В организации есть сеть (например 192.168.1.0/24) с выходом в инет через прокси, обзовём его proxy.domain.com
В качестве прокси используется Squid 2.5. В сети этой организации есть подсеть (192.168.18.0/24) с инетом и надо этот инет учитывать. Причём статистика очень важна для 192.168.18.0/24, но абсолютно бесполезна для 192.168.1.0/24, то есть учёт должен вестись на роутере (192.168.18.1<-gateway->192.168.1.18 ). Роутер обзовём proxy.subnet.domain.com
Получается следующая схема:
[192.168.18.0/24]=>[proxy.subnet.domain.com]=>[proxy.domain.com]=>Internet
Ставим на proxy.subnet.domain.com squid
Цель - получить на proxy.subnet.domain.com логи с ИМЕНАМИ пользователей, то есть от squid'а нужна только авторизация пользователей, а всё остальное
cache_peer proxy.domain.com parent 3128 0 defaul
proxy.domain.com для 192.168.18.0/24 закрыта фаерволом
А теперь вопросы:
1) На любом web-сервере, где нужна web-авторизация пользователей squid говорит operation time out, после запроса продолжительностью нескольких минут.
(например, когда юзер вводит логин пароль на mail.ru или на mail.yandex.ru)
В логах при этом:
1101719544.197 86749 192.168.18.13 TCP_MISS/000 0 POST http://win.mail.ru/cgi-bin/auth dominick NONE/- -
или
1094313904.238 6147 192.168.18.1 TCP_MISS/503 1395 POST http://passport.yandex.ru/passport? s.romanov NONE/- text/html
Причём squid почему то опускает часть http-запроса после знака "?"
Например, если запрос http://remotesite.com/perl/script.pl?value=1
то squid воспринимает его как http://remotesite.com/perl/script.pl?
почему ?
на обычные страницы (где не надо логины вводить) squid нормально ходит:
1101899305.437 12 192.168.18.14 TCP_MISS/200 41495 GET http://www.ronl.ru/ k.samoilova DEFAULT_PARENT/proxy.domain.com text/htm
hierarchy_stoplist и no_cache deny у меня вообще отключены
http_access - везде allow, только ncsa-авторизацию оставил
http_reply_access allow all
miss_access allow all
В чём может быть дело ?
2) Как видите proxy.subnet.domain.com только авторизирует пользователей - как оптимизировать его настройки, чтобы всё работало как можно быстрее ?
### Мой squid.conf #####
cache_peer proxy.domain.com parent 3128 0 default
cache_swap_high 96
cache_dir ufs /usr/local/squid/cache 100 16 256
cache_store_log none
ftp_user squid@subnet.domain.com
dns_nameservers 192.168.18.1
auth_param basic program /usr/local/libexec/ncsa_auth /usr/local/etc/squid/passwd
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 1 20% 4320
negative_ttl 1 minutes
client_lifetime 8 hour
half_closed_clients off
shutdown_lifetime 3 seconds
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 488 # gss-http
acl Safe_ports port 777 # multiling http
acl s109-b src 192.168.18.0/255.255.255.0
acl fileupload req_mime_type -i ^multipart/form-data$
acl forms rep_mime_type -i ^application/x-www-form-urlencoded$
http_access allow javascript
http_access allow manager s109-b
http_access allow auth1
http_reply_access allow all
icp_access allow all
cache_mgr adm@subnet.domain.com
cache_effective_user squid
append_domain .subnet.domain.com
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
### end ####
Squid настраиваю первый раз, поэтому и прошу совета
Вариант для распечатки
Настройка Squid и других прокси серверов (Public)
(??) on
01-Дек-04, 15:36 (MSK)
