Proxy: посоветуйте

libastral.so сказал мне всего одно слово: squid

Безусловно Squid. Если есть склонности к мазохизму, то связку Squid+Clam. Можно с проверкой авторизации по ip, по ip+mac, по логину+паролю, через домен, а можно все вместе. Возможности практически безграничны, все зависит исключительно от фантазии.

поставил, настроил. Не пойму, почему отдает очень мало. в ФФ прописал прокси, при первом подключении спросил пароль, ввел - пустило. При попытке открыть ya.ru отдаются какие-то килобайты и все. Тупняк. о_О

вот конфиг

Похоже с пулами намудрил. Попробуй вообще без них пока обойтись, для тестирования. А потому уже займись их настройкой, если они действительно необходимы (в чем лично я сомневаюсь, но задачи у всех разные).

И большой размер кэша тоже может затормаживать. Придется его часто удалять и пересоздавать по-новой. Одного гига думаю будет достаточно.

одного гига? У меня вроде щас 250 метров, а в конфиге вообще 50 - не?

нашел, какой параметр. У меня 5 гигов было. Поставил один гиг. У меня вот какая лабуда. Для теста открываю Yandex.ru. Оно как бы открывается, но не до конца. Не отвечает yandex.st и производные. Страничка долго-долго «грузится», а потом все эти ресурсы отваливаются по таймауту. В логах сквида - 0Б отдано на эти запросы. Это нормально или я криво настроил?

и всякие вконтактик/фейсбук вообще не робят

Sqid настроил недавно.

Смотри:

# This comes from default squid config

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
#http_access allow manager localhost
#http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow localhost
#http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .		0	20%	4320

Pick any of the following methods, uncomment the config lines and follow the instructions to set up login/password files

# This comes from squid/mysql guide: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Mysql

#auth_param basic program /usr/lib/squid3/squid_db_auth --dsn DBI:Pg:dbname=squid --user squid --password calamarosfritos --usercol c_user --md5
#auth_param basic children 5
#auth_param basic realm Web-Proxy
#auth_param basic credentialsttl 1 minute
#auth_param basic casesensitive off

#auth_param digest program /usr/lib/squid3/digest_pw_auth -c /etc/squid3/users
#auth_param digest children 5
#auth_param digest realm Web-Proxy

acl db-auth proxy_auth REQUIRED
http_access allow db-auth
http_access deny all

Нет, пароль от постгреса не настоящий.

вот ИМХО сомнительные параметры:

minimum_object_size 4 KB
# минимальный размер объекта, который будет закеширован и сохранён на диск

positive_dns_ttl 5 hours
#жизнь успешных dns запросов

negative_dns_ttl 10 minutes
#жизнь ошибочных dns запросов

Может попытаться на данном этапе упростить конфиг до минимально-рабочего и «накручивать гайки» постепенно?

Хочется настроить проксю, чтоб в браузере можно было выставить IP и порт, а лучше бы с авторизацией. :)

Для начала возьми дефолтовый конфиг из своего дистриба и просто добейся работы авторизации. Ведь этого хочется в первую очередь, а потом уже тюнингуй порциями, а не оптовым добавлением кучи параметров.

Дак у тебя может вообще не в сквиде проблема, а в ипитаблесах или MTU.

ziproxy

iptbales почистил от всех правил. проблема осталась

и с твоим конфигом покопался, и со своим еще... ничего не помогает. открывается яндкес (кроме yandex.st/*), mail.ru (майл-карты открываются! - ??), LOR (гы), некоторые другие текстовые сайты. Гугл - не открывается (!!!)

не пойму, где косяк?

свежий конфиг: http://nopaste.linux-dev.org/?67398

все еще раз пересмотрел по мануалам и статьям в инете. Должно работать, если я правильно понимаю. Не работает => я что-то не понимаю. В чем мой косяк?

ЗЫ! :(

Эхма, это единственный конфиг сквида, который я в жизни написал.

В логах-то что?

Оставил почти пустой конфиг: http://nopaste.linux-dev.org/?67399 Ситуация не поменялась. Уже настораживает: может, это не прокси виноват? Как проверить?

в логах вот что: http://nopaste.linux-dev.org/?67400

видно, что:

1353572259.912  60915 95.153.189.55 TCP_MISS/503 0 CONNECT www.google.ru:443 - DIRECT/2607:f8b0:400c:c02::5e -
1353572292.179 123738 95.153.189.55 TCP_MISS/000 0 GET http://yandex.st/www/1.375/www/pages-desktop/www-css/_www-css.css - DIRECT/yandex.st -
1353572292.250 123905 95.153.189.55 TCP_MISS/000 0 GET http://yandex.st/jquery/1.7.2/jquery.min.js - DIRECT/yandex.st -
1353572292.513 124103 95.153.189.55 TCP_MISS/000 0 GET http://yandex.st/www/1.375/www/pages-desktop/www/_www.js - DIRECT/yandex.st -
1353572292.789 123082 95.153.189.55 TCP_MISS/000 0 GET http://yandex.st/www/1.375/www/blocks-desktop/b-weather/images/wiz6.png - DIRECT/yandex.st -
1353572292.796 124359 95.153.189.55 TCP_MISS/000 0 GET http://yandex.st/morda-logo/i/logo.png - DIRECT/yandex.st -

что 0 - сколько байт получено (вроде?). Т.е. эти хосты не отвечают?

