Questions tagged «squid»

Squid是GNU GPL许可的FOSS软件包,主要用作Web代理服务器和缓存。

1
在CentOS 7上使用IPv6获取Squid和TPROXY
我在让TPROXY在CentOS 7服务器上使用Squid和IPv6时遇到麻烦。我以前使用的是带有NAT的通用拦截设置,但仅限于IPv4。我现在正在扩展设置,使其包含带有TPROXY的IPv6。 我一直在使用有关该主题的官方Squid Wiki文章来配置所有内容: http://wiki.squid-cache.org/Features/Tproxy4 到目前为止,TPROXY配置似乎可以正常用于IPv4。但是,使用IPv6时,连接超时,无法正常工作。我将分解设置以便更好地理解。 请注意,所有防火墙和路由规则对于IPv4都是完全相同的,唯一的区别是在下面的示例中inet6以及ip6tables用于配置基于IPv6的规则。 操作系统和内核:CentOS 7(3.10.0-229.14.1.el7.x86_64) 根据yum,所有软件包都是最新的 鱿鱼版:3.3.8(也尝试过3.5.9) 防火墙:iptables / ip6tables 1.4.21 libcap-2.22-8.el7.x86_64 目前,IPv6连接是通过Hurricane Electric通过6in4隧道进行的,该连接在DD-WRT路由器上进行配置,然后将分配的前缀通过委派给客户端radvd。Squid框配置了多个静态IPv6地址。 Squid框位于它所服务的主LAN内。在端口80上被拦截的客户端(主要是无线客户端)通过具有以下防火墙和路由规则的DD-WRT路由器,通过我的DD-WRT路由器被推送到Squid框,这些规则和规则来自于Policy Routing Wiki文章和DD-WRT Wiki http://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute http://www.dd-wrt.com/wiki/index.php/Squid_Transparent_Proxy ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -s "$PROXY_IPV6" -p tcp --dport 80 -j ACCEPT ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -p tcp --dport 80 …

2
鱿鱼中的安全用户身份验证的故事
曾几何时,南美洲有一个美丽温暖的虚拟丛林,一个乌贼服务器就住在那里。这是网络的感知图像: <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] 当Users请求访问Internet时,squid询问他们的姓名和护照,并通过LDAPldap 对其进行身份验证,如果ldap批准了它们,则他授予了它们。 每个人都很高兴,直到一些嗅探者在用户和鱿鱼之间的路径中偷走了护照[路径A]。发生这场灾难是因为鱿鱼使用了Basic-Authentication方法。 丛林人民聚集起来解决问题。一些兔子提供使用NTLM方法。蛇者优先Digest-Authentication,同时Kerberos建议由树木。 毕竟,丛林人提供的许多解决方案令所有人感到困惑!狮子决定结束这种情况。他大喊解决方案的规则: 解决方案是否安全! 解决方案应适用于大多数浏览器和软件(例如下载软件)吗 解决方案应该简单并且不需要其他大型子系统(例如Samba服务器) 该方法不应依赖于特殊领域。(例如Active Directory) 然后,猴子提供了一个非常合理,全面而明智的解决方案,使他成为了丛林中的新国王! 你能猜出解决方案是什么? 提示:squid和 之间的路径LDAP受到狮子的保护,因此解决方案不必保护它。 注意:如果故事很无聊且混乱,很抱歉,但是大多数故事都是真实的!=) /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( …

5
如何防止鱿鱼被检测到?
我已经在美国的AWS上设置了代理服务器,以便允许我从英国浏览美国的互联网,但是我想隐藏它,以便后端无法检测到我正在使用鱿鱼。这可能吗?如果可以,怎么办?
17 linux  squid 

4
代理软件包存储库的最佳实践
我的公司网络中有一些CentOS服务器。出于安全原因,除非服务器是服务器的核心功能要求,否则大多数服务器都不具有常规的出站Internet访问权限。 当我需要更新软件包时,这会带来挑战。对于yum存储库,我目前从Internet镜像所有需要的存储库,并使这些镜像在Intranet内部可用。我在以下五个环境中的每个环境中保留每个回购的副本:开发,质量保证,登台和两个生产数据中心。 我目前不解决特定于语言的软件包存储库。当服务器需要rubygems,PyPI,PECL,CPAN或npm的更新时,它们必须获得临时出站Internet访问以获取软件包。我被要求开始镜像rubygems和PyPI,其余的可能会跟随。 所有这些都是笨拙的,不能很好地工作。我想用一个环境中的单个缓存代理和其他环境中的四个菊花链代理替换它,以消除完整镜像的复杂性和磁盘开销。另外: 它可以是正向或反向代理。每个程序包管理器都支持代理服务器或自定义存储库终结点,它们可以是本地镜像或反向代理。 它需要精细的访问控制,因此我可以限制哪些客户端IP可以连接到哪些存储库域。 客户端需要能够跟随重定向到未知域。您最初的请求可能仅限于rubygems.org,但是如果该服务器将302返回给随机CDN,则您应该可以遵循它。 它应该支持HTTPS后端。我不一定需要模拟其他SSL服务器,但是我应该能够通过HTTP重新公开HTTPS站点,或者终止并使用其他证书重新加密。 我最初查看反向代理,而Varnish似乎是唯一允许我内部解析代理中的302重定向的代理。但是,免费版本的Varnish不支持HTTPS后端。我现在正在评估Squid作为前向代理选项。 在企业网络中,这似乎应该是一个相对普遍的问题,但是我很难找到其他人如何解决此问题的示例。有没有人实施过类似的方法或对如何做到最好有想法? 谢谢!

