Squid Web Proxy Cache

952 ：名無しさん＠お腹いっぱい。：2006/01/22(日) 11:13:50

>>950
ソース読めないわけじゃないけど字が読めないんだろ？

953 ：名無しさん＠お腹いっぱい。：2006/01/22(日) 13:15:21

プロキシーを使うのにパスワードを要求するようにするにはどのようにすればよいのですか？

954 ：名無しさん＠お腹いっぱい。：2006/01/22(日) 13:59:26

>>950
たしかにFD数はコンパイル時に決定だけど。
同時接続数制限ならacl maxconnで。(client_dbも必要)
keep alive は忘れたけどなんかあったはず。上流(peer)ごととかに任意に決定できたと思った。

955 ：名無しさん＠お腹いっぱい。：2006/01/22(日) 14:00:52

>>953
ttp://www.squid-cache.org/Doc/FAQ/FAQ-19.html#ss19.6

956 ：948：2006/01/22(日) 17:43:41

>>951 >>954 thx
>>952 ?????????????????

957 ：名無しさん＠お腹いっぱい。：2006/01/23(月) 03:31:57

>>953
http://squid.robata.org/faq_19.html#l-06

958 ：名無しさん＠お腹いっぱい。：2006/01/25(水) 20:58:03

Fedoraスレより流れてきましたよ・・・。
リバースプロキシサーバーを立てようと思うんだが、
SquidとDelegateについて比較とか、
個々の長所、短所をまとめているサイト、書籍とかってないかなぁ。
どこを探しても断片的な情報しかないからなんとなくどっちも変わらないように見えるんだよね。

959 ：名無しさん＠お腹いっぱい。：2006/01/25(水) 21:52:24

Delegateはセキュリティ上問題があるので使いたくないソフトのひとつだ。
広範なコードレビューを受けたことも無いし、
国産だから日本人しか使ってないのも問題。
作者の「C++だからバッファオーバフローの心配無い」とか
「対策ライブラリ使ってるから心配ない」とかの開発姿勢も不安の種。

960 ：名無しさん＠お腹いっぱい。：2006/01/26(木) 07:29:23

delegateは余計な昨日たくさんでやだ。
日本人しか使ってない訳じゃないけどね。

アドレスのランダマイズとかいまいちねぇ。

961 ：名無しさん＠お腹いっぱい。：2006/01/26(木) 19:19:24

>>958
つーか、apacheのmod_proxy_httpでどうよ？

962 ：名無しさん＠お腹いっぱい。：2006/01/28(土) 11:37:44

Webページに、squidのプロキシ経由でアクセスして、
301 Moved Permanently
302 Moved Temporarily
で飛ばされたとき、クライアントにオリジナル（転送先）のサーバを見せないで、
キャッシュを見に行くようにさせる方法はありますか？

963 ：名無しさん＠お腹いっぱい。：2006/01/28(土) 11:57:15

>>962
「→」をクライアント→プロキシ→オリジンサーバの向き、「←」をその逆とすると
→GET urlA
←302 urlB
→GET urlB
になるのを
→GET urlA
←302 urlB
→GET urlC
にしたいということだよね。
redirectorで、BをCに書き換えればいいことだと思う。
もちろん事前にB(リダイレクトでの飛ばされ先)を知らないといけないわけだけど。
(もっとわかってるなら、AをCに書き換えればいいということになる)

964 ：962：2006/01/28(土) 12:16:12

>>963
やりたいことはその通りです。
squid.confの書き換えでは無理ということですね。
まずはredirectorについて調べてみます。

ありがとうございました。

965 ：名無しさん＠お腹いっぱい。：2006/01/28(土) 12:49:21

ICPで連携するように構成しているのですが、
siblingにあるデータを使ってくれません。

互いにcache_peerでsiblingに設定してあり、
ICP/HTTPに関するACLの設定もしてあります。

tcpdumpでみていたところ(両端でみてます)
cache1 -> cache2のICPは流れているのですが、その応答が流れていません。
access.logにもTIMEOUT_DIRECTと出ています。
log_icp_queries onですが、ICP受信側にUDP_???のログが出ていません。

debug_optionでICPとsocket周りのログを出させたところ、
ICPを受け取っているというログが出ているので、
squidまでパケットが届いているのは間違いないようです。
Access Control関係のログも出してみましたが、問題ないようです。

ICPの応答に関する設定項目は何かありますでしょうか?
udp_incoming_address, udp_outgoing_addressは設定してません。

966 ：名無しさん＠お腹いっぱい。：2006/01/28(土) 16:21:51

>>965
squidのバージョンとcache_peerやacl など関連しそうなconf行も書けばいいのにとは思いますが。
ICP v1, v2, v3の混合はしていませんか。
debug_options 12,5 50,1 以上にして、ICPおよびソケット関連の出力を見せてください。
その出力とicp_v2.cを見比べれば、どこら辺がおかしいかアタリがつけられるはずです。

967 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 03:11:48

すみません。実機にアクセス出来ないので、記憶で書いてます。
バージョンは2.5.STABLE12を自分でコンパイル。
--enable-dependency-tracking --enable-ssl
OSはRedHat Linuxの商用版のどれか。。
二台とも環境は同じです。

ソースをみてて思ったのですが、ICPのログは出てなかったかもしれない…。
neighbors.cの
debug(12, 3) ("neighborsUdpAck: Cache key '%s' not found\n", storeKeyText(key));
が出てたのは確かです。

968 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 06:14:16

proxy経由であることを隠したいのですがどこを設定すればよいのでしょうか？

969 ：873：2006/01/29(日) 07:02:31

>968
あなたの態度を謙虚に設定してください

970 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 07:11:31

>>968
header_access。具体的方法は自分で調べよ。

971 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 13:43:09

スレ違いかもしれませんが, こちらの方々がいちばん詳しそうなので, ここで質問させてください.

web ページにアクセスする際に, 途中経路に盗聴など不安な所があるので,
そこをsshを通すことで回避できないかと考えています. 具体的には,
>ssh -L 8080:相手webサーバ:80 自宅
または自宅にプロキシサーバをたてて
>ssh -L 8080:自宅:3128 自宅 (squidの場合)
を考えています. 特に後者についてですが, こういったことは可能でしょうか.
またプロキシなど使わずとも, もっと簡単な方法があったりするのでしょうか.

972 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 13:50:25

>>971
SSL

973 ：971：2006/01/29(日) 19:27:19

追加ですが, ウェブページの中身だけでなく,
(自宅を除いて) 接続する先も隠したいということです.
接続する先は任意です.

974 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 19:42:14

>>971
> >ssh -L 8080:自宅:3128 自宅 (squidの場合)
ssh -L 8080:127.0.0.1:3128 自宅
じゃないの?

975 ：971：2006/01/29(日) 20:19:31

>>974
いえ,
自分マシン ---> 自宅プロキシ ---> 世の中のwebサーバ
としてwebブラウザでプロキシの設定をlocalhost:8080にするとよいのではないか,
と思ったので, 127.0.0.1ではなくて「自宅」で正しいと思うのですが, 間違ってますか?
sshのポートフォワーディングにも不慣れなので, 間違っていたら遠慮なくご指摘ください.

976 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 21:27:55

>>975
「世の中のwebサーバ」と自宅の間の通信を暗号化したい、ってことか。
そりゃ無理だよ。
こっちが暗号化して送ったデータを向こうが復号してくれないと無理。
そういうことをやるのが HTTPS。

977 ：873：2006/01/29(日) 21:31:43

俺なら
ssh -D8080
でSOCKSを使ったりするけどね。

978 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 22:14:40

tor
GNUnet

979 ：971：2006/01/29(日) 23:03:51

>>976
その逆です. 説明へたですみません. もう一度書き直します.

自分マシンが所属しているネットワーク(LAN)が信用できないので,
(最低限LANから出る所までの範囲で)webへのアクセスを消したい.
そのための方法として, 最低限LANの外側までを暗号化すればいいのと考えた.
それが
>ssh -L 8080:相手webサーバ:80 自宅
ただ, これだとweb見るのにすごく苦労するので, さらに自宅にプロキシサーバを
立てるのがいいのではないかと思った.
そこで,
1. 私の考え方はあってますか?, 上の方法で私の目標は達成できますよね?
2. 実はもっと簡単な方法があったりしますか?
という質問です.

980 ：名無しさん＠お腹いっぱい。：2006/01/29(日) 23:05:59

PacketiX使えば良いんじゃないか

981 ：971：2006/01/29(日) 23:42:19

>>977,978,980
みなさん, ありがとうございます.
幸いにも今まではこんなことを気にする必要がなかったので全く情報収集していなかったのですが,
なんかいろいろと方法があるみたいですね.
とりあえず, 一番お手軽そうに見える ssh -D から試してみたいと思います.

982 ：名無しさん＠お腹いっぱい。：2006/01/30(月) 00:06:54

>>979
要はさ、会社 (かどっか) のアクセス制限くぐりたいんでしょ?
んで「会社→自宅→外」って経路にして
「会社→自宅」を暗号化したい、と。
なら自宅にプロキシ立てて >>974 で行けるよ。
おれそれでやってるし。

983 ：名無しさん＠お腹いっぱい。：2006/01/30(月) 00:52:29

外部とsshでつないでいるのは放置されるのかな。

984 ：873：2006/01/30(月) 19:01:39

sshが繋がれば何でもアリだからな

985 ：名無しさん＠お腹いっぱい。：2006/01/30(月) 21:25:47

http://del.icio.us/emaniacs/
#
【Tor】の導入方法
to tor p2p howto ... and 10 other people ... on 2006-01-29 ... copy
#
GNUnet設定メモ
to GNUnet p2p howto ... on 2006-01-29 ... copy
#

emaniacsさんもこのスレの978を見てたのね。

986 ：名無しさん＠お腹いっぱい。：2006/01/30(月) 22:53:12

>>978
> tor
> GNUnet
i2p
を忘れていた

987 ：965：2006/01/31(火) 00:56:14

3130を使ってたから、
適当に7を使ったのが間違いでした。
ICP_DECHO吐いてました。

988 ：名無しさん＠お腹いっぱい。：2006/01/31(火) 04:45:46

現在認証を使用して、proxyの使用を制限しているのですが、
IEを立ち上げるたびにユーザー名とパスワードを聞かれます。
これをある一定時間は同じIPからの場合、聞かれないようにすることはできないものでしょうか？

989 ：名無しさん＠お腹いっぱい。：2006/01/31(火) 05:30:10

>>988 IEに言え（なんかオサーンギャクみたいだな）

990 ：名無しさん＠お腹いっぱい。：2006/01/31(火) 11:08:08

アクセス拒否したログだけ分離して記録したいのですが、どこを設定すればいいの？
偉い人教えてください。

991 ：名無しさん＠お腹いっぱい。：2006/01/31(火) 13:20:30

>>988
authenticate_ip_ttl