Это логи, кстати, при конфиге http://nopaste.linux-dev.org/?67399 , что постом ранее показал

с дефолтным http://nopaste.linux-dev.org/?67399 та же беда. в чем может быть дело?

кастую Вас. Конфиг почти пустой, ситуация - та же, хелп! :)

Так сделай совсем пустой. Повесь на порт, разреши всем. Если работает, прикручивай аутентификацию. Если и тут все работает, добавляй настройки всяких кешей в зад, пока не найдешь затык.

Мне кажется, что конфиг у Вас не верный. Сейчас посмотрю свой конфиг, выкину пробный вариант. А пока попробуй посмотреть статейки на сайте Люди с напильниками, например вот 2 статейки:

• PROXY - SQUID.
• Squid на практике.

Я знакомился со Squid на этом сайте. Если честно, то после настройки больше 3-х лет сервер не трогал, единственное - списки ip-шников меняю, когда требуется.

Без squid, просто с настроенным NAT средствами iptables тоже тормозит?

Спасибо за ссылки.

С самым минимальным конфигом та же фигня: http://nopaste.linux-dev.org/?67401

сервер удаленный. без сквида через openvpn и локально консольными браузерам (по ссх подключаюсь) - все ок. Все работает.

http://nopaste.linux-dev.org/?67401

самый простой конфиг (только авторизация для приличия) - не работает.

Вот пример моего конфига - скачать.

И да, может у Вас дело не в Squid? Попробуйте прокинуть NAT посредством iptables, или, если у Вас FreeBSD - ipfw.

Локально, это не одно и то же, как по сети. Может быть у Вас инфраструктура сети запутана и пропускает пакеты? Не могли бы обрисовать схему сети, хотя бы в 2-х словах?

я не пойму в чем дело. Локально - работает все (консольный браузер), через openvpn-шлюз тоже работает, а через squid - не работает.

схема сети - крайне проста. есть мой комп с выходом в инет и есть сервер (vps) в Штатах, где пытаюсь настроить свкид. Все.

И что у Вас там в IpTables написано? И что в «/etc/network/interfaces».

И кому раздаете? Только себе, или кому то еще?

И да, в таком режиме авторизация по IP явно не для Вас.

Получается на Вашем сервере всего один сетевой интерфейс? А прокси Вы настраиваете, что бы обходить «Великий Российский Фаервол»?

таблицы: http://nopaste.linux-dev.org/?67402 интерфейсы: http://nopaste.linux-dev.org/?67403

я и не делаю в конфигах IP-авторизацию. Только по паролю. Раздаю пока только себе.

прокси Вы настраиваете, что бы обходить «Великий Российский Фаервол»?

бинго! :) именно так.

Форвардинг не включал?

нет вроде

Попробуй сделать конфиг без авторизаци, с раздачей для всех. А после этого проверь, будет работать или нет.

acl all src all		
acl manager proto cache_object		
acl localhost src 127.0.0.1/32		
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32		

acl SSL_ports port 443		# https
acl SSL_ports port 563		# snews
acl SSL_ports port 873		# rsync
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports	
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl purge method PURGE		
acl CONNECT method CONNECT		

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow all
http_access allow localhost
#http_access deny all

icp_access allow localnet
icp_access deny all

http_port 8080

Подключился к Вашему прокси (Вы уж извините, хотелось проверить). У меня все работает, но проблема действительно есть, и она не связанна со Squid. Проблема в DNS на Вашем сервере. Squid не может определить имена запрашиваемых сайтов, но тот же Google он открыл без проблем по ip.

Ну вот, зарыли авторизацию ;)))

при включенной авторизации? или без?

без авторизации.

а почему же тогда локально все резолвится? я уж и dns_namespace ставил в сквиде - гугловые ДНСы - тоже не помогает.

Ясно одно, проблема не в Squid. С авторизацией не пускает - Я же не знаю правильных учетных данных. Кстати, если интересно, посмотри в логах - найдешь меня.

Посмотрите здесь, может Ваш случай?

с этим конфигом: Прокси-сервер отказывается принимать соединения при попытке загрузки гугла

А по IP? Все дело может быть не в конфиге. Squid вручную собирали?

да! похоже, это мой случай. Нашел в репах 2.7.STABLE9-2.1, установил, подсунул конфиг - все завелось на раз-два. Пока оставлю так, ибо разницы в версиях не знаю.

А про то, что сквид не резолвит имена я уже начал догадываться сам...