3
使用Squid对kerberos和Windows 2008/2003/7 / XP进行身份验证
这是我最近设置的,非常痛苦。我的环境越来越乌贼,无法通过Windows 2008 Server对Windows 7客户端进行身份验证。NTLM并不是真正的选择,因为使用它需要在每个客户端上更改注册表。 自Windows 2000以来,MS一直建议使用Kerberos,因此终于可以使用该程序了。 非常感谢Squid邮件列表中的Markus Moeller帮助完成了这项工作。

1
如何防止鱿鱼缓存并仅过滤?
我已经在网络上设置了代理服务器。我只想过滤网络流量。因此,我将Squid作为代理,将Qlproxy作为过滤器:http ://www.quintolabs.com/qlicap_info.php 我的服务器只有大约640MB的RAM ...因此,Squid经常缓存。因此,需要禁用缓存! 如何禁用缓存,让Squid将所有内容转发到过滤器而不接触它们? 谢谢... PS:我正在使用Squid3!Web筛选有替代方法吗?
15 ubuntu  proxy  squid  filter 

5
什么是好的SQUID Logs Analyzer?[关闭]
关闭。这个问题是题外话。它当前不接受答案。 4年前关闭。 已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 谁能推荐我一个分析鱿鱼原木的好工具? 我目前正在使用SARG。有更好的东西吗? 我需要轻松地查看/拒绝了哪些站点,何时以及由谁访问。 有一个鱿鱼分析仪列表。其中一些似乎已经过时了。 鱿鱼:日志文件分析

2
清漆与其他反向代理
已锁定。该问题及其答案被锁定,因为该问题是题外话,但具有历史意义。它目前不接受新的答案或互动。 我正在与一个将Varnish部署为所有Web流量的缓存反向代理的组织合作。他们的流量构成了许多由客户生成的动态网站,而通常的静态资产集合却悬而未决。 当我尝试喜欢清漆(原则上我认为它具有很好的体系结构)时,我在管理它和解决出现的问题时遇到了一些麻烦,因此我想知道它是否真的是正确的选择。过去,我已经将鱿鱼用作反向代理,但没有以相同的角色使用,因此我没有明确的比较基础。 我的问题针对的是已将清漆投入生产或针对替代品进行了认真评估的人员:您是否坚持使用清漆,还是最终使用了另一个反向代理?您坚持使用或切换的重点是什么?如果您确实使用了其他东西,最终使用了什么?


7
如何在N台apache服务器之间平衡传入的Web流量?
我正在寻找使用诸如Heartbeat / Squid / Varnish / etc之类的东西来平衡内部apache实例之间的传入流量。这必须是软件,而不是硬件,因为我的所有东西都在VPS上运行。我在这方面没有很多经验,所以很抱歉如果我滥用术语并选择错误的软件包。 我起草了一些东西来说明我的追求。绿色部分是初始设置的样子,蓝色部分是由于流量增加而添加更多apache实例后的样子。这可能不是这些东西的工作方式,但理想情况下,我会将平衡器的IP添加到域的DNS中。然后,均衡器将查看每个apache实例上有多少个连接(通过内部IP或永恒IP的一些配置列表),并平均分配连接。蓝色是第二个平衡器,因为我确信平衡器有时也会需要帮助。 也许我要解决这个错误,但是我正在寻找有关“平衡器”应该是什么的信息以及有关如何设置它们的最佳实践的帮助。 任何帮助都会很棒。

3
使用CONNECT的Squid HTTPS隧道非常慢
我在网络上使用鱿鱼来缓存内容。我使用命令行开关启动chrome,告诉它使用代理。 在大多数情况下,这非常有效,因为鱿鱼会缓存大量内容,并且在用户数量有限的情况下,它的性能很好。 当我访问使用chrome的HTTPS网站时,首页加载非常缓慢。chrome上的状态栏显示“正在等待代理隧道...”。Chrome使用CONNECT动词通过代理建立隧道并与服务器建立HTTPS。随后的页面很快,因为Chrome使连接保持打开状态。 我检查了squid3日志。这是一些CONNECT条目。第二列是以毫秒为单位的响应时间 1416064285.231 2926 192.168.12.10 TCP_MISS/200 0 CONNECT www.google.com:443 - DIRECT/74.125.136.105 - 1416064327.076 49702 192.168.12.10 TCP_MISS/200 1373585 CONNECT r2---sn-q4f7sn7l.googlevideo.com:443 - DIRECT/173.194.141.152 - 1416064345.018 63250 192.168.12.10 TCP_MISS/200 545 CONNECT mtalk.google.com:5228 - DIRECT/74.125.136.188 - 1416064372.020 63038 192.168.12.10 TCP_MISS/200 1809 CONNECT www.facebook.com:443 - DIRECT/31.13.91.2 - 1416064393.040 64218 192.168.12.10 TCP_MISS/200 25346 CONNECT …
12 https  squid 

1
Squid3不缓存更大的文件
我尝试使用鱿鱼来缓存从yum存储库获取的rpm软件包。使用以下配置,它在较小的rpm时效果很好,但不会缓存openjdk等较大的rpm。 从日志文件(如下),即使maximum_object_size 128 MB设置了,它似乎也不缓存大于4MB的文件。 有什么建议可能有什么问题吗? squid.conf: acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port …
10 squid 

1
使用Squid作为Maven存储库
有人知道如何使用Squid代理Maven存储库吗? 有哪些配置文件? 主要问题在于,maven客户端发出的HTTP请求带有控制缓存行为的标头(我想绕过该标头)。 这是一个典型的请求: GET /maven/proxy/jboss-public/org/richfaces/richfaces-bom/4.2.0.Final/richfaces-bom-4.2.0.Final.pom HTTP/1.1 Cache-control: no-cache Cache-store: no-store Pragma: no-cache Expires: 0 Accept-Encoding: gzip User-Agent: Apache-Maven/3.0.4 (Java 1.6.0_26; Linux 2.6.32-38-generic) Host: 192.168.2.171 Connection: Keep-Alive 我已经disk_cache proxy_http为此使用了Apache HTTPD(和启用的模块),但是我正在创建一个镜像,而不是一个代理。 这是配置(基于该站点): <Proxy *> Order deny,allow Allow from all </Proxy> # central ProxyPass /maven/proxy/central http://repo1.maven.org/maven2 ProxyPassReverse /maven/proxy/central http://repo1.maven.org/maven2 CacheEnable disk /maven/proxy/central …

2
将Squid配置为HTTPS转发代理?
这是关于我的问题的一些背景: 我在Heroku上运行的Web服务带有一个动态IP地址。Heroku上的静态IP不是一个选项。 我需要连接到防火墙后面的外部Web服务。操作外部Web服务的人员只会将其防火墙打开到特定的静态IP。 我尝试的解决方案是在具有静态IP的单独服务器上使用Squid,将来自Heroku的请求转发到外部服务。这样,外部服务将始终看到代理服务器的静态IP,而不是Heroku服务的动态IP。 由于我的代理服务器不能依赖IP地址进行身份验证(这就是开始的问题!),因此它必须依赖用户名和密码。此外,用户名和密码不能以明文形式传输,因为如果攻击者拦截该明文,则他们可以连接到我的代理并假装是我,使用我的代理的静态IP发出出站请求,从而逃避了外部Web服务的防火墙。 因此,Squid代理必须仅接受通过HTTPS(而不是HTTP)的连接。(到外部Web服务的连接可能是HTTP或HTTPS。) 我在CentOS 6.5.x上运行Squid 3.1.10,这是我squid.conf到目前为止的事情。仅出于故障排除的目的,我已临时启用HTTP和HTTPS代理,但我只想使用HTTPS。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing …
9 proxy  https  squid  heroku 

5
带SSD缓存存储的Squid或其他HTTP缓存?
我正在考虑在具有SSD驱动器的系统上设置一个鱿鱼(或可能的清漆)缓存。 明显的好处是这些系统具有很高的读取速度,我希望我的命中率会很高。 假设我可以将7个SSD放入RAID配置。(有些情况会让我收拾更多东西) 实施问题: 我应该使用RAID0吗?(我预计驱动器最终会出现故障,因此这似乎很危险。) 我应该使用RAID10吗?(这使我的磁盘空间减少了一半,这是昂贵的。) 我应该使用RAID5吗?(众所周知,SSD具有“不良”的写入性能和写入限制,并且所有额外的奇偶校验写入都可能会大大降低此速度。) 我应该只将每个磁盘视为自己的鱿鱼数据存储区吗?(squid处理多个数据存储的性能如何?如果/当一个失败时会发生什么?) 我应该忽略数据存储,而只是将SSD放入大型SWAP分区中,然后让Linux VM做到这一点吗?(似乎草率) 在生产环境中使用SSD的人们的任何建议将不胜感激。(特别是如果您将它们用于HTTP缓存)
9 raid  http  squid  cache  ssd 

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.