The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid и формы - Operation time out"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid и формы - Operation time out"
Сообщение от andr emailИскать по авторуВ закладки(??) on 01-Дек-04, 15:36  (MSK)
В организации есть сеть (например 192.168.1.0/24) с выходом в инет через прокси, обзовём его proxy.domain.com
В качестве прокси используется Squid 2.5. В сети этой организации есть подсеть (192.168.18.0/24)  с инетом и надо этот инет учитывать. Причём статистика очень важна для 192.168.18.0/24, но абсолютно бесполезна для 192.168.1.0/24, то есть учёт должен вестись на роутере (192.168.18.1<-gateway->192.168.1.18 ). Роутер обзовём proxy.subnet.domain.com
Получается следующая схема:
[192.168.18.0/24]=>[proxy.subnet.domain.com]=>[proxy.domain.com]=>Internet
Ставим на proxy.subnet.domain.com squid
Цель - получить на proxy.subnet.domain.com логи с ИМЕНАМИ пользователей, то есть от squid'а нужна только авторизация пользователей, а всё остальное
cache_peer proxy.domain.com  parent    3128  0       defaul
proxy.domain.com для 192.168.18.0/24 закрыта фаерволом
А теперь вопросы:
1) На любом web-сервере, где нужна web-авторизация пользователей squid говорит operation time out, после запроса продолжительностью нескольких минут.
(например, когда юзер вводит логин пароль на mail.ru или на mail.yandex.ru)
В логах при этом:
1101719544.197  86749 192.168.18.13 TCP_MISS/000 0 POST http://win.mail.ru/cgi-bin/auth dominick NONE/- -
или
1094313904.238   6147 192.168.18.1 TCP_MISS/503 1395 POST http://passport.yandex.ru/passport? s.romanov NONE/- text/html

Причём squid почему то опускает часть http-запроса после знака "?"
Например, если запрос http://remotesite.com/perl/script.pl?value=1
то squid воспринимает его как http://remotesite.com/perl/script.pl?
почему ?
на обычные страницы (где не надо логины вводить) squid нормально ходит:
1101899305.437     12 192.168.18.14 TCP_MISS/200 41495 GET http://www.ronl.ru/ k.samoilova DEFAULT_PARENT/proxy.domain.com text/htm

hierarchy_stoplist и no_cache deny у меня вообще отключены
http_access - везде allow, только ncsa-авторизацию оставил
http_reply_access allow all
miss_access allow all
В чём может быть дело ?

2) Как видите proxy.subnet.domain.com только авторизирует пользователей - как оптимизировать его настройки, чтобы всё работало как можно быстрее ?

### Мой squid.conf #####
cache_peer proxy.domain.com           parent    3128  0       default  
cache_swap_high 96
cache_dir ufs /usr/local/squid/cache 100 16 256
cache_store_log none
ftp_user squid@subnet.domain.com
dns_nameservers 192.168.18.1
auth_param basic program /usr/local/libexec/ncsa_auth /usr/local/etc/squid/passwd
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               1       20%     4320
negative_ttl 1 minutes
client_lifetime 8 hour
half_closed_clients off
shutdown_lifetime 3 seconds
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21          # ftp
acl Safe_ports port 70          # gopher
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 488         # gss-http
acl Safe_ports port 777         # multiling http
acl s109-b src 192.168.18.0/255.255.255.0
acl fileupload req_mime_type -i ^multipart/form-data$
acl forms rep_mime_type -i ^application/x-www-form-urlencoded$
http_access allow javascript
http_access allow manager s109-b
http_access allow auth1
http_reply_access allow all
icp_access allow all
cache_mgr adm@subnet.domain.com
cache_effective_user squid
append_domain .subnet.domain.com
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
### end ####

Squid  настраиваю первый раз, поэтому и прошу совета

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Squid и формы - Operation time out"
Сообщение от ipmanyak Искать по авторуВ закладки(??) on 02-Дек-04, 09:33  (MSK)
>acl fileupload req_mime_type -i ^multipart/form-data$
>acl forms rep_mime_type -i ^application/x-www-form-urlencoded$
вот это все зачем ? пробовал убрать ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Squid и формы - Operation time out"
Сообщение от andr emailИскать по авторуВ закладки(??) on 02-Дек-04, 12:34  (MSK)
>>acl fileupload req_mime_type -i ^multipart/form-data$
>>acl forms rep_mime_type -i ^application/x-www-form-urlencoded$
>вот это все зачем ? пробовал убрать ?

Пробовал, первоначально у меня этих строк не было. всё также работало
Может я ошибаюсь, но imho присутствие или отсутствие каких-либо acl вряд-ли может на что-то повлиять, влияет насколько я понимаю присутствие этих acl в качестве аргументов http_access, miss_access etc.

http_access  я сейчас вообще вот такой сделал:
##########
http_access allow auth1
http_access allow all
##########
Всё осталось попрежнему - часть запроса после "?" опускается, web-авторизация не проходит

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Squid и формы - Operation time out"
Сообщение от keepver emailИскать по авторуВ закладки(??) on 02-Дек-04, 18:48  (MSK)
все, что идет после ? в запросе, сквид просто в лог не пишет по умолчанию. если очень хочется видеть полный запрос в логе, то укажи strip_query_term off в конфиге. а насчет остального - обрати внимание на always_direct

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Squid и формы - Operation time out"
Сообщение от andr emailИскать по авторуВ закладки(??) on 03-Дек-04, 16:48  (MSK)
>все, что идет после ? в запросе, сквид просто в лог не
>пишет по умолчанию. если очень хочется видеть полный запрос в логе,
>то укажи strip_query_term off в конфиге. а насчет остального - обрати
>внимание на always_direct

Спасибо огромное !
Сейчас попробовал:
##################
always_direct deny all
never_direct allow all
#################
всё заработало !
как это я сразу недогадался, что мой squid напрямую ломится :(
теперь буду c acl насраивать - ну это уже дело техники :)

P.S. opennet - rules !

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру