза большего количества)
#скорость будет ограничена до 5000 байт в секунду.

delay_parameters 2 5000/150000 5000/120000
#Мы установили day в 09:00-23:59 выше.
delay_access 2 allow day
delay_access 2 deny !day
delay_access 2 allow magic_words2


------
После чего (уже в Вебмине) попытался проинициализировать кэш. А Вебмин меня послал в следующем направлении:



Производится инициализация кэш Squid через команду /opt/squid/sbin/squid -f /opt/squid/etc/squid.conf -z ..

2004/05/2113:52:04parseConfigFile: line 53 unrecognized: 'anonymize_headers deny User-Agent'
2004/05/2113:52:04parseConfigFile: line 55 unrecognized: 'fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+) Gecko/20011122'
2004/05/2113:52:04squid.conf line 98: acl magic_words2 url_regex -i ftp .exe .mp3 .vqf .tar.gz .gz .rpm\
2004/05/2113:52:04aclParseRegexList: Invalid regular expression '.rpm\': Trailing backslash
2004/05/2113:52:04parseConfigFile: line 99 unrecognized: '.zip .rar .avi .mpeg .mpe .mpg .qt .ram .rm .iso .raw .wav .mov'
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'

Squid Cache (Version 2.5.STABLE5): Terminated abnormally.
CPU Usage: 0.010 seconds = 0.004 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 239


---------
Из чего имеем, что, даже если выкосить нах кучу всякого отстоя, в результате получим ту же истерику с определением visible_hostname.

Смотреть на него, на урода, не могу. =((((((
лушче всего бы взять конфиг из дистра 21.05.04 15:25  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
и его править
кстати в том конфиге я так и не увидел выставления опции visible_name
Вести с полей. 21.05.04 15:36  
Автор: Lurga Статус: Elderman
Отредактировано 24.05.04 10:05  Количество правок: 1
<"чистая" ссылка>
Значить, попинав для порядка сервер и добавив в Вебмин такие строчки:

httpd_accel_single_host on
append_domain .abc.def
hierarchy_stoplist .abc.def
visible_hostname squid.ghi.jk.lm
hostname_aliases nemezis

и убрав все пулы, я убедил Скида создать кэш. Запускаю теперь его командой ./squid и ни хрена не вижу. 8-/// В списке процессов он не присутствует. Сообщений об ошибках не выводит. Чего ещё с ним нужно сделать, чтобы эта зараза перестала мне голову морочить???


> и его править
> кстати в том конфиге я так и не увидел выставления опции
> visible_name

Оно, конечно, лучше, только результат был тот же. А вообще, раз уж показалось небо, нужно бы всё это склепать в свежем конфиге.
смотри /var/log/messages 21.05.04 15:39  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
смотри /var/log/messages
если сквид после запуска сразу умирает он должен выдать в логи ошибку
Полетел медведь проклятый. 8))))) 21.05.04 15:46  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Добавил dns_testnames 10.4.100.20 -- и всё заверте...

Огромное всем спасибо!
Сорри за забивание ветки, но меня опять посетила гениальная мысль: 21.05.04 15:54  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
ежели gethostname() не сработал, к чему бы это? Что-то с ДНС?
(размышления вслух) а ты всерьез уверен что ты показал запрошенную уважаемой задницей строку конфига? 21.05.04 12:21  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
Ага. 21.05.04 12:28  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach