Squid Web Proxy Cache

とりあえず、スレ立ててみます。
本家： http://www.squid-cache.org/

うーん、皆さん、使ってません？

2.5.STABLE1 が出たみたいなんだけど、
2.4から、squid.conf 変更無しで動くかな？
結構、変えちゃってるからなぁ、、、

>>2
本人に確認させたら？
squid -k check とか。
squid -k parse だっけ。

ありそうでなかったProxyスレ
delegateとかもここでいい？

>>3
なるほど、-k reconfigure|rotate|shutdown ぐらいしか使ったことなかった。
調べてみます。

URLに「?」が含まれているとなぜだか「?」までしか
アクセスログに書かれないのですけど、原因と対処を
教えて下さい、お前ら。

>>6
ソース嫁

対処はhttpd.log形式にして、がっくりしてみる。

>>4 いや、Squidスレあったんだけど
スレタイが「ヤリイカ臭すぎ」で即死した罠

>>8
そりゃ、即死するなｗ
というよりも、Squidを普通に使ってると、ここに書き込めないという罠もありｗ

>>9
書けないのは普通でない使い方してるからでないの?

>>9-10
おいらは犬以下なのでipchainsで追求を逃れているが
Squidの設定で逃げられるの？
っていうか追求サーバ一覧キボンヌ

>>10
ん？Squid普通に使ってると、Proxy変数やら、Port3128のままやらで、
Proxy規制に引っかかるということだが？
>>11
Squidの設定次第だね。ふふ

>>12
そっか。
FW の中でしか使ったことないんで、気づかなかった。

>>7
んー、もちろんソースは追ってみたんですけど、該当箇所が
どこだか見当つかなくて。ヒントなりいただければ幸いでご
ざいます。

あと、「httpd.log形式」とは、squid.confで「emulate_httpd_log on」
を指定するってことでしょうか？　そのようにしてもやはり、
「?」でURLがチョン切れてしまいますが……。

だからがっくりしてみるって書いてるじゃん

squidのIPv6対応はどうなってるんでしょう？
躍るKAMEをプロクシ経由でも見たいです。

>>15
それじゃあ「対処」じゃねえじゃねえかボケ。

>>16
http://devel.squid-cache.org/ipv6/

>>16
http://devel.squid-cache.org/ipv6/
http://www.google.com/search?q=squid+ipv6&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

二重書き込みｽﾏｿ・・・

>>18
>>19
thanks

このパッチってバージョンは問わないのかな？

あやしい英語力で解読したところ
バージョンについての記述はないようですが

USAGIパッチが当たってるLinuxでは
squid.confで注意要みたいですね。

cachemgr.cgiの各項目の詳細な解説している本とかWebsite知りませんか。

とか死んだスレに書き込んでもだれもレスつけないだろうという実験sage。

>>22
ソース読め

http://img.yahoo.co.jp/images/mtf01.gif のように、テキストじゃないのに Content-Type: text/html
を返してくる場合、なぜかキャッシュされないのですが、どうすれば改善されるんでしょうか。
ちなみにVersion 2.5.STABLE1を使用しています。

Content-Typeがどうこうじゃなくて単にLast-Modifiedを返さないからちゃうん?
refresh_patternでなんとかする。

>>25
どうもです。たしかにContext-Typeハ関係ないっぽいです。ｽﾏｿ

ログとかみるとはじめっから保存されてないんでRefreshCheck自体通ってないんですが
refresh_patternでなんとかなるんですか？

>26
なんとかならないようです。スマソ
filenumberが-1で即座にRELEASEされてるってことはuncachableですね。

(捜索中)
http://www.squid-cache.org/Doc/FAQ/FAQ-12.html#ss12.23
の6のあたり。Date,Last-Modified,Expiresがどれもついてないものはuncachable。

ありがとうございます。FAQにありますね。すいません、調べが足りませんで。
squid.confには回避オプションとかないみたいなんで我慢してみます。
ソースいじるとなんかあった場合に責任とらされるんで。

それにしても squidのFAQってFAQっていうよりマニュアルなんだよな。
ここにしか書いてない情報多いし。

>>27
> なんとかならないようです。

当方ではHITしとるが。。
280 192.168.1.x TCP_MEM_HIT/200 357 GET http://img.yahoo.co.jp/images/mtf01.gif - NONE/- text/html

設定は、
refresh_pattern -i \.gif$ 10 30% 10080 reload-into-ims
てな具合。(デフォで minimum-life が 0 だからじゃ ？)

>29 の例だと、10分でexpireされて、以降TCP_MISSとなる。
img.yahoo限定で、例えば１時間無条件ＨＩＴさせるなら、

refresh_pattern -i ^http://img\.yahoo\.co\.jp/images/.+\.gif$ 60 0% 60

てな感じか。reloadを禁止するなら、ignore-reload を付ける。
Date,Last-Modified,Expiresが来ないので、override-*系は付けてもムダと思われる。

　　　_、_ ｸﾞｯｼﾞｮﾌﾞ!!
　（　,_ﾉ` ） 　 　　　n
￣　　 　 ＼　 　 （ E）　
ﾌ 　　　 /ヽ ヽ_／／

本屋に行ったら「Squid2徹底入門」みたいな書籍を発見。

diskdを使ってパフォーマンスを上げる方法とか載ってました。

　 　 ,-ｰ─‐‐-､
　　 ,! ||　　　　　|
　　 !‐-------‐
　　.|:::i ./￣￣ヽi
　　,|:::i | (,,ﾟдﾟ)||　　＜ >>32 ソース出せ。ｺﾞﾙｧ!!
　　|::::（ﾉ 中濃 ||）
　　|::::i |..ｿ ｰ ｽ||
　　＼i `-----'/
　　　 ￣U"U￣

Windowsでも設定ファイルなどを使いまわしできて日本語にも対応しているsquidログアナライザ
をさがしているんですが、何かないでしょうか。
パッチを当てて日本語化するやつの場合、Windowsで日本語が使えないので有名なやつは
ほとんど全滅です。

>>33
ISBN：4-924998-44-3

>>35
これか。
http://www.cbook24.com/bm_detail.asp?sku=99922918

あんまりたいしたこと書いてなかったような。

cygwinで頑張る、とか。

>>37
Squid For WIN使えばいいのではと

わざわざISBNで書くか。
ひねくれてるなぁ。

そぅ？
cbook24でもbk1でもamazonでも、好きなサイトでISBN検索できるじゃん。

# sageろよ…。

人に検索する手間かけさせるより、最初から書名を
書いたほうが親切なんでないの？

まあ、君がISBNでいいと思うのならそれでいいよ。
ただ、己がひねくれ者であることは自覚しようね。:)

検索したらすぐ見つかったし、
おれは別に ISBN でいいよ。

>ただ、己がひねくれ者であることは自覚しようね。:)
そうですね。じゃあcbook24限定でイイのかな？
ソレってなんかへんだよね。

>>34
webalizer は squid のログも読めるがどうか。
日本語化された Windows 版バイナリがどっかに落ちてるかどうかは知らん。
なくても cygwin でビルドできるだろ。

>>34
フツーにCalamaris(perl)でダメなのか？
HIT率とか出て、調整にはいいぞ。
で、日本語対応って具体的にどういう？（必要を感じんのだが）

>>45
analogみたいな感じで日本語の説明文と一緒に表示させてﾎﾚﾎﾚとプレゼンしたいんでつ。
CalamarisってWindowsでもつかえるの？

>>44
cygwinは昔はまった事があるのでちょっと...

>46
Calamaris は perl って書いといたが。 Active Perl か Cygwin 入れるべし。

おいおい、ココはUNIX板だぞ？

カタいこと言う奴はヒンズースクイッド１００回！

くコ:彡 50Get

squidがなんか自分自身に何本もコネクションつなげてるんだがなんか意味あるのかな？
それとも俺の設定がおかしいだけ？

>51
CacheMgr の "Process Filedescriptor Allocation" に出てる以外にか？

>>52
実際はsquid自身と接続してるけど、CacheMgrはdnsserverとコネクション張ってるとかいってる･･･
これで正常なの？

>53
--disable-internal-dns してコンパイルしたか、2.3 Devel1未満だな。
dns_children *2 の数だけ有るなら正常だろ。

squidのアクセス制限について教えてください。

よく例で
ここからのIPからしか受け付けない
などは見るのですが
どこからでもsquidは受け付けるが、このIPアドレスのサーバしか見れない
というsquidの設定をしたいのですが、どのようにすればいいのかわかりません。

教えてください。お願いします。

>>55
FAQ は目を通しとけ。
http://www.squid-cache.org/Doc/FAQ/FAQ-10.html#ss10.11

>55
acl to_ok dst xx.xx.xx.xx/255.255.255.255
http_access allow to_ok
http_access deny all

>>46
俺は analogの検索語句統計みたいなのを取りたいんだが、squidはログに ? 以下を
記録してくれないので (´･ω･`)ｼｮﾎﾞｰﾝ

>58
echo strip_query_terms off >>squid.conf && squid -k reconfigure

src/cf.data.pre:
NAME: strip_query_terms
TYPE: onoff
LOC: Config.onoff.strip_query_terms
DEFAULT: on
DOC_START
By default, Squid strips query terms from requested URLs before
logging. This protects your user's privacy.
DOC_END

squidでためたキャッシュを全部消して初期化するのってどうやるんでしょう？
たまに巨大ファイルを落とすと
squidあぼーん→以後壊れたファイルがキャッシュに残る
という状態になって不便してます。

>>60
だから FAQ 読めって。
http://www.squid-cache.org/Doc/FAQ/FAQ-7.html#ss7.3

というより、聞いてるならageろよと
しかし、巨大ファイルを落として、squidがあぼーんね
初期化しても、同じことになると思うが

2.4から2.5に変えてテストしてみたら、
HTTP_VIAが出るようになってました。

仕方ないのでどうやって消すのか調査中。

confファイルでうまくいかなかったんで、
結局2.5-STABLE1のhttp.cに手を入れてしまった。
ぬるいなあ。

>>63-64 anonymize_headerとか？

>>65
2.5で廃止になったんだな、これが

header_access ヘッダ名 deny all

とでもしとけ。anonymize_header は old option

>>63
ソースを直す。これ 最強

いつ HEAD が v3.0 になったん？

このまま、消えそうだな・・・

ヤリイカ臭すぎ

ログみたら *.2ch.net の転送量が9割超えてたぞ。わーい。

キャッシュをdiskdにしてみましたけど、Bフレッツベーシックなのでどれぐらいパフォーマンスが上がったのかあんまり判断できず。

きょうびキャッシングなんぞ不要じゃ
nullfs使え

>>74
nullfs (他のfsの上からかぶせるやつだよね) で幸せになれるの?
イメージがわかない。どういうことかしら

いちおうsquidが使うメモリ分だけはキャッシュしてくれるって事だよね。

キャッシュだけじゃないんだがね。
キャッシュだけでも、多人数で使ってるときは、結構効いたりするんだよ。

DNSキャッシュはかなりいいかも。
BINDがあまり融通きかないから

「初心者もＯＫ！ FreeBSD質問スレッド その25」より来ました。

squidでリバースプロキシってどうやってするの？
フォワードプロキシのやり方は本やネットで調べられるのに、、、
リバースプロキシの資料って無いよ〜

squid.confに書いてあります。

ほんとに、reverse proxyについてネットで調べようとしたのかと聞いてみる。

(´-`).｡ｏＯ(シナリオ通りだ)

(´-`).｡ｏＯ(アクセラレータモード使う人居るのか　珍しい)

squidでフィルタ処理できないかなーと思ってるんだが、どっかでそういうプロジェクトない？
http://www.squid-cache.org/Doc/FAQ/FAQ-15.html
を見てるとURLを見てリダイレクトするのは簡単そうだがヘッダやボディの処理まではできそうにない。
誰か知ってる人いたらおしえて、ぷりーず。

>>84
Apache2 でやるとか...

>84
delegate の mount とか...

>>84
http://chig.vis.ne.jp/d/200203.html#11_4
は？

redirect_programでperlに渡して変換をかましている。

>>87
それって URL の redirect のみでわ?

>>87
それはまさに>>84で上げられてる URL に書かれてることをやってるだけなのだが。
これは URL の書き換えしかできないからコンテンツフィルタとしては使えない。
ただ、redirect_program でローカルの httpd 上で動く CGI に URL を書き換えて、
その CGI で処理をしてからクライアントに返すというまわりくどい実装を
しているウィルススキャンプロキシもある。
http://viralator.loddington.com/

squid 以外のでは ICAP でやるのが多いのかね。別途 ICAP サーバが必要になるけど。
http://icap-server.sourceforge.net/
http://icap-server.sourceforge.net/squid.html

ipルータで外部からのアクセス受け付けないよにしてるんで、今まで
印虎鯖とクライアントは並列でした。

だが、どうも会社のクライアントから、エロサイトにアクセスしてる香具師
が居るらしいとの噂が！
＃いっとくが、俺じゃない。

ネット管理者として調査を命じられたんで、他社員にナイショで鯖にsquid投
入し、ナイショでieをsquidとおるように設定しました。

でも問題が起こりました。
access.logが取得できましたが、どうやって解析したらいいのかが判らない
んです。
重複の履歴がかな〜りあって、これを人力で調べるなんて無理！

squidのログから、アクセスしたサイトの一覧(重複なし)を調べたりする
解析ソフトのようなものはないですか？

＃しかし部長よ。あなたが調べろといったその管理者が、２ちゃんねるゆー
　ざで、会社からアクセスしてるとは知らないだろうな〜(藁)

＃２　でも、解析したらおれのかちゅからのアクセスも、履歴に‥‥‥？
(((( ；ﾟДﾟ))))ぶるぶるがくがく

その程度なら awk | sort | uniq | sort（引数省略(藁）で3秒の仕事だが、
そんな簡単なログの調査もできんようなヘタレ管理者は結果を捏造しておけ。
ヘタレ上司じゃ見破れん。お前が仕事中に2chを見てることもバレずに済むぞ。

91の通りだが、
一応、log analysis として、
http://www.squid-cache.org/Scripts/
が紹介されてる。
一発目のCalamarisでええと思うが。
管理側としては、これ入れとくと、利用状況がわかってええよ。

>>92

ありがとう〜、英語は苦手だけど、翻訳ソフト通してなんとかやってみます。

>>91
へたれ管理者から脱するには、どうしたらいいですか？

squid とはまったく関係ないけど、

>へたれ管理者から脱するには、どうしたらいいですか？

91で上げられたようなone liner程度を目をつぶっても書けるぐらいの
シェルや各種スクリプト言語のお勉強。
92で上げられたようなサイトを自力で見つけ、必要に応じて改造したり
自作したりして、効率的な運用する努力。異常の徴候を未然に検知する努力。

定常運用時なら後者で徹底的に手を抜く。仕事を減らすために仕事する。
だが、非常時には臨機応変に前者のような作業ができなければ失格。
もちろん、前提として自分が動かしているシステムの基本的理解は必須。

>>93
> どうしたらいいですか？
質問は適切なスレに書く。

みんな初心者だったんだからガンバレ。

とりあえずmanはjman入れてめぼしいとこ読んどけ。

>>96
UNIX コマンドしりとりスレにでてきたコマンドをひとつずつ jman

>>91
どうしても駄目だったらこっちに逃げる、
っつーのもアリ。
http://www.trendmicro.co.jp/product/webmanager/index.asp

>>98
どう考えても、XXXのURLデータベースにこんな金払う気にならんわ。
やるなら、squidguardでやるかな。

>>99
>どう考えても、XXXのURLデータベースにこんな金払う気にならんわ。

伏字にする意味が分からんが、NetSTAR の URL データベースって
そんなにダメダメなのか？

>やるなら、squidguardでやるかな。

squidGuard のブラックリストは、日本語サイトがほとんどカバー
されてないからイマイチ使えないんだよな〜。

伏字じゃなくて、「トリプルエックス」のだと思うが（藁

話の流れで、InterScan WebManager の URL データベース
ことを言っているのだと思ったのだが（InterScan WebManager
は NetSTAR 提供の URL データベースを使っている）、違
うのか？　どうなんだ99？

ところで、トリプルエックスってナニ？
InterScan WebManager と関係あるの？　教えて＞101

エロってことだろ。> XXX

いくらなんでも世間知らずが過ぎますぞな

知らないほうが普通だろ（藁

普通Squidでエロサイトを規制しようなんて考える奴が「XXXはアメリカの隠語でアダルトのこと」
を知らなかったらまずいだろ。

>106
激同意。

なるほど「XXXのURLデータベース」とは「アダルトサイトの
URLデータベース」という意味でしたか。誤解しておりました。

99様をはじめとして、本スレの皆様にはご迷惑をばおかけし
ました。

まあ、味噌汁で顔洗って出直せ矢。

どうでもいいけど、sageでやってくれよ。

>>110
大してスレの数もないんだからいいじゃん

普通、本筋と関係ない話はsageでやるだろ。
スレの数がどうこうとかは関係ない。

とかいう話もスレ違いなわけで。

そんなことすら理解しないのは、
お前と他一名くらいのようだが。

# >>114 は >>112 の続きです。

>>113
>とかいう話もスレ違いなわけで。

その通り。では逝ってキマース。

何気にスレ荒れのトリガが漏れだったか？（藁
そそ、トリプルエックスのことね。（別に迷惑かかっちゃいないが）

漏れは、別にこんなsquidguardレベルのフィルタかけてるわけじゃないなく
ちょこっと、squid.confに書いてるぐらいで、ほとんど通し。
それより、悪しきユーザをDenyしてやったほーがよっぽど効果的だったり。

squidguardのblacklistが使えない程ってのは、どういうユーザ帯なんだ？
もしかして、リアル厨が居る学校関係とか？

>>116
ユーザ帯というよりは、そもそも squidGuard のブラックリスト
が、欧米のサイト中心で日本語サイトの登録が少ないので、日本
ではあまり効果を期待できないように思います。

ので、結局ウチ（一般企業です）では自前でリストを作って運用
しております。

統計とってみたら *.2ch.net の転送量が 53% ってどうよ？

>>118
User-Agentのログｷﾎﾞﾝﾇ

質問です。

access.log ファイルの IP アドレスをFQDN に一括変換する
方法ってありますでしょうか？

Apache でいうところの、logsolve コマンドのようなものを
探しています。

awk '{print $3, $0}' /var/log/squid/access.log | logresolve | awk '{$4=$1; print}' | cut -d' ' -f2-

logresolve を知ってるなら、ちっとは頭使えよ〜。
もっとましな方法はあるかもしれんけどさ、この程度なら探すより作った方が早いだろ。

IE6で「ftpサイト用のフォルダビューを使う」オプションをチェックしてsquid経由で
ftpサーバにアクセスしようとしたら「プロキシがフルアクセスできないように設定されている」
みたいなメッセージが出てフォルダビューが使えないんですが、squidの設定をいじれば
つかえるようになるんでしょうか？

>>122
squidに限らずプロクシ経由の場合はフォルダビューはつかえないはず

Microsoft Proxy経由だと使えそうな気がする

SocksならOK

CERN 規格のプロキシ サーバーでは無理ってことかな

Apache-1.3.27のmod_proxyはOK

今 squid-2.5.STABLE1 の設定やってるんだけど、
なんでデフォルトの squid.conf って
http_reply_access allow all
icp_access allow all
になってるの?

Squid 使うと変なホストですとか言われて2chに書き込めないんだけど…。
もちろん外部からは使えないようにしてるけど、なんか設定必要なの?

>>129
これ?
http://qb.2ch.net/test/read.cgi/accuse/1037366829/

>>130
いや、PROXY 規制中!! じゃなくて 変なホスト規制中!! とかでるんだよね。
つーかこの前まで普通に書き込めてたんだが、久しぶりに書き込もうとしたら出来なかったんだ。
2.5 にしたせいなのかな?

変な人寄生中　って出したいのをグッと堪えて
変なホスト規制中　って出してるんだよ

結局 HTTP_X_FORWARDED_FOR と HTTP_VIA を出さないようにした。
これで書き込めるようになったけど、2ch 側が何か変わったの?
前はこんなこと必要なかったんだけど…

んだんだ
公開串じゃねーし、公正明大に串ストリング出してたのに
それだけを見て撥ねるようになったから
けっきょく串痕跡をいっさい消すハメに…

# anonymize_headers deny X-Forwarded-For Via

なんか釈然としないが所詮2chだし

>>134
| 公正明大に串ストリング出してたのに

どこの大学ですか。

>>135
中小企業ですが何か?

>>134
マジレスするのも無粋だが、「公明正大」でしょ。
気づかずに >>136 を書いちゃう辺りが痛いな。

>>137
無粋なところあえて教えてくれてありが�d
リアルワールドの余生で恥をかくところだった

267件 http://www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=%8C%F6%90%B3%96%BE%91%E5&btnG=Google+%8C%9F%8D%F5&lr=lang_ja

ちなみに漏れは公明党とも明大とも関係ない

公正明大さらしあげ

公正名大カコイイsage

squidテスト

もう一回squidテスト

Squid + Solaris の IP Filter で透過プロキシ出来てる人いる？
ウチではなんか 2.5STABLE1 以降出来ないみたいだ。
まぁ、もともと 2.4STABLE7 の頃も無理やりコンパイル通してたから、
怪しいんだが。

squid2.5STABLE1使ってるんだけど
クッキー通すにはどうすりゃいいの?

>>144
http://www.squid-cache.org/Doc/FAQ/FAQ.html

AirH''高速化てやつを試したんですが、http_access allow allにしないと
自宅サーバーにアクセスできないんですけど、これでは踏み台にされて
まずいですよね。

どこか設定みなおせ！ていうところありましたら教えていただきたいのです。

参考にしたところはココです
ttp://kt-www.jaist.ac.jp/~ttate/misc/squid-ssh.html
ttp://www.ac.wakwak.com/~mikage/web/main/airh.htm

sageてしまったｗ

zebedeeでport3128,3130にforwardすれば？

そもそもsshで高速回線側にログインして、127.0.0.1からsquidアクセスするんだから。
sshでログインしてポートフォワードできている？

レスありがとうございます。
sshでログインしていない場合は、http_access allow allにしていても
エラーが帰ってくることから、ちゃんとポートフォアードは行われているようです。

squidのアクセスログをみていますと、アクセス元がローカルでなくて直接
AirH''のIPが出ているのですが、これはSSHDの方がおかしいということでしょうか？

現状としては、http_access allow allにしてsshログインしないといけないです。
でも直接、高速回線側のsquidを指定してやるとつながってしまいます。

zebedeeですか、ちょっと勉強してみます。

いろいろ試してｓｓｈｄを入れなおしましたら治りました。
結局、なんだったのかは、わからないままなのですが・・・

お返事をいただいた方々ありがとうございました。

ｴﾗｰ画面の時間をJSTに直す方法ｷﾎﾞﾘ

>>152
/etc/localtimeはJSTで設定してるの?

>>152
http://www.squid-cache.org/Doc/FAQ/FAQ.html

squidをFTPProxyにするにはどうしたらいいんでしょうか？
ftpなどで

% ftp (Proxy Address) 8080

とやっても何もおきません。。。。
それともsquidはFTPProxyとしては使えないんですかね？
ちなみにHTTPProxyとしては使えてます。
以上、よろしくお願いします。

>>155
request を HTTP で投げればいいんでないの?

>>156様
ありがとうございます。
しかし、リクエストをどうやってHTTPで投げるんですか？

>>157
Webブラウザからやれば良いんじゃないの？
ネスケあたりでFTP Proxy設定してアクセスしたらどうよ？

>>158様
Netscapeじゃだめでした。
ただ、ぶらうざで
http://ftp.gnu.org/
みたいにやるとできました。
やっぱsquidは直接はFTPProxyにできないんでしょうか？

>>159
漏れは!=158だが、

> http://ftp.gnu.org/ みたいにやるとできました。
ftp://の間違いじゃネーノ？

> やっぱsquidは直接はFTPProxyにできないんでしょうか？
クライアント側に対しftpプロトコルを喋るか、という意味なら不可。

>>160様
いえ
ftp://だとNATの関係上だめです。
httpでした。

> クライアント側に対しftpプロトコルを喋るか、という意味なら不可。
がーん。。。
だめですか。
それじゃ素直に別のFTPProxy探してみます。
ありがとうございました。

>>161
> ftp://だとNATの関係上だめです。
ブラウザのproxy設定が違ってるんじゃない？
でなきゃ、目的サーバがNATの後ろに有って、PASVに対しprivate-IPを
返すとかなら、squid.confで
ftp_passive off
とかやってみ。

> 別のFTPProxy探してみます。
候補を教えてくれないか？

>>153
なってるよ。
>>154
やっぱｶｽﾀﾏｲｽﾞするしかないのか(;´Д`)

>>157
% telnet (Proxy Address) 8080
GET ftp://host.example.com/aaa/bbb/ccc/hoge.tar.gz HTTP/1.0

とか。

>>162様
> ftp_passive off
だめでした。
> 候補を教えてくれないか？
ないです。探してるところなんで。。。
>>164様
めんどくさいんでちょっと。。。。

単に環境変数のftp_proxyに「http://Squidホスト:3128/」とかでいいんじゃねぇの。

wwwoffleはftp proxyにもなる。実際家はこれ使ってる。
でもsquidと比べると遅い。

squidはftp proxyにもなる。実際家はこれ使ってる。
でもwwwoffleと比べると速い。

ftp proxyの定義をはっきりさせようよ、ねえ。
まあネタとは思うが。

cgiページ等に対して、メモリキャッシュに入れて欲しいけどHDDには保存して欲しくない
みたいな設定はできるんでしょうか。

squidでLAN内の名前解決を/etc/hostsにやってほしいのですが
できないのでしょうか?
DNS入れるべきですか?

>>171
v2.5以降で、
hosts_file /etc/hosts
つうか、マニュアル嫁

ずーっとほっといたらパフォーマンスが悪くなって、
面倒だからOSから再起動しといた

Squidﾏﾝｾｰ
つか、無いと死ぬ

>>172
thx。
2.5からですか…。
使っているのは2.4.STABLE6なんです。

>>174
2.4でも --disable-internal-dns でコンパイルすればHOSTSを見るかも知れんが。。

>>175
thx。
でも、どうせなのでBINDの勉強をしてDNS立てることにします。

squid使うとSWAP滅茶苦茶減る。。

squid2.3STABEL5+GDSFポリシー、これ斎京。

特定のキーワードがページ中にあった場合弾く設定があったらｷﾎﾞﾝ。

>>179
過去ログ参照のこと。

さらっと目を通したけどurl弾きしか無いような・・・(;´Д`)

要するにICAPでやれってこった。

squidってほぼ毎日更新されてない？
http://www.squid-cache.org/Versions/v2/2.5/

>>183
それが何？

>>183
そうだよ？

簡単な英語も読めないんだろうか・・・
そもそも、snapshotを知らんのだろうか・・・

Browser > Proxomitron > squid と多段串になってる場合、Browserでキャッシュを使わないを設定すると、それはどこまで有効になるんでしょうか？

　　∧ ∧　 　 　┌─────────
　　( ´ー｀)　　 ＜　シラネーヨ
　 　＼　< 　　　 └───/|────
　　　　＼.＼＿＿＿＿__／/
　　　　　 ＼　　　　　　　／
　　　　　　　∪∪￣∪∪

　　　　　　　　　　　　　　　　◎_＿＿
　　　　 　　　　　　　　　　　//　　　 /
　　　　　　　　　　　　　　　//　ソ　/
　　 　　　　　　 　 　　　　//　ラ　/
　　　　　　　　∧空∧　 //　ネ　/　 ／￣￣￣￣￣￣￣￣
　　 ___________ {´ ◎ `}　//　/　 /　＜　ソラネーヨ
　　/,/,/,,/,,/＼);;;;;;;;(　//　ヨ　/　　　＼＿＿＿＿＿＿＿＿
　　しししし'⊂^):::::::::∨/＿＿/
　　　＼＿(＿ノ::::::::::::|二手
　　　　　　（;;;;;;;;;;;;;;;;;;;;）
　　　　　　／／　　> >
　　　　＜◎;;;> 　<;;;;◎ﾌ

>>187
お前の思うがまま

（＾＾）

>>187
???
ブラウザがキャッシュをしないだけじゃねぇの?
Proxomitronは知らん。
squidはno_cacheでキャッシュしないACLを指定。

Last-Modified が返されない場合って LM_AGEとかはどうなるんでしょう？

>>193
>>24-30 refresh_pattern の minimum-life になるんじゃネーノ？

長文の質問です。

OS は RedHat の7.3で、squid は 2.5STABLE1です。
ソースでインストールしまして、configureのオプションは、
--prefix=/usr/local/squid-2.5.STABLE1
--enable-err-language=Japanese
のみです。

1500人ぐらいのユーザが使用しているのですが、
一ヶ月に一回程 squid が死にます。
google先生に色々聞いたのですが、よく分かりません。
今、家ですのでログは晒せないのですが、
まずは何を見ればヨサゲでしょうか。
ちなみに、conf の中でいじってあるのは、
store_avg_object_size を 13KBから6KBに変更してあるだけで、
あとはド・ノーマルです。
あ、キャッシュも1GBぐらいにしました。
うる覚えですが、/var/log/messages のなかに
子プロセスがあがんねぇー、あがんねぇーって繰り返し書かれていた
気がします。

また、通常設定する場合最低ここはやっとけというのがありますでしょうか？

もう一つ、DNSの逆引きできないURLをsquid経由で見る場合、
閲覧するのにかなり時間がかかるのですが、コンパイル時のオプションで
逆引き禁止をする事ができるのでしょうか？

>>195
> うる覚えですが、/var/log/messages のなかに
> 子プロセスがあがんねぇー、あがんねぇーって繰り返し書かれていた
> 気がします。
>
> また、通常設定する場合最低ここはやっとけというのがありますでしょうか？

まず、logに出てるメッセージを正確に書くって言うのがやっとくことだわな。

どうぜ、file descriptorが足りないとか、そんなことが原因なんじゃないの。
Linuxの場合、/proc/の下のどこかの最大ファイル数に関係するパラメータ
いじればいいはずと思ってるけど、おいらはLinux使わないので自分で調べてちょ。

>>196
禿同。
同じく、file descriptorを上げてみろに一票。

>>195
っつーか、聞いてんだったら、 ageろや。埋もれてんだから。

かなり長いですが、log を書かせてもらいます。
/var/log/messages その1

1 : Jan 9 09:22:28 sv001010 squid[1165]: Squid Parent: child process 7479 exited due to signal 6
2 : Jan 9 09:22:31 sv001010 squid[1165]: Squid Parent: child process 29878 started
3 : Jan 9 09:23:54 sv001010 squid[1165]: Squid Parent: child process 29878 exited due to signal 8
4 : Jan 9 09:23:57 sv001010 squid[1165]: Squid Parent: child process 29886 started
上記 3,4 を 31回繰り返し
5 : Jan 9 10:19:29 sv001010 (squid): logfileWrite: /usr/local/squid-2.5.STABLE1/var/logs/store.log: (0) Success
6 : Jan 9 10:19:29 sv001010 squid[1165]: Squid Parent: child process 30208 exited due to signal 6
7 : Jan 9 10:19:32 sv001010 squid[1165]: Squid Parent: child process 30223 started
8 : Jan 9 10:19:32 sv001010 squid[1165]: Squid Parent: child process 30223 exited due to signal 25
9 : Jan 9 10:19:35 sv001010 squid[1165]: Squid Parent: child process 30226 started
上記 8,9 を 3回繰り返し
10 : Jan 9 10:19:45 sv001010 squid[1165]: Squid Parent: child process 30235 exited due to signal 25
11 : Jan 9 10:19:45 sv001010 squid[1165]: Exiting due to repeated, frequent failures
12 : Jan 9 10:28:30 sv001010 squid[30328]: Squid Parent: child process 30330 started
13 : Jan 9 10:28:30 sv001010 squid[30328]: Squid Parent: child process 30330 exited due to signal 25
14 : Jan 9 10:28:33 sv001010 squid[30328]: Squid Parent: child process 30333 started
上記 13,14 を 3回繰り返し

/var/log/messages その2

15 : Jan 9 10:28:43 sv001010 squid[30328]: Squid Parent: child process 30344 exited due to signal 25
16 : Jan 9 10:28:43 sv001010 squid[30328]: Exiting due to repeated, frequent failures
17 : Jan 9 10:36:49 sv001010 squid[30452]: Squid Parent: child process 30454 started
18 : Jan 9 10:36:49 sv001010 squid[30452]: Squid Parent: child process 30454 exited due to signal 25
19 : Jan 9 10:36:52 sv001010 squid[30452]: Squid Parent: child process 30458 started
上記 18,19 を 3回繰り返し
20 : Jan 9 10:37:02 sv001010 squid[30452]: Squid Parent: child process 30473 exited due to signal 25
21 : Jan 9 10:37:02 sv001010 squid[30452]: Exiting due to repeated, frequent failures
22 : Jan 9 10:40:11 sv001010 squid[30601]: Squid Parent: child process 30603 started
23 : Jan 9 10:40:12 sv001010 squid[30601]: Squid Parent: child process 30603 exited due to signal 25
24 : Jan 9 10:40:15 sv001010 squid[30601]: Squid Parent: child process 30606 started
上記 23,24 を 3回繰り返し
25 : Jan 9 10:40:25 sv001010 squid[30601]: Squid Parent: child process 30615 exited due to signal 25
26 : Jan 9 10:40:25 sv001010 squid[30601]: Exiting due to repeated, frequent failures
27 : Jan 9 10:45:59 sv001010 squid[30694]: Squid Parent: child process 30696 started

また、cache.log に変な記述があり、
2003/01/09 09:22:28| assertion failed: comm.c:646: "F->flags.open"
これを google先生に聞いてみると、
http://www.squid-cache.org/mail-archive/squid-users/200211/0458.html
こんなのが出ました。
バグなんですか・・・？
なんせ英語が駄目で。

--disable-internal-dnsでmakeする。

/etc/init.d/squidをいじって「squid -D」と-Dを追加する。

cache_dirにはdiskdを使う。

>201

情報ありがとうございます。

squid -D はやっています。
が、configure オプションで --disable-internal-dns は使用していません。
現在自宅なものですから会社に行って早速確認したいのですが、
みなさんが使用中なので試験用のサーバで試してみます。

また diskd は知りませんでした。< 無知で申し訳ないです。
google先生に聞いてみますね。

squidの機能にあるhttpdアクセラレータって、ひょっとしてリバースプロキシと
同じ事？

そう。

http://www.alsi.co.jp/pro/intersafe/index.htm#squid
これいいなぁ。

/usr/ports/www/squidguard　は？

squidにプラグイン機能ってあったの？
urlリダイレクトしか知らないんだけどコンテンツフィルタリングもできるの？

いや、そのURLリダイレクトが外部ツール依存であることを
勝手にプラグインと称してるだけだろう。

コンテンツフィルタリングはicapサポートが実用レベルになるまで無理そう。

diskd の情報少ないですね・・・。
google 先生の使い方が悪いのかな。
どこかいい所ありませんか？

>209 >1

げ、本家しかありませんか。

あれ以上の何を求めるのか。まず読んでこい。

英語が・・・。

よくわ

>>209
http://www.ascii.co.jp/BSDmag/200214/contents.html

わざわざ出費するのは・・・。

じゃソース読め

squid-2.5からACLで新しいのついたでしょ、あのexternalなんとかってやつ。
そんで、あれでHDR指定してFORDWARDERでアドレス取りたいんだけど、全然まともに
動きません。
お前らうまくいってます？なんか"−"しか入らないでつ。

squidのHTTPアクセラレータうを使ってサイトを公開する場合
cookieを使った認証をCGIで行う部分は上手く動くのかな？

同時に複数の人がアクセスしたらごちゃ混ぜにならないのかな？

>>219
そういうの(動的に変わるページ)はあくせられーとしないんじゃないの？
通常のproxyのときでもせんとおもうが。

2002年12月の中ごろから、プロキシログのMETHOD欄にやたら長い「GET」が頻繁に表示するようになりました・・・・

MachineID=Q0YM0NTg4BQTM3&MachineInt=1870&Banner-Version=2ProductVersion=3%e0%2e5&OEMID=1Locale=04&UserID
=ODDBRkFENDFGzc2Qzd%3d&UserInt=1208&LocalTime=01272003+13a13a30+b900&GMTTime=022003+0a13a0+000&DelVeh=1c
IC-0=BIrk2&AIC-1=SAPffSTUB&AIC-2=HIouneCityDT&HashTime=0&GET

何なんでしょう？・・・

>>221
そういうページを見てるからだろ。
広告とかカウンタとかはやたらと長いURIだったりするな。
今度から何のページを見たときにそれが出るか逐一チェックすれば?
ここで聞くようなネタでもあるまいに。

>>222
URLじゃなくて、METHODにだよ。

>>223
ｱﾔｼｲAgentでリクエストされたもんだろ？
明らかにバグでねーの？
それを吐いたクライアントに問い合わせてみろよ。

>>219
ならない

あぼーん

>>220
hierarchy_stoplist
no_cache
のデフォルト項目?

Comparing Squid Filesystem Performance with Web Polygraph
http://conferences.oreillynet.com/presentations/os2002/wessels_duane.ppt

FreeBSD: softupdates + diskd
Linux: ext2fs + aufs
のパフォーマンスがいいそだ。

>>228
これはネイティブスレッドの枯れ具合と関係あるのだろうか。

squidで書けるかどうかテスト（串特有の変数をソースいじって出力しないようにして）

書き込み成功ｷﾀ━━(ﾟ∀ﾟ)━━( ﾟ∀)━━(　 ﾟ)━━( 　 )━━(ﾟ 　 )━━(∀ﾟ )━━(ﾟ∀ﾟ)━━!!!

>>230

　　　　　　　　　　　　　　 ∧＿∧
ｵﾂｶﾚﾁｬ━━━━━━（´∀`　）━━━━━━ｿ!!!!!
　　　　　　　　　　　　　　/　　　　　ヽ
　　　　　　　　　　　　　/　人　　　＼＼ 　　彡
　　　　　　　　　　　⊂´_/　　）　　　ヽ__｀⊃
　　　　　　　　　　　　　　　　/　人　（
　　　　　　　　　　　　　　　（＿ﾉ （＿）

ソースいじらないでも設定ファイルの書き換えで書けるけどな・・・

header_accessだね

icpv2　以外にUDPポート開くけど、これ何に使ってるのでしょうか、
一度、squidにアクセスすると開くみたいです。
また、port 番号は、再起動後のアクセスの度に順番に変わるようです。

# netstat -lp |grep squid
tcp　0　0 proxy:webcache *:*　LISTEN　10178/(squid)
udp　0　0 *:32780　*:*　10178/(squid)

squid　2.4.STABLE7 を使ってます。

>235
CacheMgr の Process Filedescriptor Allocation でも見てみ。
（ident-lookupsとか使ってる？）

>>236　ありがとうございます。

> CacheMgr の Process Filedescriptor Allocation でも見てみ。
> （ident-lookupsとか使ってる？）

squid には、cachemgr.cgi があって、これで、cache を制御できる。
また、cachemgr.cgi を使うためには、httpd の設定が必要・・・（現在試行中）
Process Filedescriptor Allocation を見るまで少しかかりそうです。

>>236
> > CacheMgr の Process Filedescriptor Allocation でも見てみ。
> > （ident-lookupsとか使ってる？）
> squid には、cachemgr.cgi があって、これで、cache を制御できる。

とりあえず見る事ができました。
# 制御じゃないみたいですね・・・稼動状況でした。mgr だから・・・

file pipe log を除けば、こんな感じで出力されました。
#　icv2を生かさないと表示できなかった

Socket 0 954 545 .0 DNS Socket
Socket 0 0* 0 .0 HTTP Socket
Socket 0 0* 0 .0 ICP Socket
Socket 1440 70* 0 127.0.0.1.35288 cache_object://localhost/filedescriptors

# netstat -lp|grep squid
tcp 0 0 *:webcache *:* LISTEN 11537/(squid)
udp 0 0 *:32785 *:* 11537/(squid)
udp 0 0 *:icpv2 *:* 11537/(squid)

同じタイミングのものですが、port 番号がかぶらないのは、socketが原因なのでしょうか
# socket を勉強してみます。

両方ともICPで使ってると思われ。icp_port を 0 にするとわかります。

>>239
> 両方ともICPで使ってると思われ。icp_port を 0 にするとわかります。

udp 0 0 *:32785
udp 0 0 *:icpv2

icpv2 は、icp_port 0 で閉じます。しかし、上のport　（番号不定）は、開く様です。

とりあえず、http_access allow manager localhostをコメントアウトして
以下の様に設定しました。

acl manager proto cache_object

# Only allow cachemgr access from localhost
## http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports

>　（ident-lookupsとか使ってる？）

configuer --disable-ident
を試してみます。

ちなみに吾輩の configure は以下の通りで、謎のUDPポートは開いていません。

#!/bin/sh -x
CPPFLAGS="-march=i486 -O2" \
CFLAGS="-I/usr/local/include" \
LDFLAGS="-L/usr/local/lib" \
./configure \
--localstatedir=/var/www \
--enable-storeio=ufs,diskd,aufs,null \
--enable-removal-policies=lru,heap \
--with-aufs-threads=32 \
--with-pthreads \
--with-aio \
--enable-delay-pools \
--enable-default-err-language="English" \
--enable-err-languages="English" \
--disable-wccp \
--disable-ssl \
--enable-pf-transparent \
--enable-auth="basic digest" \
--enable-http-violations \
--disable-ident-lookups

>242　ありがとうございます。
squid-2.4.STABLE7 のターボールを展開してユーザ権限で実行してみました。

$ squid -u0 -N -d0
$ netstat -lp|grep squid
tcp 0 0 *:4100 *:* LISTEN 9150/squid
アクセス
$ netstat -lp|grep squid
tcp 0 0 *:4100 *:* LISTEN 9150/squid
udp 0 0 *:32808 *:* 9150/squid

$ squid -N -d0 の場合は、前後にicpv2が表示されます。
なんか、ＯＳ入れなおした方が良いようなきがしてきました。

OSは、Vine linux 2.6r1 を使用しております。（該当のスレがlinux板に見つからず、こちらで質問させていただきました。）
それと、squid.conf を参考に貼ります。（標準ですが、書込みに制限があるので一部修正あり）

http_port 4100
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# log pid 関係消去
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports # 標準
acl CONNECT method CONNECT
acl localnet src 192.168.0.0/255.255.255.0
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost
http_access deny all
icp_access allow all
cache_effective_user hoge
cache_effective_group hoge

squid.conf の acl に正規表現を使いたいのですが、
yahoo.com を含むyahoo.comのサブドメイン全てを対象にしたい
と思っています。

.*\.yahoo\.com
yahoo.com

上記のように2行書かないといけないでしょうか？

どうか、皆さんの知恵をお貸しください・・・

あぼーん

squidじゃなくて正規表現のはなしになるけどさ、
(.*\.)?yahoo\.com
こんなんじゃダメかい。
()じゃなくて\(\)かもしれんがsquidで使えるのはどっちだか忘れた。

transparent proxy を使うときには router の設定が必要ですか?

あぼーん

>>248
必要です。

会社クライアントPC-->2.4/STABLE1--->2.4/STABLE7--->外部サーバPC
にてGETのレスポンスが2.4/STABLE7にてバッハリングされます。
（サーバからのwrite後flush毎でクライアントにデータが返らず
　Content-Length終了か切断で一気に返ってきます。）
これをなんとかしようとサーバからのHeaderに
Cache-Control: no-cache
Pragma: no-cache
と送ってもダメです。
ちなみに
社内クライアントPC--2.4/STABE1--->社内サーバPC
や
自宅クライアントPC-->2.5/STABLE1--->自宅サーバPC
ではサーバからのflush毎にデータが返りました。

そこで、
自宅にて先のバッファリングされる環境を作りバッファリングされずに
レスポンスを返すHeaderの組み合わせを実験をしたいのですが
どう設定すればレスポンスをバッファリングしてくれるようになるでしょうか？
宜しくお願いします。
ちなみに会社のSquid(2.4/STABLE1,STABEL7)設定はわかりません。

ﾊﾞｯﾊ(･∀･)ｲｲ!!

>>251
とりあえず家Squidを2.4/STABLE7にしてみましたがバッハされません。

>>253
自宅と会社の構成を同じに（自宅も多段ﾌﾟﾛｸｼ）してﾊﾞｯﾊﾘﾝｸﾞすればいいのじゃ

>>254なるほど多段にすればバッハリングされますか！サンクスです。で、今のところ本来の目的のためにHTTPSポート使ってバッハ無しで出来ました。

>>255
ところで、バッハ好きなの？

>>256
これかなぁ。
J.S. Bach Web Ring
http://www.bach-cantatas.com/JSBachWebRing.htm

Squid 2.5 STABLE1の導入でわからないところがあるので質問します。
Solaris8上でコンパイルしています。運用時には認証をさせるため、
./configure --enable-auth=basicとしています。

squid.confを編集して、実際に認証するように設定したいのですが、
auth_paramに設定するプログラムが見あたりません。
コメントで書いてある例を見ると/usr/local/squid/bin/ncsa_authのようですが
存在しません。

# If you want to use the traditional proxy authentication,
# jump over to the ../auth_modules/NCSA directory and
# type:
# % make
# % make install
と書いてあったので、それに従おうと思ったのですが
auth_modulesというディレクトリはどこにもありませんでした。
squid.confに書いてある例が古いのかと思って探してみたのですが
/work_path/squid-2.5.STABLE1/src/auth/basicあたりが
それに相当しそうな気がしたんですが、make installしても
何も代わりませんでした。

Squid 2.5 Stable1で認証を有効にして導入するためには
どうしたらよいのでしょうか？

>> 258
./configure --enable-auth-helpers="NCSA"
とかにすれば$prefix/libexec以下にncsa_authができるハズ。
詳しくは./configure --help。
あと認証方法によってはパッチあてたほうがいいかも。
http://sunsite.bilkent.edu.tr/pub/infosystems/Squid/Versions/v2/2.5/bugs/

>>259
とりあえず試してみてncsa_authができました。

これからパッチの方を確認して、必要な物があったら当てて
再度導入してみたいと思います。どうもありがとうございました。

squid-2.5.STABLE2 age

ｷﾀ━━(ﾟ∀ﾟ)━( ﾟ∀)━( 　ﾟ)━(　　)━(　　)━(｡ 　)━(Ａ｡ )━(｡Ａ｡)━━!!!! sage

一応ｱｯﾌﾟﾃﾞｰﾄしとこ。

うちはアップデート済みました。
squid.confは全くいじらず。ユーザ数が２人というサイトなんで
参考にならんかもしれませんが今のところ特に問題なし。
OSはOpenBSD-3.2/i386。スレッドライブラリは GNU pth-1.4.1 使用です。

!/bin/sh -x
CPPFLAGS="-march=i486 -O2" \
CFLAGS="-I/usr/local/include" \
LDFLAGS="-L/usr/local/lib" \
./configure \
--localstatedir=/var/www \
--enable-storeio=ufs,diskd,aufs,null \
--enable-removal-policies=lru,heap \
--with-aufs-threads=32 \
--with-pthreads \
--with-aio \
--enable-delay-pools \
--enable-default-err-language="English" \
--enable-err-languages="English" \
--disable-wccp \
--disable-ssl \
--enable-pf-transparent \
--enable-auth="basic digest" \
--enable-http-violations \
--disable-ident-lookups

>>261
ttp://www.squid-cache.org/Versions/v2/2.5/bugs/index.html
最初の一個以外はSTABLE1に対するパッチ、
ということは結構修正項目があるのかな?

Squidでさらに上位のプロキシに接続したいのですが、
ＷＥＢで調べると上位のプロキシに設定が必要みたいですが、方法はないでしょうか。
この上位のプロキシにクライアントが直接接続することができるので、
ただのクライアントとしてSquidが接続するようにできないでしょうか。
よろしくお願いします。

>>266
http://www.squid-cache.org/Doc/FAQ/FAQ-4.html#ss4.9

レスを送る前に読み直せよ。

ipv6まだー？

>>268
もれは www6to4 ｔｐ squid を組み合わせてつかってる。
v4 only なブラウザでもkameが踊ります。
って、こういうことじゃなくて？

squidのparent processだけがroot権限で起動しているのですが、問題でしょうか？

%ps aux
USER PID %CPU %MEM SZ RSS TT S START TIME COMMAND
nobody 21769 1.3 1.21241611552 ? S 00:02:31 0:00 (squid) -D
root 21767 0.2 0.1 3800 1072 ? S 00:02:31 0:00 /usr/local/squid/sbin/squid -D
nobody 21770 0.2 0.1 928 504 ? S 00:02:31 0:00 (unlinkd)

%su nobody ；/usr/local/squid/sbin/squid -D だと、全てnobody権限で起動します。

漏れは
su www -c "/usr/local/squid/sbin/squid -s"
ってしてるな

>>271ありがとうございます。採用しました。
root@270%more /etc/init.d/squid
#!/sbin/sh
SQUID_HOME=/usr/local/squid
CONF_FILE=/usr/local/squid/etc/squid.conf
PIDFILE=/export/home/squid2/var/run/squid.pid
if [ ! -f ${CONF_FILE} ]; then
exit 0
fi
case "$1" in
start)
cmdtext="starting"
if [ -f $SQUID_HOME/sbin/squid -a -f $CONF_FILE ]; then
su nobody -c "$SQUID_HOME/sbin/squid -D"
fi
restart)
cmdtext="restarting"
if [ -f $SQUID_HOME/sbin/squid -a -f $PIDFILE ]; then
su nobody -c "$SQUID_HOME/sbin/squid -k reconfigure"
fi
stop)
cmdtext="stopping"
if [ -f $SQUID_HOME/sbin/squid -a -f $PIDFILE ]; then
su nobody -c "$SQUID_HOME/sbin/squid -k shutdown"
/bin/rm -f
fi
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
echo "squid $cmdtext."
exit 0

squidで、DNSが正確に引けるのに DNSエラーが表示される場合があります。
具体的には、http://hoge/foo.html が表示されたのに http://hoge/bar.html が
DNSエラー(X-Squid-Error: ERR_DNS_FAIL 0)になるといった感じです。
ブラウザキャッシュは使用していません。

この時cachemgrで調べるとIPキャッシュで hoge に N マークがついています。
ここで http://hoge/bar.htm で「更新」ボタンを押すとページは正常に表示され,
Nマークはなくなります。

どうしてこんな事になるのでしょうか？

切り分けしないとだめかな
DNSは引けてもレスポンスが遅いとか…

tcpdump で追跡とか

>273
/etc/hosts に
192.168.133.100 hoge.com hoge

と書いて、squid再起動してみるのも切り分けになるかも

>273 ですが、原因がなんとなく分かりました。ただ単に、
→hogeの名前解決をたまたま失敗する。
→hoge/foo.html はキャッシュにあるので正常に表示される。
→hoge/bar.html はキャッシュにないので、ネガティブキャッシュによりエラーが表示される。
みたいです。(´･ω･`)ｼｮﾎﾞｰﾝ

squid 2.4 　で
passwdの認証を使ってイカ串をお料理したんですが、
IE６試してみると、apacheの認証のダイアログがでて
user　とpasswdをを入れてOKを押すと


ページを表示できません
サーバーが見つからないか、DNS エラーです。
Internet Explorerになります
そのままブラウザの更新をクリックすると表示されます。
1度認証をして、リロドしてHPが表示されるとあとは問題ありません。
エラーログにはエラーはでてません
解決方法ありますか？よろしくお願いします
他のブラウザは
インストールHDDスーペスがないんでテストできません

スーペス!! スーペス!!

>>277
認証なしだとどうなのよ。

Proxy-Authorization のユーザー名ってログに残んないよね？

>>277
それってイカくさくないなぁ〜

>>277
せめて、詳細設定の「エラーを簡略表示する」をオフにしましょう。

IE→Apache(localhost)は正常に動くのにIE→Proxomitron(localhost)
→Squid(localhost)→Apache（localhost）はAccess Deniedとか出ました。
SquidのログをみたらTCP_DENIED/403となっています。
直す方法を教えてください。
ちなみにIE→Proxomitron(localhost)→Squid(localhost)→外部は正常です。

>>279　認証なしにしたら一発でページが表示されます！何回やっても1発です
>>280　残ってました　access.logにあるます
>>282 オフ。でした。細かかったんで略してカキコしてました
windowsでAngryChairというproxy切り替えのソフトを
常駐させておくと、認証を使っても　エラーになることはありませんでした。
ブラウザのproxyに設定しちゃうとエラーです
ビデオカードが無いんでnetscapeで試せません。winのHDDスーペスもないです
何とかなりませんか？

とりあえず設定さらせや。

>>285
kokoni あぷしました
http://home.interlink.or.jp/~greaser/squid.conf
何とかしてください

grep -v '^#' squid.conf してうぷしなおし

たりなかた。

grep -v '^#' squid.conf | grep -v '^$'

>>287-288
ながかったんで　あぷします
http://home.interlink.or.jp/~greaser/squid2.txt
お願いします

デフォルトとの diff の方がありがたいんだが、それはそれとして、
fake_user_agent Netscape/4.7(CP/M; 16-bit)
はムカつくのでやめていただきたい(w。
anonymize_headers deny User-Agent WWW-Authenticate Link
してるから出ていかないかもしれんけど。この場合どっちが勝つんだろ？

んで、squid.conf 自体には特に問題なさげに見える。
/usr/local/etc/squid/passwd が壊れてるか、ncsa_auth が正常に動いてないか、
ブラウザが発狂してるかのどれかの予感。


>>283は squid ではなく apache のアクセス制限にひっかかってる予感。

>>290
fake_user_agent Netscape/4.7(CP/M; 16-bit)こつちの勝ちです
デフォルトがこれなんで変えてませんでした
もうちと、色々いじってみます
ncsa_authは　squid入れた時にworkの中に出来たのを使ったんですが
他に作ってやってみます。

Browser->Proxomitron->Apache+mod_proxy->Squid->NetCache
っていう、4段プロキシですがなにか？

どういうご利益があるの？

（＾＾）

squid2.4 STABLE7 (RHL8.1 で rpm パッケージで導入）で、
クライアント→問題の鯖→上位squid→最上位squid→Internet
な接続をしています。
http: に関しては、通るんですが、https: に対して、
>While trying to retrieve the URL: gateway.nifty.com:443
>The following error was encountered:
>Unable to determine IP address from host name for gateway.nifty.com
The dnsserver returned:
>Name Error: The domain name does not exist.
なエラーが表示されます。

squid.conf は
>cache_peer xxx.xxx.xxx.xxx parent 8080 3130 no-query
>dead_peer_timeout 20 seconds
>dns_nameservers xxx.xxx.xxx.xxx
>acl SSL_ports port 443 563
>acl Safe_ports port 443 563 # https, snews
>http_access deny !Safe_ports
>http_access deny CONNECT !SSL_ports
>http_access deny all
と設定した（というかほとんどデフォルトですが）つもりなのですが、
エラーの原因に心当たりのありますでしょうか？
なお、この鯖にする前は、大昔のマシンで squid1.x つかっていたのですが、
そのマシンではアクセスできていました。

解決しますた。
squid.conf に

acl SSL method CONNECT
never_direct allow SSL

の２行を追加しますた。

あぼーん

squid のログの時刻を、人間が読みやすい形式に変更するにはどうすればいいのでしょうか？

emulate_httpd_log on

>>299 THX

インデックスファイルをキャッシュしない方法ってありますか？
index.phtmlとかまでキャッシュされて正常に表示されません…。

acl index urlpath_regex index
no_cache deny index

ﾋﾞﾐｮｰに板違いなんですが、squid の cygwin版を　win2kで
動かしているんですが、時々反応しなくなって困ってます。
なんか、squid -k debug;ってやってシグナルを送ると
すぐ復活するんですが。なんか類似の現象とか対策とか
ありましたら尾長居します。

>>303
Cygwin のことは Cygwin スレで聞いた方がいいような気がする。

つーか、Cygwin 上で Squid 動くんだね。
遅くない?

あぼーん

2.5.STABLE3 がリリースされますた。
http://www.squid-cache.org/Versions/v2/2.5/

confの設定がわからない

>>307
confの何が分からんのか書かないと。confをいじって何をしたいのか書かないと。

前まで
anonymize_headers deny Via
anonymize_headers deny X-Forwarded-For
anonymize_headers deny From Referer Server
anonymize_headers deny User-Agent
fake_user_agent hidden

この辺りの設定を書き加えて使っていたのですが、
2.5ではエラーになってしまいます。
どうしたらよいでしょうか。

あと、squidのバージョンを隠す方法をおしえていただけませんか。
（ブラウザで見たときに接続拒否したときのメッセージと一緒に、バージョンが出る）

header_access

>>304
Cygwin上でSquid動かしてます。
確かに遅いような気もしますが、複数台でWindows Updateをするときに重宝してます。

>>311
SUS 使えば？

>>311
Squid for WINのほうがいいんじゃねぇか?

>>309
おまえ、電化製品の説明書は絶対、読まない奴だろ？

>>314
分からないやつはゴミレスで
スレを汚さないこと。

マニュアル読まないやつはゴミ質問で
スレを汚さないこと。

squidならマニュアルどころか、confに全部解説が書いてあるのだが。
物理的に見逃すことが出来ないのに、どうして理解していないのかな?

英語が読めないもしくは読む気がない

>>309
> あと、squidのバージョンを隠す方法をおしえていただけませんか。
> （ブラウザで見たときに接続拒否したときのメッセージと一緒に、バージョンが出る）
試してないけど

$ make VERSION=hogehoge

としてコンパイルすれと表示されるバージョンが squid/hogehoge になるはず。

根本から消すには、ソース弄らないといけないんじゃなかったけ？

つーかsquidのバージョン隠して、なんか良い事あんの?

>>321
アクセラレーターとして使ってる場合は Web サーバで隠したい理由と
同じで隠したい場合があるかも

なるほどねぇー。
まぁでもバナー隠しするぐらいなら、アップデートを追随するほうが健全だけど。

わざわざ設定が大幅に変わった2.5にすることもないだろう
2.4に戻せば全部前のままの設定で使えるよ。

2.5STABLEのほうがなんか安心

>>325
まだ出回ったばかりで
検索しても有用な情報も少ないし、
うちではしばらく移行しない。

うちは、すでに2.5STABLE3だよ。
情報といっても、そんなに変わったところあるかな？

FreeBSDのportsだからとっくに2.5STABLE

>>327
診断君で「？」判定にできますか？
デフォルトはB。

>>329
できるよ

HTTP_X_FORWARDED_FORだけが消せないんだよなあ。unknownにする事しかできない

そういえば自前パッチあてたような気がする

begin-base64 644 httpd.c.patch.bz2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====

>>332
おー！完璧に匿名になったヽ(´ー｀)ノ
ｸｽｺ

>>330
conf晒しｷﾎﾞﾝﾇ

>>332
rpmでインスコしたヤツに適用できます？

> conf晒しｷﾎﾞﾝﾇ
>>314-318

> rpmでインスコしたヤツに適用できます？
たぶんあたる。てゆうか先にやってみろ

あれ、うちはなにもしなくても出ないな。transparent にしてるからかな。

なにもしてなくはなかった^^;

header_access で 'http_anonymizer paranoid' に近い設定してるよ。
ということは header_access で X-Forwarded-For: も消せるということかな。

ためしに

header_access X-Forwarded-For allow all

を追加してみたら、現れたのでやはり header_access で制御可能です。
squid-2.5.STABLE3 であります。

>>336
ほんとだ。
というわけで、STABLE3では>>332のパッチは不要
設定だけでイケる

STABLE3からできるようになったのかな

STABLE2 でもできていたはずです。

HTTP/1.1ではViaヘッダはMUSTなんだが
世の中にアホ素人管理者があまりに多すぎるから隠さざるを得ない

MUSTってなんだ？（ｗ

SHOULDじゃないってことだろ。文脈として。

RFC2616 section 14.45 を読んでください、と。

RFC厨か・・・
で、なんで、アホ素人管理者があまりに多すぎるから隠さざるを得ない
わけ？

2.4.STABLE7 から 2.5.STABLE3 に移行したいのですが，うまくいきません．
たとえば，http://hogehoge.com/fugafuga/ にアクセスしたとすると，
/fugafuga/ にアクセスしたことになって， Invalid URL と言われてしまいます．
一応，squid -k check ではエラーは出てないです．

環境は Linux-2.4.21，Vine 2.6，透過プロキシとして使用
コンフィグオプションは --enable-err-language=Japanese --enable-linux-netfilter --enable-underscores です．

>>347
diff -u squid.conf.default squid.conf を晒してみよう。ホスト名、IPアドレス
パスワードなどは伏せ字で。

>>346
うん、おれも>342が何言ってるのかわからない。

>>348
diff が結構長かったので適当に抜き出しました．

http_port *.*.*.*:3128
cache_access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
acl localnet src *.*.*.0/255.255.255.0
http_access allow manager localnet
http_access allow localnet
icp_access allow localnet
icp_access deny all
cache_mgr ***.***
cache_effective_user squid
cache_effective_group squid
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
forwarded_for off
header_access Via deny all
header_access X-Forwarded-For deny all
error_directory /usr/local/squid-2.5/share/errors/Japanese

こんな感じです．

リクエストヘッダに Via: が含まれていると
不正利用でないプロキシであろうとなかろうと
.htaccess で deny してしまうバカがいっぱいいるんだよ。

じゃぁ、そんなバカと思うページ見なきゃ済むこと。ｱﾌｫか。
いいフィルタになってええんでないの？ｹﾞﾗ

>>350
とくにおかしいところはないですね。

あとはsquidのログaccess.log, store.logとsquidを介さないで接続するとどうなるか
接続先のサーバのログかな。

アクセラレータモードか…。

>>353
http://www.squid-cache.org/ に接続時のログです（347に書いたことは常に発生します）．
access.log
1057047742.027 0 *.*.*.* NONE/400 1398 GET / - NONE/- text/html
1057047748.102 0 *.*.*.* NONE/400 1398 GET / - NONE/- text/html
store.log
1057047742.027 RELEASE -1 FFFFFFFF BFF9FD0620365CB448D0CEDCA2AC0705 400 1057047742 0 1057047742 text/html 1104/1336 GET /
1057047748.102 RELEASE -1 FFFFFFFF 2B146F4B5021930B00F1A7AC581F4172 400 1057047748 0 1057047748 text/html 1104/1336 GET /
ログを見る限り squid が URL の http://*** を失っているような気がします．

また，netfilter を無効にして直での接続は問題ないでした．

>>354
アクセラレータモードは何か問題があるのですか？（確かに起動時に unrecognized と言われる）
ただ，無効にしても変化なしでした．

>>355
どうやら透過プロクシがうまくいってないような感じだな
Linux2.4.21のnetfilterってのは2.5.STABLE3では対応してるのかな。

> ただ，無効にしても変化なしでした．
これってsquid.confで無効にしたっていうことだよね？
だとしたら透過プロクシでなくてもうまくいかないということか…

>>355
も一つ。その http://hostname の部分が削られるのはどこのサイトに対しても
そうなるの？特定のサイトのみ?

348 さん遅レスすいません．夕食後，居眠りしてたらこんな時間でした．
課題やってない，ううっ．

>>356
すいません，透過プロキシ無しでは正常に動きました．
ブラウザでプロキシの指定を忘れていました．

kernel.org で 2.4.20 から 2.4.21 の ChangeLog 見てみたのですが，
netfilter にはかなり修正が入っているようです．それにしても 2.4 が OK で，
2.5 は NG なのはちょっとしっくりこないですね．

>>357
どんなサイトに対してもです．

事後報告です．
あきらめきれずに昨日もう一度最初からインストールしなおしたところ，
問題なく動作するようになりました．結局原因は判らずでしたが．

>>352
2chもそのバカに含まれてるわけだが。
で、なんであんたはそんなバカのサイトを見に来てるわけ?

>>303
超〜遅レスでスマソ、、、

> squid の cygwin版を　win2kで 動かしているんですが、
> 時々反応しなくなって (snip) シグナルを送ると すぐ復活するんですが

以下のはどう？

ttp://users.bigpond.net.au/robertc/Squid2_4.htm
> Client_Persistent_connections :
> Occasionally squid paused, and the client doesn't see any data until a signal is sent.
> Observed with ie5 and 5.5, with and w/out http1.1 thru proxy turned on.
> Use client_persistent_connections off.

というわけで、
client_persistent_connections off
にて様子をみるべし。

あと、ACLにRegExが大量にある場合（XXXフィルタとか（w ）、Cygwinでは
かなり遅くなるようだ。--enable-gnuregex を付けての再コンパイルを奨める。

絵に描いたようなバカ>360

>>360文字よめねー？
「オマエ」がバカと思うなら、見なくていいんじゃねーの？と書いてんの。
もしかして、意味わかんない？
漏れは、>>351で書いてるdenyすることがバカなんて、ひとことも言ってねーよ。

あぼーん

あぼーん

その議論は Squid と関係あるのですか?

あぼーん

くコ:彡　保守sage

diskd にすると CPU 時間を 3% ほど食いつづけになります。ktrace してみると
msgrcv(2) で resource temporarily unavailable とか。

OpenBSD-3.3/i386 です。逆に以前 GNU pth を使っていて CPU 時間をくいつづけて
いた aufs が OpenBSD-3.3 の pthread にかえたら現象はとまりますた。

>369
22.6 How do I configure message queues?
22.7 How do I configure shared memory?
ttp://www.squid-cache.org/Doc/FAQ/FAQ-22.html#ss22.6

message queue のバッファ(?)がデフォルトでは足りないのは対処したんですけど
それは関係ないようです。

説明不足でしたが msgrcv(2) が上記のエラーを返して、squid のほうは
延々 msgrcv(2) を繰り返しているような現象です。

OpenBSD-3.3の問題のような気がしています。

ときどき見かけますね。
マニュアルやＦＡＱ読めといいながら自分も読んでない人

そんなのあたりまえじゃん。
FAQ読まなくても自分のところでは動いているんだから。

動いていない奴が読まずに2chに質問丸無げしたら「man読め」って言うだろ。

通常は上位proxyへ丸投げ、社内サーバのみ専用proxyに
丸投げしたいんだが、squidではこういうことは無理なんだろうか…？

社内サーバならdirect、という手なら振り分けられるんだが、
二台のproxyでは接続先を分けられない？

>>373
ﾖｸﾜｶﾗﾅｲ
質問丸投げってなに? で、>>369はその「質問丸投げ」にあたるのか?

それからFAQやマニュアル読んでないやつ、理解できてない奴が
FAQやマニュアル読んだ上での質問かどうか判断できるのか?

的外れな「man読め」は(今回のように)何の役にも立たないと思うけど…

>それからFAQやマニュアル読んでないやつ、理解できてない奴が
>FAQやマニュアル読んだ上での質問かどうか判断できるのか?

handan dekiru daro

うろ覚えで書いてるが、こんなんか？

cache_peer external_cache.nowhere.xx.jp parent 3128 7 no-query default proxy-only
cache_peer internal_cache.nowhere.xx.jp sibling 3128 7 no-query proxy-only
cache_peer_domain internal_cache.nowhere.xx.jp nowhere.xx.jp
neighbor_type_domain internal_cache.nowhere.xx.jp parent nowhere.xx.jp
never_direct allow all

＃あとは、親になるcacheのacl次第だな。

>377 そうそう、そんな感じ。しかし、どこをどういじっても、親が切り替わらず、
必ず社外用のproxyを経由してしまうのよ。

#今日も会社で試行錯誤…(--ﾒ

少し進展。cache_peer_domainとneighbor_type_domainに記述するドメイン、
頭んところのピリオド抜けてた…。
で、晴れて親が切り替わるようになったんだけど、

ERROR
The requested URL could not be retrieved
・Valid document was not found in the cache and only-if-cached directive was specified

…次は親か…。

>379
子側のcache_peerにallow-miss付ける

allow-miss ミスを許可する

…こんな指定があったのか…。squid使い始めて数年になるけど、
ぜんぜん知らなかった。

>377,380
ありがとう。おかげさまで、何とか希望する構成が出来そうだよ。
今回のケースは本当に勉強になった。素早いレスthanks！

>381

cache_peer aaa sibling 3128 7 no-query no-digest
neighbor_type_domain aaa parent .bbb.jp

のように、icp等がなくsiblingになれない物をsiblingとしてダミー設定すると、
いざ neighbor_type_domain でparent接続するときに、リクエストヘッダに
only-if-cached が付いてしまうようだ （bugか?）
で、allow-miss で対症療法的に回避できるが、本来はparentとして最初
から指定し、 cache_peer_domain で経路設定すべきなんだろうな。

今回は上流もsquidのようだから、cache-digest を使うのが吉では？
（さすればallow-missも外せる...と思う(?)）

> のように、icp等がなくsiblingになれない物をsiblingとしてダミー設定すると、
> いざ neighbor_type_domain でparent接続するときに、リクエストヘッダに
> only-if-cached が付いてしまうようだ （bugか?）

ってこうことは私がmisleadしてしまったわけか。
374にいらん苦労させてしまったならスマン

FAQの日本語訳ってどこにあります？なくなってるみたいなんですけど。

>>384
原語で読んだ方がいいよ。
和訳は更新に追いついてなかったし。

お答えどうも。

それは十分承知の上です。
原語も読んでますが、理解の助けにもなりますし。

で、どこにも移転してないってことですか？

>386
ttp://vcsel-www.pi.titech.ac.jp/cache/Squid-FAQ-j.html
（リンク切れ）の事か?
"Squid-FAQ-j.html"で検索すりゃコピーらしき物が見つかる。
が、たしかに内容は古いな。(1997/03/13 ... v2.0時代か)

ここはひとつ >>384 が日本語訳を管理するということで。

>376
できないでしょ。>>370は典型的な実例ですな。

あーめんどーSIPも対応してくれｗ

>>390
あらかじめ、会話の内容を登録しておいて下さい。

会社でWebサーバーを公開してるのですが、直接公開するのも恐いので、
squidを公開してアクセラレータモードでWebサーバーに接続しています。
httpでの接続は出来ておりますが、新たにhttpsでの接続を
行おうとしています。
httpでアクセスするとsquidはGETしてくるんですが、httpsでアクセスすると
directするため、LAN内からはアクセスできてもWANからはアクセスできません。
どうしたらいいのでしょうか？

あと、過去ログ読んだのですが、アクセラレータモードって評判が
良くないみたいだけど、あまり使わないものなのでしょうか？

>>392
Squid を直接公開するのは怖くないのか?

>>393
ちゃんと設定すれば恐いことなんか何もない。
負荷分散で使う例なんかいくらでもあると思うよ。

>ちゃんと設定すれば恐いことなんか何もない。

同じことがWebサーバ公開についても言えるよーな。

何が恐いのかいってみろよ

>>396
自分の過信が

ここは恐いインターネットですね。

>>397
それはweb鯖についてもいえるような

>>398
明治生まれのおばあちゃんが硬いことをコワイと言っていた記憶が
どこかの方言か時代的言葉の違いでしょうが

>>399
中の人の問題だしな

webサーバーに比して、squidを公開することの危険性って何？

>>392

acl SSL method connect
never_direct allow SSL

>>402
ありがとう。けど、それ>>295をみて試してみたけどダメだった。
IEだと(111) Connection refusedが表示される。

FreeBSD 4.8stableで使っています。
インストールの際、make installすると /usr/local/etc/squid や /usr/local/sbin などにインストールされますが
portinstall を使うと、/usr/local/squid 以下に etc や sbin 等のディレクトリを作ってインストールされてしまいます。
/usr/local/squid/sbin なんかにはパスは通してませんから、squid.sh では正常に起動してくれません。

make install と portinstall でインストールの挙動が変わるってのは普通の事なんでしょうか…

普通ではない。

PREFIXまわりを確認すれば?

tinyproxyってここでいいですか？
とりあえずインスコしてみたら激遅でがっくり
チューニングとかカスタマイズとかやってるサイトとかスレとかありますか？
ぐぐっても情報少なくて…。

FreeBSD で Squid2.5 STABLE3 を使っているんだけど、
このフェリー会社のインターネット予約のページに入れない。
ttp://www.cityline.co.jp/
新規予約をしようとすると、｢接続が無効になりました｣とか表示される。

Squid 使わないとその先に進めるから、たぶん設定の問題だと思うんだけど、
なんでだめなのかさっぱりわからん。
なやんでます。

>>407
> ttp://www.cityline.co.jp/
> 新規予約をしようとすると、｢接続が無効になりました｣とか表示される。

NetBSD 1.6Uでsquid 2.5STABLE2で確認してみたけど
新規予約の日付選んで、便名選んで、船室やら選ぶ画面まで行けたよ。

つーか、squid側でanonymize headerかましてたり、クライアントで
クッキー拒絶してたりしてない？

>407
https は通るのかな？

>>409
https は通ります。

>>408
ブラウザの設定は、クッキーを全て受け入れるようにしてあります。
anonymize header が header_access のことなら、設定は全部はずしてあります。
（もっとも、deny にしてたのは Via と X-Forwarded-For だけですが。）

デフォルトに近い squid.conf
・http_port を 8080
・http_access で自分のネットワークのIPを許可
・visible_hostname を設定
・emulate_httpd_log を on
でやってみたけど、同じでした。


で、やっぱりクッキーがらみのようです。
squid を使わないで予約画面に入るとこのページのクッキーが保存されるのですが、
squid を使うとクッキーが保存されない。
試しに、squid のキャッシュを全部消してから予約画面に入ってみたら、
最初の１回目はクッキーが保存され、先に進めました。
そのあとクッキーを消してブラウザを開きなおしてもう一度やってみると、
クッキーは保存されず先にも進めません。

要するに、キャッシュのほうにヒットしてクッキーを受け取らないから先に進めない、ってことかな？

とりあえず、

acl cityline dstdomain .cityline.co.jp
no_cache deny cityline

でキャッシュしないようしました。

>>411
> でキャッシュしないようしました。
で動いたかな？

おいらは、予約画面に行くとwebserv(だっけ？)にURLが
変わるから、きっとjava servletのサーバにつないでると予想した。

で、servletの常套手段としてcookieでクライアントの動きを
EJBなんかで管理しようとするからcookie絡みかな？と。

そのときにheaderを隠してたりすると、cookie生成に失敗
するのかなという程度の推測から聞いてみたのでした。

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

>>412
動きました。


でも、こういうのがあるたびにアドレスを書いていくっていうのもなぁ。
やっぱり近いうちにちゃんと調べようかと思います。

普通そういうサイトはno-cache出すからsquidはキャッシュしないよ。

--disable-internal-dns してない人ってどのくらいいるんだろうか？
しないほうがパフォーマンスは上がるらしいけど・・・

>416
えっ！そうなの？

>>416
いつの時代の話だ?

DNSチャイルド数を超えたリクエストが来たら止まるとか、
メモリ食うとか、タスク間通信のオーバヘッドとか、色々(ry

FreeBSDのportsはずいぶん前から--disable-internal-dnsはコメントアウトされているな。
前に有効化してdns childrenを使ったけど、重くなった記憶が有る。

NT port で、netbios名でログが取れる、とかの用途がある＞ --disable-internal-dns

イカの花火、北の夜空彩る　函館市の祭りで初登場
ttp://headlines.yahoo.co.jp/hl?a=20030816-00000130-kyodo-soci

IEって、ローカルでプロキシ引く設定をしているにもかかわらず
プロキシ引いたりしない?そういうときにも --disable-internal-dns って
有効だった気がする。

>>423
「プロキシ引く」ってどういう意味?

プロキシの自動設定のことじゃないかい？

プロキシ引く？
聞いたことねーよｗ

>>423
IEと--disable-internal-dnsってぜんぜん関係ないんじゃ…
IEが破格の挙動をするのはよく耳にしますが。

一部のサイトに対して no-cacheを無効にしたい (no-cacheを出してくるけど保存したい)
のですが、どうすればできるのでしょうか？

2.5.3test

test

last

IEっつうかIEアドレス欄に入力したWinの名前解決でｺﾞﾆｮｺﾞﾆｮ(>>421な話とか)。

>>428
>no-cacheを出してくるけど保存したい
???
特定サイト→cache
それ以外のサイト→no-cache
つう事?

コンフィグのfake_user_agentのところに
笑えるネタを入れたいけど、
なにかいいネタ有りますか？

pipeline_prefetchをonにすると、レスポンスがとても速くなるのが体感できる。

>>432
Microsoft Solaris XP Developers Previewとでも入れておけ。

>>433 ね。

>>433 は「笑えるネタ」と言っているのだが。

Mozilla/4.0 (compatible; MSIE 2.0; MSX-DOS)

レベル低い質問ですが、SSLを使った通信ログって、どのように残るのですか？
やはり接続先のホスト名だけで、ディレクトリとかは残らないのでしょうか
１行のログでもかまいませんので、よろしくお願いします。

>>439
> やはり接続先のホスト名だけで、ディレクトリとかは残らないのでしょうか
そう。
CONNECT メソッドのログが1行残るだけ。

>>440
CONNECTメソッドということは接続先のホスト名とポートだけですかね？
ものすごい即レスありがとうございました。

>>435 >>438
失格

美少女戦士Sailor Moon Browser/0.41 Beta 1 (dame compatible :-)

いま見てみたらこんなのが。

2.5.STABLE1でUser-Agentを変えてみたら２ｃｈが読めなかった。
駄目じゃん。

FreebSDをブリッジ設定して、透過型キャッシュサーバのようにできた方おられますか？

以前、ルータ設定での実績はあるのですが、今回、ブリッジ設定で試してます。利用して
いるパケットフィルターは、ipfwです。つまり、

ipfw + squid

です。ipfwの設定は、

00100 701 66351 allow tcp from me to any 80
00109 3130 312927 fwd 127.0.0.1,3128 log logamount 10000 tcp from 192.168.126.0/24 to any 80
65000 18014 9466599 allow ip from any to any

squid.confの設定には、

http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_single_host　on|off(両方試しています)

ipfwのfwdのログをみると、きちんとフォワードされているようですが、3128/tcpのsquidがパケット
をキャプチャーしてくれません。ウェブでも探しましたが、みんな同様の設定をしているようです。
なんか、情報ありましたら教えてください

ports/www/squid/Makefileをよく読め

>>446
これか？

# - Enable Transparent Proxy support for IP-Filter systems (incl 3.0)
#CONFIGURE_ARGS+= --enable-ipf-transparent

　これをつけて、makeしたけど、だめだった。

それとも違いまつか？

とりあえず、ブリッジ接続は止めて、普通のルータ接続＋透過キャッシュ(445の設定で)で
きちんと動くか試してみたら、こちらはOKでした。
　manのipfwの記述でしたの図があるけど、「 net.link.ether.bridge_ipfw=1」で、
[bdg_forward]になるから、squidのsocketまで届かないのでしょうか？

^ to upper layers V
| |
+----------->-----------+
^ V
[ip_input] [ip_output] net.inet.ip.fw.enable=1
| |
^ V
[ether_demux] [ether_output_frame] net.link.ether.ipfw=1
| |
+-->--[bdg_forward]-->--+ net.link.ether.bridge_ipfw=1
^ V
| to devices |
　

access.logへの記録でIPアドレスと一緒にMACアドレスも記録できるようにならんでしょうか

書き忘れので追記　
squid/2.5.STABLE3

それは DHCP サーバのお仕事じゃ？
DHCP な環境でなければ arp で収集すればいいわけだし。

ソースがあるから改造しようと思えばできるのではないでしょうか。

>>451
DHCPからリースせずにスタティックに割り当てる輩もおるでしょうから
arpですね。

自分で改造しかないの？

squidのFAQを見ると

The Common Logfile Format
The common logfile format is as follows:
remotehost rfc931 authuser [date] "request" status bytes

remotehost
Remote hostname (or IP number if DNS hostname is not available, or if DNSLookup is Off.

とあるので、ホスト名（またはIPアドレス）しかlogに書き込めないと判断したんだけど、>452のように
改造しかないのかなねぇ｡
改造できるほどスキルは持ち合わせてませんって｡･ﾟ･(ﾉД`)･ﾟ･

sageとこ・・

>>455
date >> arplog.txt
arp -a >> arplog.txt

こんなスクリプトを定期的に動かしとけば〜。

>456
その方法で取りあえず対処しておきます
ｱﾘｶﾞﾄﾝ

2つ質問です。

・「SquidによるPROXYはFTPのキャッシュも行うのですが、実はNetscape Navigatorなどの
WWWブラウザーからのFTPにしか対応していません。WWWブラウザーからPROXY経由で
FTPを行う場合、ブラウザー - PROXY間はHTTPプロトコルで、PROXY - FTPサーバー間が
FTPプロトコルで通信します。Squidが対応しているのはこのタイプのPROXYだけで、WS_FTP
などの一般のFTPクラインとからのPROXYには対応していません。」という説明が某解説サイトに
載っていました。自分でも試したところ、wget によるftp 取得は出来ませんでした。
ブラウザだけでなくスクリプトでwget 使ってftp 取得もしたいのですが回避策はないですか？

・リモートにsquidなどの鯖を入れないでSSH接続することは可能ですか？可能だとしたら
どうすればいいのですか？

>>155-166
に書いてありましたね。でも、166の方法ではダメでした。

>>458
なんで SSH なのに Squid の話が出てくるんだ?

>>458
lftp なら Squid 経由で落とせそう。

>>460
ローカルでsquid経由して外に繋いでるからです。リモートは管理者権限が無いので
リモート側の設定等は変えずにローカルの変更だけで対応しないといけないのです。

>>461
試してみます。情報有難うございました。

新規質問です。
・２ちゃんに書こうとすると、80ポートが開いててPROXYと見なされてしまいます。
このポートを閉じると、当たり前のことですが、２ちゃんには書き込みに行けないのですが
どうすればいいのでしょうか？

あ、すみません。これも過去ログ嫁でしたね。
>>131-133

ちなみにうちでは http_via というオプションは無くて、forwarded_for だけ消しましたら
書き込めました。

>>462
「リモート」ってのは何を指してるんだ?

>>458
> ブラウザだけでなくスクリプトでwget 使ってftp 取得もしたいのですが
delegateの ftp-proxy とか使えばいいのでは

> ・リモートにsquidなどの鯖を入れないでSSH接続することは可能ですか？
どういう状況かサッパリわからんのだが、
LAN内のsquidを経由して、WANに晒してあるSSHサーバにつなぐなら、
puttyの 「Proxyタイプ = HTTP」 で可能だろ。

> ・２ちゃんに書こうとすると、80ポートが開いててPROXYと見なされてしまいます。
NATルータ挟まず、外部に晒しとるんかい！？

>>466 に追加
> puttyの 「Proxyタイプ = HTTP」 で可能だろ。
squid.conf の SSL_ports,Safe_ports に 22 の追加が要るかもな

>>466
えーと、状況としては
リモート（学校なり会社なり）にサーバマシンが設置してあります。
そこのファイルをローカル（自宅なりなんなり）から弄って作業したいわけです。
リモート鯖ではSSHを介した通信しか受け付けていません。
鯖の管理権限は自分には無く、stoneなどをリモートにインスコすることはできません。
ローカルで行なえる対処のみでSSHを使ってリモートへ接続しないといけないのです。
また、ローカルでは、頻繁に外に持ち出すノートマシンを鯖にして他のマシンを繋ぐことはできず
そのノートはデスクトップに立てたプロキシ鯖を介してHTTPだのFTPだのを喋っています。
その通信にさらにSSHを噛ませたいのです。リモートを一切いじること無く。

これで状況はクリアですか？
教えてもらったことは未知の用語が多いのでこれから勉強します。

>>468
状況はクリアです。
解決法は
「どっかにサーバ立てて IP over HTTP してごにょごにょ」
くらいしか思いつかないなぁ。おれは。
>>466 >>467 の PuTTY は試してみる価値あるかも。よく知らんけど。

> 鯖の管理権限は自分には無く、stoneなどをリモートにインスコすることはできません。
これが痛いね。

>>466-467
puttyってWindows用のソフトではないですか？
ローカルのデスクトップはWindows系なのですが、ノートマシンは
PC-UNIX入れてるので、puttyではダメかと思われます。
ノートがWindowsだとしたらノートにputtyを入れて、デスクトップのsquidを
経由して・・というイメージで正しいんですよね？

>>469
あり、入れ違いになった。、、
やはりリモートを弄くれないのがキツイですよね。

>>468
http://cvs.m17n.org/cvs/committer.ja.html
こんなの見つけた。
httptunnel が使えそう。
使えたらやり方教えて。

>>470
> puttyってWindows用のソフトではないですか？
少なくとも Debian では動いてるらしい。
http://snapshot.debian.net/archive/pool/p/putty/

まあでも OpenSSH でできた方がいいけどね。

>>472
delegate でも httptunnel できる。
手元のマシン上で delegateの httptunnelを起動し、ソレにsshでつなぐ。

delegated -P22 \
SERVER=tcprelay://target-host:22 \
SSLTUNNEL=squid-host:3128 \
CONNECT=https \
PERMIT="*:*:localhost"

squid.conf には、以下設定でポート22への接続を許可する必要有り。

acl SSL_ports port 22
acl Safe_ports port 22

こんな事するより、ローカルLANのデスクトップPCサーバ上で、
httptunnel じゃなく「単なるのTCPフォワーダ」（tcprelay-delegateとか）
を動作させたほうが楽だと思うが。
（ま、自宅PCでSSHdをポート1024以上で稼動させ、それに会社から
　squid経由で接続するとかなら、この方法はアリだが）

>>473
PuTTY: A Free Win32 Telnet/SSH Client
ttp://pc.2ch.net/test/read.cgi/unix/1014702733/775
> PuTTY Unix port sources
> http://www.tartarus.org/~simon/putty-unix/

ポート443に接続する設定ですが
acl SSL_ports port 443 563
acl SSL method CONNECT
と指定しているのですが、access.logに
1074433000.138 5 192.168.125.15 TCP_DENIED/403 984 CONNECT www.bidders.co.j
p:443 - NONE/- -
と出てしまいます。
他に設定等あるのでしょうか？

ACLの設定ミスでした。
板汚しｽﾏｿ。。

SSLのTransparent Proxyって可能？

FreeBSD で IPFW で ポート 80 は透過プロクシにできたけど、
ポート 443 がつながらない。

ipfw add fwd 127.0.0.1,3128 any to any 80 via ${iif}
ipfw add fwd 127.0.0.1,3128 any to any 443 via ${iif}

ひょっとして無理なことやろうとしてる？

無理。リクエストの方法がまったく違う。
HTTP はプロクシに HEAD/GET/POST/その他を投げるが、
HTTPS はぜんぶまとめて CONNECT になる。

それに暗号化されてるしな〜。

お訊きしたいのでまかり出ました．

client -- micro$oft isa server -- internet
という環境があります．
ここで，isa に Active Directory でユーザー認証していました．
許可されたユーザーの場合は黙って通して，
そうじゃない場合は認証要求のダイアログが出ていました．
その後，
client -- squid -- micro$oft isa server -- internet
としたところ，許可されたユーザーでも
ときどきダイアログが出るようになりました．
たとえば google ろうと思っても reload したりすると
ダイアログが出て，キャンセルすると
不特定の画像が表示されなかったりします．

ちなみに squid 2.4STABLE6 です．

どなたかご教示ください．
よろしくお願いいたします．

delegateの質問もここでよいのでしょうか？

桶

たまにsquidが長時間cpu99%使ってるときがありますが、アレは何をしているのでしょうか？

>>484
http://www.squid-cache.org/Doc/FAQ/FAQ-11.html#ss11.46

Squid stuck at 100% CPU loop in ipcache_purgelru, or segfault in the same
synopsis The squid-2.5.STABLE4-connect_cleanup.patch was not entirely
correct and could cause memory corruption in certain situations involving
negative DNS replies (host not found etc)

severity Major
date 2004-02-12 09:42

versions Squid-2.5.STABLE4-20031210 to 20040212
platforms All

internal DNS lookup のほうが奨励になってたから、--disable-internal-dnsを付けないで
デフォルトでコンパイルし直したのだが、dnsserver使った時に比べて遅くなってしまった・・・

2.4を使い始めたのですが、特定の端末だけインターネット側のアクセスを不許可して、イントラ側のアクセスは許可するみたいな事って出来るのでしょうか？

>>488
「特定の端末」「インターネット側のアクセス」「イントラ側のアクセス」を
どう定義するかによる。

スレ違いかもしれんが、FWやBBルータのような機器で
httpをproxy設定できるものってある？

>>458
~/bin/clientってコマンドで出来なかったっけ?

>488
特定の端末の定義が未定だけど、arpで良いのなら出来ますよ。
イントラはproxyを通さずにダイレクトで。

それとインターネット側というのはwebやftpなどですよね。
mailとかは知りません。

端末が内部ネットワークにいる事を仮定して。

>>492
つうか>>488はプロキシ非経由でイントラのWebアクセス許可されてるのか?
まぁ、多分そんな無意味な制限もかけてないだろうけどね。

いずれにせよ、インターネット向けNGのクライアントのIPアドレスとイントラサーバのIPアドレスが分かってれば、
aclで設定出来るんでは…。>>488

squid2.4stable7で、ncsa_authを使ったユーザ認証をしたいのですが、
うまくいきません。
ブラウザからアクセスすると、認証ポップアップはでるのですが、正しい
id/passを入れても失敗します。

インストール時に./configureでオプションが必要なのでしょうか。

squid.confは
authenticate_program〜　行はコメントアウトし、ncsa_authもpasswdファイルも
所定の位置におきました。
あと、
acl password proxy_auth REQUIRED
http_access allow password
と設定しています。
また、ncsa_authを単独で実行すると、正しいid/passでOKと表示されます。

>authenticate_program〜　行はコメントアウトし、ncsa_authもpasswdファイルも

コメントアウトしたら意味ないんじゃないか？

というツッコミはおいといて、2.4 って authenticate_program で設定するんだっけ？
auth_param じゃなかったっけ？

確認するべきところとしては、
ncsa_auth が設定した数だけちゃんと起動しているか、
http_access を squid.conf の適切な位置に書いているか（末尾に追加したらダメ）、
てなところかしらん。

squid2.4 ってHTTP1.1に対応してますでしょうか？
以前のバージョンではクライアントがHTTP1.1でリクエストだしても、Squid内部でHTTP1.0に変換されてしまうって聞いたのですが

>>496
対応してるらしい
たぶん対応している

ファイアウォールの外側にsquid、内側にWeb鯖をおき、リバースプロキシしてます。
redirect_programも書いて、URL変換もうまくいきました。

しかし、リダイレクタを指定したとたん、クッキーがWeb鯖に
届かなくなりました。

header_accessは省略しています。
どの辺りを疑うべきでしょうか？

>>498
アクセラレータモードで動かすのは何か問題があるの?

レスありがとうございます。

URLのパス名によって、振り分けしたかったです。

http://aaa/bbb/ccc → http://xxx/ccc

みたいな。
（パスにbbbがあったらホストxxxに中継、cccは変更なし）

でも、もう解決したんで、いいですけど…。

msn messengerをフィルタリングするにはどうすればいいだ？

>>501
*.msgr.hotmail.com

この辺を規制しとけばいいんじゃないかな？

>>502
tonks

教えてください。
Squidのキャッシュの保持期間ってどこかで指定しているのですか？
Squid.confで指定できるのでしょうか？

その通り squid.confで指定します。

>505
ありがとうございました。

何つうか。
事後報告無さ杉。
情報共有出来ればいいなぁ。

サーバーがno-cacheを返してくるファイルをキャッシュする方法はありませんか？

no-cacheの判定してるところ潰してキャッシュする方に流れるように
いじればいいんでないの？

no_cache allow
では無理?

なんか設定を無視してディスクがなくなるまでキャッシュ使ってる。
なんでじゃー

うちは OpenBSD-3.3 で softupdate 使った ffs で
squid を aufs で使うとそうなることがある。

たまに再起動するといきなりパージが始まる。

2.5 stable 3　使ってマス。
リクエストヘッダで、pragma:no-cache　がついている場合、
キャッシュではなく、上まで行くのはわかるんだけど、
ipcacheも使わないの？DNSへ問い合わせが行くんだけど。
squid.conf はほぼデフォルトっす。

ねえねえftpのリバースプロキシ機能ってある？

なんか、閑散としたスレなんですな。
一応自己解決したので、事後報告しときま。
どうも仕様っぽいですな。
linuxのDNScacheをつかって解決させますた。

client_side.c

static void
clientInterpretRequestHeaders(clientHttpRequest * http)
{
request_t *request = http->request;
const HttpHeader *req_hdr = &request->header;
int no_cache = 0;
const char *str;
request->imslen = -1;
request->ims = httpHeaderGetTime(req_hdr, HDR_IF_MODIFIED_SINCE);
if (request->ims > 0)
request->flags.ims = 1;
if (httpHeaderHas(req_hdr, HDR_PRAGMA)) {
String s = httpHeaderGetList(req_hdr, HDR_PRAGMA);
if (strListIsMember(&s, "no-cache", ','))
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
no_cache++;
stringClean(&s);
}

あと、ここ。

client_side.c

static log_type
clientProcessRequest2(clientHttpRequest * http)
{
request_t *r = http->request;
StoreEntry *e;
if (r->flags.cachable || r->flags.internal)
e = http->entry = storeGetPublicByRequest(r);
else
e = http->entry = NULL;
/* Release negatively cached IP-cache entries on reload */
if (r->flags.nocache)
^^^^^^^^^^^^^^^^^^^^^
ipcacheInvalidate(r->host);

最近家のlinuxサーバにsquidを入れました。
まだよく仕様を理解してないので先輩方教えてください。

私は時々、得ろサイトを10個くらい同時に開こうとする習性があるのですが、
squidを通した場合、1つでも遅いサイトがあると、他のサイトも道連れ的に遅くなってしまいます。
でも、squidを通さなければ10個くらいならサクサク見れます。
topでsquidの負荷を見てもそんなに高くなってるわけでないので、
ネットワーク関係でブロックされて、一気に遅くなるように感じます。

squidをもっと快適に利用したいのですが、何か設定のコツとかってありますか？

素人的には、あらかじめ子プロセスをじゃんじゃん作って、
そいつらで処理してくれればなぁと思ってしまうのですが、その辺は仕様なのでしょうか？

>>517
DNS Lookup に時間がかかってるからだと思う
Squid って DNS 引くのに時間がかかると後のリクエスト拒否しちゃいやすいみたいだから

dns_children を増やしてみる
ローカルで DNS のキャッシュサーバをおいてみる

このくらいしか思いつかない・・・すまそ
他の人よろしくです

>518
レスどうもです。
dns_childrenをとりあえず 5→16 にしてみました。
まだ効果は実感できないのですが、しばらくこれでやってみます。
ただ一応、ＤＮＳキャッシュサーバとして、squidと同じマシンに
dnsmasqとやらを動かしています。
こちらも昨日いれたばかりのなので、効果は実感できてないのですが…。
また、なにか感じたことがあれば報告させてもらいます。
よろしくお願いします〜。

BINDおったててforward onlyで動作させるとか。
その前にsquid.confのdns_nameserversに書くとか。
その前にその前にリゾルバ(ry

# configure optionで--disable-internal-dnsしなくてもいいんだっけ?
# 言われなくてもやってるか。

なんとなくいい感じになってきました。
以下の4つのことを試してみましたので報告します。

1. dns_childrenを5→16に変更。
2. dns_nameservers に127.0.0.1とゲートウェイとISPのDNSを追加。
3. 「cache_dir ufs /var/spool/squid/ 256 16 256」 →
「cache_dir diskd /var/spool/squid/ 1024 32 256」 に変更
4. win2kの窓の手でhttpサーバに同時に張れるセッション上限数を4→16 に変更。

上記1〜3は体感的にはよくわからないというのが本音です。
4については、結構効果があったような気がします。
ただRFCの推奨値は4だそうなので、やはりマナー違反ということになるのでしょうか？

squidの設定で良くない部分や他にもやった方がいいこと、
また、セッション上限数について教えてください。

>>521
squid以前にOSのSOMAXCONNとかNMBCLUSTER増やすとか
diskd使ってるんだったらmsgmnbやshmallを大きくするとか
カーネルチューニングしないとプロセスだけ増えても
キューに溜まるだけなんでは？

あと、速いディスク　じゅーよー

アドバイスありが�d。SOMAXCONN,NMBCLUSTER,msgmnb,shmall
キーワード全部わかんねえし…。(背伸びしすぎたか？)
一応カーネルコンパイルは何度かやって実際運用してるのでちょっと勉強してきます。
別にdiskdはこだわりあるわけじゃないんだけどね。
なんとなく別プロセスにした方が速くなりそな気がして。

あと環境はこんな感じでした。
CPU:Celeron2.0MHz
Mem:512MB
HDD:hdparm-tの結果[reads:64MB in 1.82seconds=35.1MB/sec]
OS:vine 2.6rc3
Kernel:2.6.5 (メイクできちゃった運用)
squid:2.5.STABLE5
ユーザ:えろいの約1名
squid以外の主なプロセス:sshd,apache,smb,dnsmasq...

ディスクは確かに速くないですがボトルネックになる程でもないと思っています。
この辺も時間のあるときに画像サイトでも見ながら、もちょっと調べてみたいと思います。

>>523
英語が苦にならない人なら
http://www.oreilly.com/catalog/squid/chapter/ch08.pdf
とか

Linux squid performance tuningでググってみるとか

>>523
あぁ、LinuxにはNMBCLUSTERなんてパラメータはないのかも
よく知らんが、スマソ

squidの開発者はdiskdをおすすめしているね。
圧倒的にパフォーマンスがいいから。

cache_dirを専用のスライスとかにするのもいいよ。

squid-2.5.STABLE5で認証をさせる事が出来ません
アドバイスを下さい

> ./configure --enable-auth=basic --enable-basic-auth-helpers="NCSA"
設定ファイルは
# diff /usr/local/squid/etc/squid.conf squid-2.5.STABLE5/src/squid.conf.default
54d53
< http_port 2003
1262d1260
< auth_param basic program /usr/local/squid/libexec/ncsa_auth /usr/local/squid/etc/passwd
1778c1776
< acl password proxy_auth REQUIRED
---
> #acl password proxy_auth REQUIRED
1824d1821
< http_access allow password
＿042,2043c2039
< cache_effective_user squid
<
---
> # cache_effective_user nobody
このように設定し、

インストール・キャッシュの初期化・logファイル・パスワードファイルの準備ncsa_authの単体テストまでは出来ました
しかし、IEからアクセスすると認証用の画面が出ません
ncsa_authが起動していることは確認しているのでsquid.confの設定だとは思うのですが
何が足りないかを教えてください

ext3のファイルシステムで、cache_dirを10GBくらい用意しようと思ったのですが、
iノードの消費を抑えたいので、minimum_object_size = 3kb くらいで運用を始めようかと
思っています。それほどiノード使わないようなら、この値は徐々に小さくしていくつもりです。
パフォーマンスより安定度を重視したい場合、他に気を払うべきパラメータとかあるでしょうか。
たとえば、maxmum_object_size_in_memoryとかは、どれくらいの値が適切なんでしょう。
ちなみに、diskdを使用する予定です。

>>527
認証にたどりつく前に別の http_access でアクセス許可されちゃってるんじゃないの？
% grep ^http_access squid.conf
を晒してみ。

>>528
>iノードの消費を抑えたい

充分な数の i-node が確保できるようにディスクをフォーマットするのが
正しい道のような気がするのだが。
経験上、キャッシュにもっともヒットするのはバナーやアイコンや
レイアウト用の部品画像のような小さなオブジェクトなので、
下限はあまり上げない方がいいと思う。

>>529
> 充分な数の i-node が確保できるようにディスクをフォーマットするのが
> 正しい道のような気がするのだが。
もっともなご意見です…
けれど他のサービスも走っているサーバで、ちょっとフォーマットしなおすのは難しいので
まずは、
minumum_object_size = 1024bytes
キャッシュサイズ 6GB
にして、cachemgrで、HIT率、df -iでiノード数見ながら
微調整していきたいと思います。

幸いにしてでかいスライス(iノードが500万くらいある）があるので
そこにキャッシュを作れば、何とかなるかなと希望的観測。

皆さんのsquidのキャッシュサイズ、そのスライスのiノード数とか
教えてくだされば、非常に参考になるのですが
良ければお教えくださいm(_ _)m

squid2.5を投下型のキャッシュサーバとして使いたいのですが、
全てダイレクトアクセスになってしまいます。
設定の仕方間違ってるんですか？


hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 512 MB
maximum_object_size 4 GB
minimum_object_size 0 KB
maximum_object_size_in_memory 1024 KB
cache_dir ufs /opt/squid 409600 16 256
mime_table /etc/squid/mime.conf

続き・・・・

debug_options ALL,2
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
range_offset_limit -1 KB
acl all src 0.0.0.0/0.0.0.0
acl lan src 192.168.0.0/255.255.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

続き２・・・・

http_access allow manager localhost lan
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow lan
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname localhost.localdomain
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
coredump_dir /var/spool/squid
store_avg_object_size 3 GB
cache_effective_user squid
cache_effective_group squid

>>529
> grep ^http_access /usr/local/squid/etc/squid.conf
http_access deny all
http_access allow password
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

こんな感じです
また、結果としてはAccess Deniedに成ります

いちばん最初に
>http_access deny all
があったら蹴られるに決まってるでしょうが。

>>535
確かに
何でこんな設定に…

ありがとうございました

ちなみに、http_access allow password が先頭にある状態というのも
それはそれでよろしくない。

>http_access deny CONNECT !SSL_ports
>http_access deny all

このふたつの間に入れるべきだろう。

>>531
maximum_object_size 4 GB

なにキャッシュすんだよｗ

>>538
エロロリアニメ動画に決まっておろうが！

>>537
defaultから最低限変えて動かしてる*つもり*だったので、
まだ、そういう所まで考えてませんでした

ご忠告感謝します

>>538
>cache_dir ufs /opt/squid 409600 16 256

本社にある動画ファイルを回線の細い支店で閲覧させるのに
squid活用できないかなと思ってるのですが・・・・

扱うファイルで大きいのが４G近くなるんですが、それで

　maximum_object_size 4 GB

　cache_dir も400Gに・・・

ノーマルのsquidで大きなファイルをこんなサイズのファイルを
キャッシュすることはできるのでしょうか？

>>542
支店にSquid入れるってことならわかるけど

ミラーサーバ立てろよ

WARNING, HUGE BATTLESHIP - Squid Web Proxy Cache - IS APPROACHING FAST.
BE ON YOUR GUARD.

まぁ海産物だからな。

>>545-546
ｳｹﾀ

分かれ道に激突するのが基本

1085742170.116 60 24.206.81.236 NONE/413 1538 NONE error:request-too-large - NONE/- text/html
1085746888.136 14 221.149.72.117 NONE/413 1538 NONE error:request-too-large - NONE/- text/html

2004/05/28 20:02:50| Request header is too large (12287 bytes)
2004/05/28 20:02:50| Config 'request_header_max_size'= 10240 bytes.
2004/05/28 21:21:28| Request header is too large (11269 bytes)
2004/05/28 21:21:28| Config 'request_header_max_size'= 10240 bytes.

最近こういうログが見えるんだけど、何だかわかる人いますか？
この IP アドレスからほかのポートにアクセスされた形跡はないので、
port 3128 で動いてる squid 狙いのワームか攻撃ツールだと思うんだけど。
それとも 3128 を使うものって他になんかあったっけ？

IISのWebDAV脆弱性狙いの巨大ヘッダーアクセスが流行しているよ。

>>550
そいつのターゲットは80番であって3128じゃないでしょ。

>>549
公開?

header_replace 使って特定のポートからのリクエストのみ
User-Agent: のヘッダーを書き換えたいのですがそんなことって
可能ですか？

私は au の携帯電話を使っているのですが、imode のサイトで
User-Agent: で振り分けをやっているサイトとかを見たいのです。

まぬけな質問でした。そもそも端末でプロクシ設定できないのでした。
php と lynx で自作してみます。

そもそも、imodeのサイトでUser-Agentなどで振り分けてるとは思えないんだが（ｗ
なんか怪しげなこと考えてない？

すべてそうだとはかぎりませんが振り分けているところもあるようです。
www.google.com/imodeとか

そりゃ、そういうところもあるだろう、勝手サイトないい加減なところなら。
つか、auでgoogleまともに見れんわけ？
どっちにしろ、imode版googleも使えんなぁ。

にしろ、php串自作、めんどくさそ・・・な上、何故lynx？？？

>>545
懐しい…

ﾎｼｭ

稀に、長すぎるURLでエラー起こんない？

怒ります。

7日にSTABLE6出てたのに静かだな・・・

'`,､'`,､('∀`)'`,､'`,､

>>562
あんま変わってないからじゃない？

Several "Assertion error" bugs fixed
Several "Segmentation fault" bugs fixes
Corrects a security issue in the old ntlm_auth NTLM helper used in transparent NTLM authentication to a NT domain without using samba.
Processing of Vary: * and Vary on error messages corrected
a large number of minor and cosmetic bugfixes. See the list of squid-2.5.STABLE5 patches and the ChangeLog file for details.

一部のPCで2chに接続できないようにするため、Linux鯖にSquid2.5Stable6を導入したのですが、
SSLを使用しているページヘのアクセスが出来なくなりました。
その際のエラーログは↓です。
TCP_MISS/503 0 CONNECT rd.rakuten.co.jp:443 - NONE/- -

どの様に設定すればよいのでしょうか。

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /usr/local/squid/var/cache 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
dns_timeout 1 minutes
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:144020%10080
refresh_pattern ^gopher:14400%1440
refresh_pattern .020%4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 192.168.0.0/255.255.255.0
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563
acl Safe_ports port 80　　# http
acl Safe_ports port 21　　# ftp
acl Safe_ports port 443 563　# https, snews
acl Safe_ports port 70　　# gopher
acl Safe_ports port 210　　# wais
acl Safe_ports port 1025-65535　# unregistered ports
acl Safe_ports port 280　　# http-mgmt
acl Safe_ports port 488　　# gss-http
acl Safe_ports port 591　　# filemaker
acl Safe_ports port 777　　# multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl mona arp 00:00:00:00:00:00
acl denyhost dstdomain .2ch.net
acl denyhost dstdomain .2ch2.net
http_access deny mona denyhost
http_access allow localnet
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
forwarded_for off
acl SSL method CONNECT
acl POST method POST
never_direct allow SSL
never_direct allow POST
header_access Via deny all
header_access X-Forwarded-For deny all
header_access Cache-Control deny all
coredump_dir /usr/local/squid/var/cache

>acl SSL method CONNECT
>never_direct allow SSL

cache_peer は？

>>568
すいません、cache_peer設定しないとダメなんですね。
複数のproxyサーバを設置してはおらず、FAQによると
デフォルトで「SSLリクエストの場合にはオリジナルサーバへ直接接続」する
ということなので、
acl SSL method CONNECT
acl POST method POST
never_direct allow SSL
never_direct allow POST
以上を全てコメントアウトしました。
（親proxyをプロバイダから与えられているproxyサーバにしてみたのですが繋がりませんでした。
　↓はその際記録されたエラーです。
　TCP_MISS/503 0 CONNECT rd.rakuten.co.jp:443 - FIRST_UP_PARENT/proxy.home.ne.jp -　）

で、Squidを再起動してhttp://www.rakuten.co.jp/ へログインしようとしたところ失敗しました。
TCP_MISS/503 0 CONNECT rd.rakuten.co.jp:443 - DIRECT/210.155.149.133 -

また、googleにも接続できなくなりました(　ﾟдﾟ)ﾎﾟｶｰﾝ
TCP_MISS/504 1387 GET http://www.google.com/intl/ja/ - NONE/- text/html

cache.logは何か言ってる?

cache.logは以下のようになっていました。

2004/07/14 22:46:29| Starting Squid Cache version 2.5.STABLE6 for i686-pc-linux-gnu...
2004/07/14 22:46:29| Process ID 3423
2004/07/14 22:46:29| With 1024 file descriptors available
2004/07/14 22:46:29| DNS Socket created at 0.0.0.0, port 32782, FD 4
2004/07/14 22:46:29| Adding nameserver *.*.*.* from /etc/resolv.conf
2004/07/14 22:46:29| User-Agent logging is disabled.
2004/07/14 22:46:29| Unlinkd pipe opened on FD 9
2004/07/14 22:46:29| Swap maxSize 102400 KB, estimated 7876 objects
2004/07/14 22:46:29| Target number of buckets: 393
2004/07/14 22:46:29| Using 8192 Store buckets
2004/07/14 22:46:29| Max Mem size: 8192 KB
2004/07/14 22:46:29| Max Swap size: 102400 KB
2004/07/14 22:46:29| Rebuilding storage in /usr/local/squid/var/cache (CLEAN)
2004/07/14 22:46:29| Using Least Load store dir selection
2004/07/14 22:46:29| Set Current Directory to /usr/local/squid/var/cache
2004/07/14 22:46:29| Loaded Icons.
2004/07/14 22:46:29| Accepting HTTP connections at 0.0.0.0, port 3128, FD 11.
2004/07/14 22:46:29| Accepting ICP messages at 0.0.0.0, port 3130, FD 12.
2004/07/14 22:46:29| WCCP Disabled.

2004/07/14 22:46:29| Ready to serve requests.
2004/07/14 22:46:29| Done reading /usr/local/squid/var/cache swaplog (1900 entries)
2004/07/14 22:46:29| Finished rebuilding storage from disk.
2004/07/14 22:46:29|　　1900 Entries scanned
2004/07/14 22:46:29|　　　　0 Invalid entries.
2004/07/14 22:46:29|　　　　0 With invalid flags.
2004/07/14 22:46:29|　　1900 Objects loaded.
2004/07/14 22:46:29|　　　　0 Objects expired.
2004/07/14 22:46:29|　　　　0 Objects cancelled.
2004/07/14 22:46:29|　　　　0 Duplicate URLs purged.
2004/07/14 22:46:29|　　　　0 Swapfile clashes avoided.
2004/07/14 22:46:29|　　Took 0.5 seconds (4139.3 objects/sec).
2004/07/14 22:46:29| Beginning Validation Procedure
2004/07/14 22:46:29|　　Completed Validation Procedure
2004/07/14 22:46:29|　　Validated 1900 Entries
2004/07/14 22:46:29|　　store_swap_size = 15816k
2004/07/14 22:46:30| storeLateRelease: released 0 objects

Squid2.5.stable1を利用してhotmailが取れない！
と思ってたら、www-auth...がenebleになってました。
解決解決！

わずか１行ですたｗ

>>569
>TCP_MISS/503 0 CONNECT rd.rakuten.co.jp:443 - DIRECT/210.155.149.133 -
https:// でのリクエストではないの?
楽天のapacheがエラー返してなかった?

>>574
>>CONNECT rd.rakuten.co.jp:443
https:// でつないだときのログは、まさにこれ。

>2004/07/14 22:46:29| DNS Socket created at 0.0.0.0, port 32782, FD 4
>2004/07/14 22:46:29| Adding nameserver *.*.*.* from /etc/resolv.conf
cache.logにDNSエラーが出てないみたいだから、まさかとは思うが…。
/etc/resolv.confにルータのアドレスぶっこむか、dns_nameserversに手動追加するかか？
いや、違うだろうなぁ。
cache_peer辺りがいらん事やってるのかも…、いや、違うかもなぁ。

squidをPROXYとして使ってる環境から電子入札行いたいんですが、
そのサイトの技術者に「LDAP通してください。」といわれました。
auth_param あたりの設定だと思うんですが情報ありませんか？

>>576
意味わかんねぇ。
プロクシはこっち側で認証サーバがあっち側？
ありえねぇ。

管理人ではなくて、ユーザーの立場での質問。

Squid/2.4.STABLE7が動いていると、
クライアントのWindowsで自動更新の通知の風船はでないの？

自動更新の通知とは、何の更新のことなのかと。

まぁ、Windows Updateだと想像して。
普通は出るはずだが、最近だとXP SP2のせいで、
管理側で自動更新を抑止してたりするので、そのせいかもしれない。

ｵﾏｲんとこのシステム管理者に尋ねるべし。

proxy環境下での自動更新

ﾊｧ？もう意味不明。

http://www.google.com/search?q=proxy%E7%92%B0%E5%A2%83%E4%B8%8B%E3%81%A7%E3%81%AE%E8%87%AA%E5%8B%95%E6%9B%B4%E6%96%B0+

ほれ。答えだよ。
http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/042proxy.html

>579 〜 >580　ありがとん
そのWindows Updateの風船のこと

>583　実際にやってみた。
答えじゃなかったらしい。変化なし。風船でないよ　ﾟ・（ﾉД`）・ﾟ・

squidで特定のディレクトリを別サーバーに割り当てるようなことは出来るのでしょうか？
http://xxx/yyy/ で /yyy を http://aaa.xxx/ 、その他は http://bbb.xxx/ としたいのですが。

今はApache/mod_proxy使って上記のようにしているのですが、squidの方が細かい制御できそうなので
できれば移行したいと考えています。

xxxサーバ触れないの？
そこのhttpdでmod_rewriteのほうが簡単そうなんだが。

>>585
redirectorでできるよ。
mod_rewriteよりも簡単。

>>586-587
言葉足らずで申し訳ないです。
http://xxx/ は透過型プロクシ専用でNIC2枚挿しで片方がグローバルIP、もう片方がローカルIPです。
http://aaa.xxx/ などのサブドメイン下はローカルIP割り振って外部からはアクセスできなかったりします。

redirectorってなに？

>>588
apacheのredirect。

「細かい制御」 → mod_rewrite。

今更ながら、squid-2.5.STABLE7age

wwwoffle では書けるのに、 squid では 2ch に書き込めない…
「書き込めました」って出ても画面切り替わらないんだよ…なんで？
過去に同じような質問してる人がいたけど、解決したのかな？

>>592
Proxy規制でしょ？
●を買うか、Proxyであることがばれるようなヘッダを出さないようにしろ

>>593 え〜 PROXY 規制って、 PROXY からは書き込めません、
ってメッセージが出るんじゃないのか…
あと、ポート遮断してたらいいとかじゃなかったのか…

もしかしてXヘッダーそのままじゃねぇか？

Squid は何で以下のサイトに接続できないか説明しなさい。
http://canon.jp/
http://srchnavi.nifty.com/
http://www.semic.sanyo.co.jp/

596がアフォだからじゃないの？

1098935280.508 575 192.168.1.1 TCP_MISS/200 30128 GET http://canon.jp/ - DIRECT/150.61.25.244 text/html
1098935297.259 404 192.168.1.1 TCP_MISS/200 519 GET http://srchnavi.nifty.com/ - DIRECT/211.125.48.7 text/html
1098935307.769 342 192.168.1.1 TCP_MISS/200 12486 GET http://www.semic.sanyo.co.jp/ - DIRECT/134.180.185.132 text/html

>>596
バージョンもconfもNW環境も分からんまま検証できない。
だから貴女が設定したsquidでは繋がらないんですよ、女王様。

まぁPath MTU Discovery Blackholeとかか？

Squid が原因じゃないっぽでした。

Squid(2.5.STABLE6) on Debian はNGで
Squid(2.5.STABLE7) on FreeBSD はOKでした。

ついでに、Lynx on Debian もNGでした。

Squid を疑ってごめんなさい。
以前は Squid on FreeBSD もNGだった気がしたので・・・

原因は Linux Kernel でした。

# echo -n 0 > /proc/sys/net/ipv4/tcp_ecn
したら、見られました。

Webブラウザ <-- digest 認証 over SSL --> squid <-- http --> 外界
って今の squid でできる？

あ、digest 認証はプロクシの認証です。

今の2chの串規制も設定次第で突破可能なの？

>>604
もちろんです。私はここ5年くらいsquidでtransparent proxyにしています。

>>605
ここの内容実行するだけでいけますか？

squid による透過型プロキシ
http://www.linux.or.jp/JF/JFdocs/TransparentProxy.html

>>606
それ以外に HTTP のヘッダ関係もいじらないとダメだと思います。
header_access で必要なヘッダだけ通すようにする。
forwarded_for off も要るかな。

storeRebuildの起きる条件って何でしょう？
前置きなしに著しい速度低下＋HDDアクセス全開にされるので少々困っております

squid.confでキャッシュをしない設定をしたのですが、
本当にキャッシュされてないかを確認する良い方法は無いでしょうか？

>>609
キャッシュディレクトリを見てみる。

>>609
access.log

今、サーバ上でIPエイリアスを利用してまして、

eth0: xxxx.xxxx.xxxx.xxxx
eth0:0: xxxx.xxxx.xxxx.yyyy

として運用しているのですが、
Squidを「eth0:0」で運用しているように見せる（閲覧目的のサイトの
WEBサーバログにはxxxx.xxxx.xxxx.yyyyからアクセスが来た旨の
ログが残る）にはどのようにしたら良いでしょうか？
余談かもしれませんが、eth0の方ではApache等のサービスを立ち上げてます。

squid.conf を眺めてみたことはあるか？
親切なことに acl による制御まで可能なようだが。

>>614
眺めてみましたが、分かりません。。
引っかかったのは1300行目辺りの以下の部分でしたが、よく分からず。。

acl aclname myip ip-address/netmask ... (local socket IP address)

ちなみにバージョンはsquid-2.4.STABLE7-4です。

>>614→>>613の間違いでした。
/etc/squid/squid.conf で
tcp_outgoing_address xxxx.xxxx.xxxx.yyyy
と設定することで無事解決しました。
ありがとうございましたmm

>>604でも話題になってますが、2chでの串規制に係る
設定項目って詳しくは何になるのでしょうか？

ちったぁ、自分で考えてみろや。

>>617
氏ね

squid+ipnatの構成で、httpだけでなくhttpsでも
透過型プロクシは設定できますか？

>>616=>>618

どうしようもないｳﾞｧｶ？

>>619
https をプロクシ通すことに何か意味はありますか？

>>621
盗聴かなぁ

暗号化されるから盗聴は無理だろ。
proxyがなりすましするなら別だが。

>>623
どうやって成りすますんだ？

man-in-the-middle

>>624
これとかやってるね。
ttp://www.webwasher.jp/pro_sslscanner.html

そのつど証明書を生成するのかな。

特定のURLには親のプロキシも子のプロキシも経由させないというようなことは
出来ますか？設定を触れるのは子のプロキシだけですが…。

自分を経由させないようになんて設定を自分で設定できるはずないので、
そういうのは squid.conf ではなく proxy.pac で設定する。

そうですか。参考になりました。有り難う御座いました。
pacについてちょっと調べてみます。

bannerfilterを入れてみた。
ttp://www.phroggy.com/bannerfilter/
が、あんまし効かねーなぁ。。。

パスワードで制限されたページのキャッシュって、別のユーザも使いまわせるの？

たとえば、www.ero.com があって、user1 がそこにアクセスしました。user2 が来ました。
そのとき、user1 のアクセスのときにsquidが取得したキャッシュを使って、
user2 のアクセスは高速化されるのかな。
なお、当然、user1 と user2 のID/PASSはまったく違うものです。

squid-2.5.STABLE8 まであと少し、、
http://www.squid-cache.org/Versions/v2/2.5/

3.0はいつになったら出るんだ？
http://www.squid-cache.org/Versions/v3/3.0/

>>631
Squidが何をキャッシュしているのか調べれば分かるんじゃないでしょうか？

>>631
その気になるサイトの「パスワード」の仕組も考えてみれ。

http://www.google.com/search?q=cache%3Ahttp%3A%2F%2Fwww.ugtop.com%2Fspill.shtml
こんなの？

キャッシュのディレクトリ数ってどのくらいにしてますか？
どうやって決めればいいのかいまいちわかりません

あとキャッシュディレクトリのサイズを増やす時って
消さずに再構築してはいけないんですかね

squid.confデフォルト

>>636
ヤリイカ本に書いてあったような。

ヤリイカ本って？

設定でログローテの際のファイル名を変えられるようにならないかね
access.log.225　とかだと拡張子が使えないからPCから何かするとき不便なんだよね
access225.log　ってできると便利なんだけど

>>640
-k rotateするときに、リネームするだけでは？

毎回パッチ当てるの面倒だから、2系でもCustomLog取り込んで欲しい。

squid-2.5.STABLE8 が出たので上げておく
ttp://www.squid-cache.org/Versions/v2/2.5/

squid-2.5.STABLE7使ってます。
ヒット率はとりあえず置いておいて、パフォーマンス重視の設定ってどのようにすればいいでしょうか？

今のところ
cache_mem 16 MBとしてみました。

クライアントは10台程度で、1日に500MBも行かない程度のトラフィックです。
回線はスループット1.5Mbpsで遅めです。

パフォーマンス重視なら
cache_dir null /dev/null
memory_pools off

>>639
http://www.catnet.ne.jp/t-press/squid2.html

オライリーはまだか?!

>>645
表紙イカじゃないじゃん。

>646
英和辞書 squid

>>647
ヤリイカ/対潜水艦砲

>>645
そりゃ、オライリーじゃないから当然。
ttp://www.oreilly.com/catalog/squid/

>>646
http://www.squid-cache.org/

squid-2.5.STABLE9 が出たので上げておく
ttp://www.squid-cache.org/Versions/v2/2.5/

>>651
本当だ、入れ直すか・・・8にアップデートして動き変だったし。
acl の動作も変だから設定見直そう・・・眠い。

アップデート完了。
普通に動いている、aclは気が向いた直そう・・・寝よっと。

squid のアップデートって怖いんだよなぁ…

>>654
怖いですね。
滅多に止められないし、起動/再起動は時間がかかる。
まずかったら戻さなきゃいけなくて、また時間がかかる。
アナウンスしてあるのに、止めたらクレーム来るし。

設定ファイルとか微妙に変わってる事が多いから、いつも見直ししてる。
aclはもう変えたくない。

漏れは必ず２台並列に設置して、DNSにAレコードを２つ登録して、
ラウンドロビンさせてる。（CNAMEではダメ）

気が向いたときにメンテできる。が、滅多にやらない。

>>656
DNS ラウンドロビンだと意味ないんでは。

>>656
DNSのラウンドロビンじゃ、squid止められないですね。
複数台のマシンがあっても、ロードバランサーとかがないとだめじゃん。
あとは、メンテ中はクライアント側のproxy設定を一時的に変更してもらうとか。ダサダサだけど。

proxy IN A 192.168.0.1
proxy IN A 192.168.0.2
みたいに書いておけば今時のクライアントのレゾルバーは２つアドレスを
記憶してくれるみたいだから、Webブラウザアクセスくらいなら
一瞬「あれ？！」ってなるかもしれないけどクレームは出たことないよ。
もちろん時間あればDNS書替えてTTL待ったほうが良いけどね。

普通にpoundとかリバースプロクシかませたほうがいいんじゃねぇか。

おれはあらかじめproxyサーバだけTTLを300秒にしてある

質問です。(無意味と怒らないでください)

同一鯖(PC)上で(透過型の)多段プロキシの設定って可能なんでしょうか？

　WAN -- [ eth0 (proxy1 --> proxy2) eth1] -- LAN

cache_peer を使うような所までは理解できるのですが、大概は別のPCに向けて
多段プロキシを行うようなのですが…

>>662
別箇に squid 動かせばできるんじゃないの
でもなんでそんなことをしたいのさ？

F/Wが特殊でSquidでは通過できず、
WAN --F/W-- delegate -- squid -- LAN
ていうのは昔やってたことある。

>>661
それはウンコ解決法ですね。漏れの会社だとクビでし。

>>662 です。

URLフィルタリングをしたかったのですが、今会社で使っているFWには、
そういった機能がないのです。ただ親プロキシに対して多段プロキシ的な
設定はできるようなので同一マシンにsquidを入れて多段プロキシが構築
できないかな…と言う次第。

クライアントPC側で squid のポートを指定させることで動作確認はできた
のですが、透過型としてやりたいのですね。各人に設定させるのは徹底も
含めて管理が面倒なので (^^;

ポート番号を変えることで、localhost(or 127.0.0.1)自身が親であり子
でもある多段プロキシ…　無理なのかしら･･･

squidGuardでURLフィルターしたら

>>662　です。

squidGuad …　知りませんでした (^^; 　調べてみます　Thanks! >>667

>>665
ロードバランサーなどの箱ものを買う以外で
ユーザに意識せず複数台のproxy cacheを
アクティブ・スタンバイ入れ替えする手法を示してくれ。
貶すだけなら誰でもできる。

>>669
要件がそれだけなら
IP アドレス付け変えればいいじゃん。

>669
proxy.pacでPROXY行に複数のsquidホストを(r

>>666
違うconfでプロセスを二つ動かせば?
~/sbin/squid -f ~/etc/squid.conf.A &
~/sbin/squid -f ~/etc/squid.conf.B &

(両方)http_port変更
(片方)cache_peer変更(もう片方を指定)

>>669
アンタ職業は何？ もし今のが本職なら悪いことは言わない
周りの皆に迷惑だから自殺するか辞めてください。
いや、ほんとに。

ロードバランサーが壊れたら．．．
とか考え出すと際限ないから、低コストな方法を知りたい

>>662 です。

>>667 氏 　>>672 氏 　ﾚｽThanks.です。

squidGurad のｲﾝｽﾄｰﾙ情報を多数探して、いざｲﾝｽﾄｰﾙすると、make 時にエラーとなり
八方手を尽くしたけど、ｲﾝｽﾄｰﾙできず (^^;

その後、dansguardian なるものを見つけ、数少ない情報を頼りにこちらは比較的簡単
にｲﾝｽﾄｰﾙして動作確認できました。…が、如何せん日本語の情報がないので不安なのと、
ﾌｨﾙﾀの継続利用は有償となるので、あきらめました。

その後、なんとか元の方法をあれこれ設定変更して試してみたところ、squid を多重に
動かす事なく、目的の動作をさせることができました。(今のところ問題なし）

FedraCore 2 使用。
同一PC(127.0.0.1 and 192.168.xxx.xxx)で FW(8080) と Squid(3128)を稼働。

cache_peer 127.0.0.1 parent 3128 3130 default no-query no-digest no-delay
cache_peer 127.0.0.1 sibling 8080 0

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

※ FW自身が透過型となっているので、Squidは透過型の設定はしてません。

問題が起こるか否かは不明ですがご報告まで。

Squid自身でURLフィルタリングは出来ると思うのですが…。
squid.confのaclはこんな↓感じ。

acl mynet src 192.168.0.0/24
acl whitelist url_regex -i "/usr/local/squid/etc/whitelist.txt"
acl blacklist url_regex -i "/usr/local/squid/etc/blacklist.txt"
http_access allow whitelist
http_access deny blacklist
http_access allow mynet

http_accessの順番がミソ。
blacklistとwhitelistの中身は、正規表現で記述。
でも、面倒なので、オイラは
^http://www.ahoahoman.com/
^http://www.mrbater.com/
:
:
ってな感じに記述してるけど。

>>662 です。

>>676 氏
>acl whitelist url_regex -i "/usr/local/squid/etc/whitelist.txt"
>acl blacklist url_regex -i "/usr/local/squid/etc/blacklist.txt"

現在私も同様な前述の通り squidGuard がエラーとなりインストールできない
状況なので、Squid 自身の URLフィルタリングを >>676 氏のような設定で行
ってます。

このファイルにサイトを列挙した場合、何サイトくらいまで登録できるのでしょうかねぇ？
あるサイトから６ＭＢ（約３５万サイト）のファイルを落としてきたのですが、そのファイル
を利用したらエラーになっちゃいました (^^;

>現在私も同様な前述の通り squidGuard がエラーとなりインストールできない
>状況なので、Squid 自身の URLフィルタリングを >>676 氏のような設定で行
>ってます。

なんか変な文章になっていたので、訂正です (^^;

現在の私は、前述の通り squidGuard がエラーとなりインストールできない状況
なので、Squid 自身の URLフィルタリングを >>676 氏のような設定で行ってます。

追記：
約1.8MB（10万サイト）に削ってみましたが、エラーになりました。

>>677
access.logとcache.log見て落ち着け。

>>676-677

>acl whitelist url_regex -i "/usr/local/squid/etc/whitelist.txt"
>acl blacklist url_regex -i "/usr/local/squid/etc/blacklist.txt"

…にならって、日本語(２バイト)のブラックリストファイルをつくって
みましたが、環境(ブラウザやＰＣ)によって、制限がかかる場合とかか
らない場合があります。

漢字コードの関係なのかと思い、エディタで保存する際、漢字コードを
変更してみながらアップしてみましたが、うまくいきません。

どのようにすれば、日本語の正規表現(語句やＵＲＬ)によるアクセス制
限を設定することができるのでしょうか？
１バイトでは、問題なくアクセス制限は実行されました。

>>680
もっと具体的に

squid のパッチで、squid-2.5.STABLE9-setcookie.patchが出ているんだけど
説明に「サーバ側が時代遅れの Netscape Set-Cookie 仕様に基づく挙動を示す場合に」とある。
これって、http://www.faqs.org/rfcs/rfc2965.htmlのRFCのSetCookieでない場合ってことか？

つまり、Set-Cookie2:ヘッダでない、Set-Cookie:のときに起こるって
ことなのか。
試してみた人いない？

言葉足らずでスミマセン。

少し状況がつかめた(気がする)ので、経過報告です。

サイト側のテキストのエンコードによって、動作がかわりました。
検索エンジンなどで、不適切な用語を検索してみた結果です。
ｂｉｇｌｏｂｅ／ｉｎｆｏｓｅｅｋ／ｇｏｏ／ヤフー（ＥＵＣ）、
ａｌｔａｖｉｓｔａ／ｇｏｏｇｌｅ（ＵＴＦ８）、
ｆｒｅｓｈＥＹＥ／ＭＳＮ／ｅｘｃｉｔｅ（シフトＪＩＳ）

　ＥＵＣ　　　　→　○（ブロックできた）
　シフトＪＩＳ　→　×（ブロックできない）
　ＵＴＦ８　　　→　×（　〃　）

(不適切な)１バイトの文字列を検索する場合は、いずれも　○　でした。

>>680 にあるように、squid の blacklist.txt をそれぞれ、euc_blacklist.txt, sjis_blacklist.txt など
として、同一内容のリストを各エンコードで保存した物を設置しました。
それとも、blacklistのファイルが正しく設置できていないと言うことでしょうか？

>>662　です。

性懲りもなく (^^; 　再度、squidGuard のインストールにチャレンジしました…が、
何度やっても下記のようなエラーで　make　できません。
　参考サイト： ttp://www.stackasterisk.jp/tech/systemConstruction/squidGuard01_02.jsp

sgDb.c: 関数 `sgDbInit' 内:
sgDb.c:101: 警告: 互換性のないポインタ型からの引数 2 個の関数ポインタを渡しますです
sgDb.c:101: 警告: 引数 4 個の関数ポインタを渡しますにより、キャストなしで整数からポインタを作りました
sgDb.c:101: error: too few arguments to function
sgDb.c:107: 警告: 互換性のないポインタ型からの引数 2 個の関数ポインタを渡しますです
sgDb.c:107: 警告: 引数 4 個の関数ポインタを渡しますにより、キャストなしで整数からポインタを作りました
sgDb.c:107: error: too few arguments to function
make[1]: *** [sgDb.o] エラー 1
make[1]: Leaving directory `/usr/local/src/squidGuard-1.2.0/src'

他のサイトも参考にしながらインストールしてはみましたが、同じ所でつまずいてしまいます。
一体何がダメなんでしょうか…　お判りになる方がいらしたら是非教えてください。

因みに環境は　FedraCore 2 です。

>>682
squid-2.5.STABLE9 Patch 4個適用した
何もテストしていないけど動作している模様、眠たい

>>684
squidGuard　か〜どうしようかな、丁度Fedora Core2動いているけど・・・・寝る

>>684

ここのpatchでFedraCore 2上でmake出来るようになったような覚えが...

http://mirror.hamakor.org.il/pub/mirrors/gentoo-portage/www-proxy/squidguard/files/

なぁ，ソースいじらないと2chに書き込めない問題（？）はどうなったの？

>>687
何それ？

未だに sleezeball 使ってる

>>687
そのような問題は最初からありませぬw

>>686 氏　Thanks です。

せっかく教えて頂いたのですが、私の理解を超えているので、何をどうしたら
良いのか…　精進して参ります。

５１２ＭＢ・セレロン１ＧＨｚ程度のスペックを持つＰＣでプロキシ環境を整え
ている最中ですが、squid.conf の設定内容のうち、キャッシュを優先する場合、
どの辺の項目をどのような感じで調整するのが手順としては良いのでしょうか？

プロキシを利用するＰＣやLAN環境によるので一概に言えない部分もあるかと
思いますが、何かヒントを教えていただけると助かります。

「キャッシュを優先する場合」とは？

FOXじゃねーよなｗ

no_cacheやらじゃない?

もっとキャッシュして欲しそうなのにno_cache教えてどうするよw
今も昔もSquidスレは厨ばっかだな。

普通にメモリ割り当てを増やすだけじゃだめなのか

キャッシュを優先するとはどういうこと？

なぁなぁ>>698にマジで聞きたいんだけど、馬鹿じゃないの？

>>697
「だめ」とは?

>>699
わからないんだけど？

駄目なのは>>700-701の脳

>>702は日本語が正しく理解できない馬鹿

>>697
だめってのはなんだよ、だめってのはw

http://squid.robata.org/squid2.0-conf.html

このスレって本当に馬鹿しか居ないんだな

自分が馬鹿であることを堂々とひけらかす>>706にこそ幸いあれ!

>>696
allowにするんだよ。

>>696一連age

DELLのjapanstoreにアクセスできるようにしてみる
acl delljpstore dstdomain jpstore.dell.com
header_access User-Agent deny delljpstore
header_replace User-Agent MSIE

>>710
dell 最低だな……。

>>710
dellはMSIEの使い

>>710
それでアクセスできている？
header_access で deny すると header_replace は replace する
対象がないので効かないと思うけど。

>>713
# TAG: header_replace
# Usage: header_replace header_name message
# Example: header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)
#
# This option allows you to change the contents of headers
# denied with header_access above, by replacing them with
# some fixed string. This replaces the old fake_user_agent
# option.

SquidNT使ってます。ずっとSTABLE7を使っていたんですが、
つい昨日9が出てることに気づきインスツールしたんですが、
キャッシュが化けたりするようになった・・・。
みなさんはSTABLE9使った感じどうでしょうか？

squidをリバースプロキシとして使っているときに、
サーバ側の並列度を制限する方法ってある?
本家ドキュメントを探したけどなかった。

クライアント <-(コネクション多)-> Squid <-(コネクション小)-> Apache(mod_perl重いアプリ)

アクセス多数の時もコネクションを受け付けたいのです(待たせても良いので)。

>>716
> サーバ側の並列度を制限する方法ってある?

> アクセス多数の時もコネクションを受け付けたいのです(待たせても良いので)。

↑矛盾してない？　並列度制限したらコネクション受け付けなくなるよ。

acl aclname maxconn number 制限すると、許容値超えた時点で
squidからaccess deniedが返るだけだ。

こういうのは、Packet Shaper入れるとか、Linuxでするなら
iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 100 -j
とか、
NetBSD/FreeBSDのipfilterでするなら
pass in quick proto tcp from any to x.x.x.x port = 80 keep limit 100
みたいにカーネルに近いところでやらないと難しいんじゃないの？

>>717
すまん、書き方が曖昧だった。

Squidはたくさんコネクションを受け付けるが、
バックのApacheには少量(20くらい)のコネクションに制限する、
ということがしたいのです。

>>718
サービスするコンテンツの種類にもよると思うんだが、
キャッシュの効く静的なコンテンツ主体なら、
>>717みたいにiptables / ipfilterで接続制限しておいて
それを超えるコネクションはsquidのキャッシュに任せる
っていうのはどうかしらね？

動的コンテンツ主体なら、静的で済む内容と動的な内容のサーバ
分離、動的コンテンツに対する箱物ロードバランサーの導入と
webapp側のcookieやREMOTE_HOST等による負荷分散手法の検討かな!？
つまり、キャッシュが効かないようならsquidだけじゃ無理と思う。

やっぱSquid側の設定じゃできないのか。

Squidで制限するのでなければ、iptables使わなくても
Apacheのmaxclientで制限すれば良いよね。

アクセスが多くてApacheの制限を越えた場合、
Squidがクライアント側のコネクションは受け付けたまま
Squid <-> Apache 間は Apache側が空くまでSquidが待つ、
という動作を期待してます。実験してみるか。

その辺のセション管理は何でやるお？

ググった結果だけをキャッシュしてくれて
自分だけのグーグルをローカルに置きたいんだけど
squidでそれができますか？

2.5.STABLE10 がリリースされました。

2.5.STABLE10 って何か変化あった？

STABLE9からのChangesで
Security changes　　 　1個
Minor Security changes 2個
Minor changes 　 　 18個
表示出力文字などの　Cosmetic Changes 17個

Securityは
- [Security] Internal DNS client hardened against spoofing
Minor Securityは
- [Minor Security] Fix race condition in relation to old Netscape
- [Minor Security] Fix for CVE-1999-0710: cachemgr malicouse use.

おいら的には
- [Minor] dstdomain/dstdom_regex acls now allow matching of numeric
hostnames in addition to the reverse lookup of the domain name.
が使えるようになったので、[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*なdstdomainなら
低速回線上のparent squidに隔離みたいなことが出来そうでワクワク

>>726
やりたい事はわかるが、メリットはなんなの？
負荷分散？

独善的に帯域を消費しまくる学生共のガス抜き穴

>>728
なるほど。w

>>726
>低速回線上のparent squidに隔離
delay_access使って頭打ちにするのはNG?

2.5.STABLE10って　前に比べてかなり変わってしまって
インストがよくわかりません
Squidconfもどこにあるのやら・・

>>731
prefix使えば?

>>730
> >低速回線上のparent squidに隔離
> delay_access使って頭打ちにするのはNG?

delay_poolsのことならもう既に導入してるけど、
それでもガス抜きに必要な帯域を値段の高い回線で使われる
のは癪にさわるので、安いDSL回線も予備用に契約してるわけだし、
そちらに流してしまえということなのです。

>>733
そうか、むやみにサービス改悪っつうわけにもいかんもんなぁ…。

>>731
「前と」っていったいいつのバージョンと比べてるんだ？

Stable9です
中身かなり変わってません？
使っているのはSquidNTです

>>734
従量課金だったら、金使う事に変わりないし。

パケット従量課金だった場合に、速度制限があれば
単位時間内でダウンロードできる総量を抑えられる
ので、結果、1ヶ月の使用量が抑えられて、上司に
こんなに安くなりましたウマーって報告。

>>731
http://www.acmeconsulting.it/pagine/opensource/squid/squidnt25.htm
>Extract the binary archive in the desired directory (default c:\squid)
これ違うの?

ちょっと質問です。Firefoxで直でネットに繋がってるときはタイムアウト等でjpg等画像が途中まで
しか表示されなかったとき、URLバーでEnter押すとその表示されてる途中からレジュームして
ダウンロードされるのですが、squid経由じゃ画像のレジュームがされません。
squidのどこの設定が関係してるのでしょうか？ちなみにバージョンはsquid-2.5.STABLE9です。

>>740
wgetでRangeを指定した場合はちゃんと認識してくれるので
おそらくFirefoxの問題じゃないかな
proxy経由でアクセスさせた場合はRangeを指定しないみたいだ

でもWindowsのweb ProxyソフトBlack Jumbo Dogだと直繋ぎと同じように
途中からレジュームして画像を表示してくれんですよね・・・

（　ﾟдﾟ）ﾎﾟｶｰﾝ

(´･ω･｀)ｼｮﾎﾞｰﾝ

ググっても欲しい情報が見つからなかったので、質問です。

squid の アクセス制御で、２バイト（日本語：漢字仮名交じり）の
語句に対してアクセス制限を機能させるにはどのようにしたら良い
でしょうか？

アクセス制御のリストをＥＵＣコードで作成して２バイト対応を図
りましたが、検索サイト（グーグルやグー、ヤフー、ＭＳＮなど）
によって取り扱う文字コードが異なる様で、意図した制御が行えま
せん。（１バイトの文字列はサイト共通で制御効果が働きます）

ところが…
グーやヤフーで２バイトの制限ができた…かのように思っておりま
したが、リスト化していない語句でも制限のエラー表示となり、
任意の２バイト文字では制限できないようです。（ホワイトリスト
を作れば、その語句のみ検索できましたが… (^^; ）

また…
アクセス制御のリストを文字コード別に用意すれば大丈夫かな？
とも思って以前試しましたが、それはダメでした。

squid 自身では限界なのでしょうか？（連携するツール必須？）

>>745

EUCでリスト作成した理由が図りかねるのだけれど、
それはまぁおいといて

2バイト文字でやったことはないのだが、
squidがRFC1738に則ってurl encodingしてくれると
期待して、SJIS文字列をencodingしたリストを作って
squid guardでアクセス蹴るっていうのはどうだろう？

Squid経由だと、ITmediaのサイト（ttp://www.itmedia.co.jp/）の表示がすごく遅いです。
（2.5.STABLE6〜2.5.STABLE10で確認しました）
な〜ぜ〜！？
皆さんはどうですか？

経由しなくても遅くね?

>>747
tcpdumpよろしく

>>747
別に遅くないが？
header_replaceで変な事やってないか？
それともIPv6がまた１人不幸にしたのか？

>>750
それともIPv6がまた１人不幸にしたのか？

どういう意味？

squidでキャッシュする必要はないのですがACLだけ利用したいって場合
squid.confをどの様に設定したら良いのですか？

denyリストだけの制御を実現したいです。

宜しくお願いします。

すべてにマッチする acl を no_cache に指定。

>>752
cache_dir をnullに指定。

>>753-754
ありがとうございます。
squidの再起動を忘れて・・・1時間ハマりました。。orz
！なるほどnullって手もありますね。

皆さんはdenyリストを何処で入手されてます？

http://members.lycos.co.uk/njadmin/
http://www.squidguard.org/download/
でリストを入手したのですが古いのかヒットしてくれないです。

>>755
ttp://urlblacklist.com/
ttp://dansguardian.org/
ttp://lips.is.kochi-u.ac.jp/Kochi-INET/Access-Restrict-List/
ttp://avs-gw.jp/contentsfilter.html

>>756
きょえぇ〜ありがとうございます！！

>>754
それだとメモリキャッシュは効いてしまうのでやはり正解は>>753。

>>756 つづき（国別ＩＰリスト）
ttp://www.blackholes.us/

>>759
ありがとうございます！！
このリストはsquidGuardでも利用可能ですか？

　http://www.squidguard.org/download/
のリストを直でsquid.confに入れてdenyした場合は流石にマッチングだけで
ディスクが飛びそうなぐらいゴリゴリ言い出したのでsquidGuardを
導入しましたが
　http://urlblacklist.com/
に変えて全てのリストを入れたらsquidGuardがマッチングだけで
アップアップで状態ですが・・・皆さんはどの様な構成にされてます？

一番単純なsquid+squidGuardの構成で使用してます。


>>758
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl clients src 192.168.1.0/255.255.255.0

no_cache deny clients <<これ
http_access allow manager localhost
http_access deny manager

maximum_object_size 1 Bytes <<気持ち入れてみました･･･

順番間違えると何だか機能してない感じでだったので
一番先にdenyにしてみました。

>>760
>ありがとうございます！！
>このリストはsquidGuardでも利用可能ですか？

そのまま使うのは無理(だと思う)。自分なりにテキスト整形して
使用するのが吉。

まぁ、squid と言うよりは、iptables での制御向けだけどね(多分)

squidのaclよりiptableでアクセスコントロールするべきじゃないの？

>>761-762
ありがとうございます。
iptable　φ(..)メモメモ

ぶっちゃけ言いますと、私はネットワークの管理者をやっておりまして
基本的に固定マシンはない会社なので基本ACLでコンテンツフィルターで
見れないようにして自分の座るマシンだけは常にACLを外したい・・・
と思いまして。。。

iptableってそこまでダイナミックな変更って出来ましたっけ？？
何かiptableは一回設定すると触らないイメージがあったので。。。

ACLをかけるマシンのIPリスト（その逆でも良い）を参照する感じで
iptableって設定可能ですか？
（スレ違いすみませんorz）

チョイと勉強いたします。

>>763

上辺の知識しかないから (私の)墓穴掘る前に… (^^;

iptables についてはこっちが良いね…
ttp://pc8.2ch.net/test/read.cgi/linux/1079277604/l50

>>764
�dです。

>>765
>?です。
↑
文字化けしてて意味わからんとです。
因みに私の環境下では「ﾄﾝ」（１文字の単位記号）になります。

>>760
>リストを直でsquid.confに入れてdeny
acl <名> dst "ファイル名"
とか?

>>766
確かに機種依存文字でした。

>>767
リストが多いとマッチングだけでsquidがアップアップになってしまいました。
それで、squidGuardを入れたのですがやはりリストが多いと駄目でした。

ハッシュでdbで処理するとかじゃないとスケールはしないだろうな

>>768
>リストが多いとマッチングだけでsquidがアップアップになってしまいました。
>それで、squidGuardを入れたのですがやはりリストが多いと駄目でした。

つー事で、>>761-762 になっちゃうんだよね。結局。

>>767氏は、参考までに squid.conf で記述したら…との解説だね。

>>768
InterScan WebManager for squid突っ込んだら幸せになれそうだが、
ライセンス料で不幸せになれそう。

格安コンテンツフィルタなら、バッファローのルータ(オプション)だな。価格面でこれに勝る物なし？

ttp://buffalo.melcoinc.co.jp/products/catalog/network/contentsfilter/

脱線してきたな (^^; 　ｽﾏｿ。

(^^;←これひさしぶりみみたｗｗｗｗｗｗ

squidを使って大阪弁変換フィルターみたいのは作れますか？
今はdelegateで作ってるんですけど、squidでもできたらｲｲﾅｧなんて思ってます。

>>774
可能とだけ書いておこう。

>>775
ヒント下さい・・・

じゃ不可能

>>777
切り番オメ

Squidで、htmlファイルをキャッシュの対象外にすることは可能でしょうか。
画像ファイルさえキャッシュできれば十分なので。

>>779　できる。

no cache で対象に汁。

squid-2.5.10+webalizer-2.01-10を使ってます。

ローカルのIPアドレス(DHCPで割り当て)の
逆引きでNetBIOS名にしたいのだけど・・・・

nmblookup -A xxx.xxx.xxx.xxx を webalizerに組み込むことってできない？

>>780さん
レスサンクス

acl HTML url_regex .html$
no_cache deny HTML

を追加すればいいんですね

>>782
content-type で指定できんの？

.html?$

acl html rep_mime_type text/html

acl htmlはくんな！

インストールして起動して使おうと思ったのですが
The requested URL could not be retrieved
といわれます、
これはなにがわるいのでしょうか？

>>787
リゾルバとか・・・

>>787
DNS参照ができませぬ。
起動時にそれをしない事もできるけろ、
DNS使えないとSquidも意味が無いの。
残念〜〜〜〜

すいませんどういういみでしょうか？
/etc/resolv.confに何か設定するのでしょうか？
今はネームサーバーしか登録していません

基本的な設定はしましたか？

基本的な設定というのは、どのような設定でしょうか？
私がやった設定は、設定の紹介をしているサイトを見ながらsquid.confに
http_port 8080
icp_port 3130
cache_mem 16 MB
hierarchy_stoplist cgi ?
cache_dir ufs /var/squid/cache 1500 16 256
acl localnet src 192.168.0.0/255.255.255.0
http_access allow localnet
forwarded_for OFF
cache_effective_user nobody
cache_effective_group nogroup
を付け足したくらいです
他にも行う設定があるのでしょうか？

先は長いな

すいません
もしよろしければ、他に行う設定を教えていただけ無いでしょうか？

URLが存在しないとか・・・

質問です。

Squid 使って Winny とかの通信ブロック(LAN<-->WAN)する事できますか？

>>796
無理

つーかwinnyは相手先が不特定ポートだから、特定ポートだけ開けておくポリシーなら
内→外は防げる。逆は知らん。

そもそも Squid 通んないじゃん。

>>797-799　Thanks.

こういった場合は、ルータ(Linuxルータ含む)のポート開放の設定で行う…と言う事ですね。
内→外、外→内　ともに特定ポートのみ開けて…　と言う事すれば、防げる…と言う事には
ならないんですかね。 (*_*)? 　

例えば(25/80/110/443ポートだけ開放)しておけば、Winny 対策は万全 って事ですか？

ｽﾚ違いの質問になってきてすみません　m(_ _)m

実はSoftEtherという恐ろしいソフトがあって、

>>800
それだとPort0のWinnyは防げないんじゃないかな？

よそでやれ。

SoftEther・・・
(((( ;゜Д゜)))ガクガクブルブル

acl all src 0.0.0.0/0.0.0.0
のようにACLで全ての接続を通すようなエイリアスはどのように設定するのでしょうか？
acl all src 0.0.0.0/0.0.0.0
でいいのでしょうか？

ちなみに、上記だと
2005/08/11 22:44:25| WARNING: '0.0.0.0/0.0.0.0' is a subnetwork of '0.0.0.0/0.0.0.0'
2005/08/11 22:44:25| WARNING: because of this '0.0.0.0/0.0.0.0' is ignored to keep splay tree searching predictable
2005/08/11 22:44:25| WARNING: You should probably remove '0.0.0.0/0.0.0.0' from the ACL named 'all'
といわれます

どう設定しても
ERROR

The requested URL could not be retrieved

qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq (B

While trying to retrieve the URL: http://www.google.co.jp/

The following error was encountered:

* Access Denied.

Access control configuration prevents your request from being allowed at this time. Please contact your service provider
if you feel this is incorrect.

Your cache administrator is webmaster.

qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq (B

Generated Fri, 12 Aug 2005 00:27:49 GMT by loses.org (squid/2.5.STABLE10)

))

と言われるのですが、これはどう対処すればいいのでしょうか？
* Access Denied.
と言うことなので、accessが制限されているということでしょうか？
すいませんが、自分をどのように許可したらいいのか分からないので
全て許可にしたいのですがその方法を教えて頂けると助かります

>>807
仕事で必要ならコンサルタントを雇うべきです。

いや、自分のマシンに入れようと思ってます

> 全て許可にしたいのですが
まず自分の使っているIPアドレスを晒せ。
そしてLANのプライベートIPも。

ああ210.166.211.139か。
どういう所に入れてどこからアクセスしたいんだ？

>>811
どういうことでしょうか？
自分がしたいことは、ノートPCに入れて
ノートPCからは常にsquidを経由してアクセスし
どこかに出かけたときなども、今までにおとずれたサイトを
見ることができるようにしたいのです

squid.confに
acl localhost src 127.0.0.1/255.255.255.255
http_access allow manager localhost
という行ｶ゛有るのか無いのか？

cache.logに何が出ているのか？

acl localhost src 127.0.0.1/255.255.255.255
http_access allow manager localhost
の記述は無かったので書いてみると
2005/08/12 01:56:03| WARNING: '127.0.0.1' is a subnetwork of '127.0.0.1'
2005/08/12 01:56:03| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2005/08/12 01:56:03| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
となりました

cache.logには
アクセスした際には何も出力されません

起動した際に出力されたものに
2005/08/12 01:58:18| Accepting HTTP connections at 0.0.0.0, port 8080, FD 12.
2005/08/12 01:58:18| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2005/08/12 01:58:18| Accepting SNMP messages on port 3401, FD 14.
というのがあるのですが、0.0.0.0は通常なのでしょうか？

http_port 127.0.0.1:3128
とかちゃんと書いた？

というかsquid.conf読んだ？

>どこかに出かけたときなども、今までにおとずれたサイトを
>見ることができるようにしたいのです

つwwwoffle

最近素人の質問が多いことについて。

世の中のほぼ全ては万能な玄人ではないことについて。

>>815
今までは3128とだけ記述していましたが
127.0.0.1:3128 としてみたのですが
起動させると
2005/08/12 02:50:53| WARNING: '127.0.0.1' is a subnetwork of '127.0.0.1'
2005/08/12 02:50:53| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2005/08/12 02:50:53| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
といわれます

大きいので全てを読んだというわけではないですが
斜め読み程度には読みました

>>819
> 大きいので全てを読んだというわけではないですが
> 斜め読み程度には読みました

横着するな、人に全部読ませようとする気か？
さっさとコンサルタント雇いな。

>>819
コンサルはともかく、confのどこが怪しいか位晒せないと
エスパーは現れないかと。。。

google squid.conf
の検索結果1ページ目ぐらいは読んでからまた来てください。

You have an ACL that has duplicate and overlapping domain specifications.
Squid warns you about this fact, and suggests you to clean up the ACL
definition.

ということ。
grep '^acl' squid.conf
した結果を張ってみ。

aclの順番がﾒﾁｬｸﾁｬなんだろねぇ

2005/08/12 02:50:53| WARNING: '127.0.0.1' is a subnetwork of '127.0.0.1'
等のwarningはaclの設定がかぶっていたためにでていたようです
設定を変えるとでなくなりました
warningはでないのですがアクセスしようとすると、>>807のエラーのままです

squid.confを故意で追加したのは下記だけです
http_port 8080
cache_dir ufs /var/squid/cache 1500 16 256
http_access allow manager all localhost
cache_effective_user nobody
cache_effective_group nogroup

aclは、デフォルトで設定されているものもふくめると
acl QUERY urlpath_regex cgi-bin \?
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
です

http_accessあたりかね。まあとりあえずこことsquid.confをよく読んでから出直せ。
http://squid.robata.org/index.html

ところでやりたい事って、オフライン時にローカルに保存している
キャッシュを使ってブラウジングしたいってことじゃないの？
だったら>>816が正解な気がするんだが。

まあこの調子だとwwwoffle入れても、どうやって設定するんですか
って聞きそうだけど。

ちなみに squidを起動しただけの時点でのcache.logは
2005/08/12 12:22:05| Starting Squid Cache version 2.5.STABLE10
2005/08/12 12:22:05| Process ID 2970
2005/08/12 12:22:05| With 1728 file descriptors available
2005/08/12 12:22:05| Performing DNS Tests...
2005/08/12 12:22:05| Successful DNS name lookup tests...
2005/08/12 12:22:05| DNS Socket created at 0.0.0.0, port 65163, FD 5
2005/08/12 12:22:05| Adding nameserver 192.168.0.1 from /etc/resolv.conf
2005/08/12 12:22:05| Adding nameserver [プロバイダのネームサーバ] from /etc/resolv.conf
2005/08/12 12:22:05| Unlinkd pipe opened on FD 10
2005/08/12 12:22:05| Swap maxSize 1536000 KB, estimated 118153 objects
2005/08/12 12:22:05| Target number of buckets: 5907
2005/08/12 12:22:05| Using 8192 Store buckets
2005/08/12 12:22:05| Max Mem size: 8192 KB
2005/08/12 12:22:05| Max Swap size: 1536000 KB
2005/08/12 12:22:05| Rebuilding storage in /var/squid/cache (CLEAN)
2005/08/12 12:22:05| Using Least Load store dir selection
2005/08/12 12:22:05| Set Current Directory to /var/squid/cache
2005/08/12 12:22:05| Loaded Icons.
2005/08/12 12:22:06| Accepting HTTP connections at 0.0.0.0, port 8080, FD 12.
2005/08/12 12:22:06| Accepting ICP messages at 0.0.0.0, port 3130, FD 13.
2005/08/12 12:22:06| Accepting SNMP messages on port 3401, FD 14.
2005/08/12 12:22:06| WCCP Disabled.
2005/08/12 12:22:06| Pinger socket opened on FD 16
2005/08/12 12:22:06| Ready to serve requests.
2005/08/12 12:22:06| Done reading /var/squid/cache swaplog (0 entries)
2005/08/12 12:22:06| Finished rebuilding storage from disk.

2005/08/12 12:22:06| 0 Entries scanned
2005/08/12 12:22:06| 0 Invalid entries.
2005/08/12 12:22:06| 0 With invalid flags.
2005/08/12 12:22:06| 0 Objects loaded.
2005/08/12 12:22:06| 0 Objects expired.
2005/08/12 12:22:06| 0 Objects cancelled.
2005/08/12 12:22:06| 0 Duplicate URLs purged.
2005/08/12 12:22:06| 0 Swapfile clashes avoided.
2005/08/12 12:22:06| Took 0.5 seconds ( 0.0 objects/sec).
2005/08/12 12:22:06| Beginning Validation Procedure
2005/08/12 12:22:06| Completed Validation Procedure
2005/08/12 12:22:06| Validated 0 Entries
2005/08/12 12:22:06| store_swap_size = 0k
2005/08/12 12:22:07| storeLateRelease: released 0 objects
と、なっています

>>825
自分自身のIPアドレスを許可すればいいだけだよ。
とりあえず動作確認の為にhttp_access allow allを
http_access deny allの前に追加してみたら？

>>825
ありがとうございます

http_access deny all
の前には
http_access allow manager all localhost
を、していたのですが
http_access deny all
の直前に
http_access allow all
を書くことで動きました

その当たりの説明をよんでみても
そのようなことは書いてありません
原因はなにかあるのでしょうか？

>>830
ちょｗｗｗｗおまｗｗｗｗｗｗｗｗｗ

>>830
コンサルタント

コンサルタントとかっていってる奴は馬鹿なのかな？

そういう奴にかぎって質問しまくってる奴なんでしょ
質問したらそう返されたから、自分もそう煽る
それだけ

>>833
馬鹿だったらどうなのかな？

>>830は本当に>>825なの？

つられんなよ

釣りか･･･('A`)ﾖｶｯﾀﾖｶｯﾀ

　 　, -‐−-､　　ヽ∧∧∧ //　　　　　　　　　　＼　　　∩─ｰ､ 　　　====
. 　/////_ﾊ ヽ＜ 釣れた！＞　　　　　　　　　　　＼／　●　､_ ｀ヽ 　　======
　 ﾚ//ｊ け ,fjlﾘ　/ ∨∨V ヽ　　　　　　　　　　　　　/ ＼(　●　 ● |つ
　ﾊｲｲﾄ､"ヮノﾊ　　　　　//　　　　　　　　　　　　　　|　　 X_入__ノ 　 ミ　　　そんなエサで俺様がクマ――！！
　 /⌒ヽヾ'ﾘ、　　　　　//　　　　　　　　　　　　　　　 ､　(＿／　　　ノ　/⌒l
.　{ 　　j｀ｰ' ﾊ 　 　 　//　ヽ∧∧∧∧∧∧∨/　　　/＼＿＿＿ノﾞ＿/　 /　　=====
　 ｋ〜'ｌ 　　ﾚﾍ. 　 ,r'ス　＜ 初めてなのに　＞　　〈　　　　　　　　 ＿_ノ　　====
　 |　ヽ ＼　ト､ ヽ-kヾｿ　＜ 釣れちゃった！＞　　 ＼　＼＿　　　　＼

めでたしめでたし。

この板は>>830のプロキシを探すスレになりました。

レスするんなら
最低限今まで成行きを読めよ

釣りってことにしてやったんだから834はもう出て来るなよ。しつこいな。

>>843
君は誰？
2chの管理人か何か？

squid_ldap_authで苦しんでる間に、こんな面白い事があったのか…。

釣りだよね、釣りだよね･･･ｿｳﾀﾞｿｳﾀﾞ ﾂﾘﾀﾞ ｼﾝｿﾞｳｶﾞ ﾄﾏﾙｶﾄ ｵﾓｯﾀ('A`)

ﾄﾏｯﾁｬｴﾊﾞﾖｶｯﾀﾉﾆ

システムが潰れマスタ。。。

>>848
コンサルタントを雇いなさい。

> その当たりの説明をよんでみても
>そのようなことは書いてありません
>原因はなにかあるのでしょうか？
原因=「その当たりの説明を読んでいない」

こんさるﾀﾝと(*´д｀*)ﾊｧﾊｧ

Squidを使っちゃいけない人はSquidを使わないでください。

>>852
ライセンスにはそのようなことは書かれていません？

煽るの流行ってるね。

つーか、LANカード一枚でsquidって利用するもんなの？
精神コンサルタントの人はそのLANカードのIPをaclで
許可すれば良いだけなんだけど、この使い方で
squidさんは嫌がらないのかな、らめらよね。

>>855
> つーか、LANカード一枚でsquidって利用するもんなの？
することもあるよ。
なんでいかんの?

>>855
コンサルタント

13・14・15日　20:00集合　21:00時 集団訪問予定　です

民間の反日系中国ウエッブサイトへの友好交流をしてくださる方！
お持ちの知識・技術を活用してくださる方！
三度の飯よりお祭りが好きな方！今の自分を変えてみたい方！
ちょっと暇だと思ってる方！夏休みの思い出を作りたい方！
田代砲に興味がある方！もちろん愛国心に燃えてる方も大歓迎！！！！
~~~~~~~
どんな志願理由でもおｋ！みんなの参加を待ってるお！

　　　【友好交流】ハ´;）BAKKER　VS　VIPPER(´･ω【+盆祭+】115
　　　　http://ex11.2ch.net/test/read.cgi/news4vip/1123929145/
　
　　　　　もちろん「友　好」は「謝罪と賠償」じゃないです（´･ω･｀）


なお、訪問等に参加する人は必ずCCCにも参加してください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
※集団訪問日以外は情報交換も行っています、午後8時ぐらいから人が集まり始めます。
　　＝＝＝CCC情報は本スレにて＝＝＝

>>853
日本語でお願いします。ちなみにちゃんと明記されていますよ。

>>859
つかっちゃいけない人って？

>>860
あなたです？

俺、>>855のコンサルと相談しました？

ぶしつけな質問でごめんなさい。
LDAPサポートしてますか？

>>863
http://www.google.com/