タグ付けされた質問 「squid」

CentOS 7サーバーでTPROXYをSquidとIPv6で動作させるのに問題があります。以前はNATで一般的なインターセプトセットアップを使用していましたが、IPv4のみに制限されていました。TPROXYでIPv6を含むようにセットアップを拡張しています。 私はこのテーマに関する公式のSquid wiki記事を使用してすべてを構成しました： http://wiki.squid-cache.org/Features/Tproxy4 これまでのところ、TPROXY構成は問題なくIPv4で機能しているようです。ただし、IPv6では接続がタイムアウトになり、正しく機能しません。理解を深めるために、セットアップを分解します。 すべてのファイアウォールおよびルーティングルールはIPv4でまったく同じであることに注意してください。唯一の違いはinet6、ip6tables以下の例でIPv6ベースのルールを構成することです。 OSおよびカーネル：CentOS 7（3.10.0-229.14.1.el7.x86_64） yumによると、すべてのパッケージは最新です Squidバージョン：3.3.8（3.5.9も試しました） ファイアウォール：iptables / ip6tables 1.4.21 libcap-2.22-8.el7.x86_64 IPv6接続は現在、ハリケーンエレクトリックを介した6in4トンネルを介しており、これはDD-WRTルーターで構成され、割り当てられたプレフィックスがを介してクライアントに委任されますradvd。Squidボックスには、いくつかの静的IPv6アドレスが構成されています。 Squidボックスは、サービスを提供しているメインLAN内にあります。ポリシー80 http://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute http://www.dd-wrt.com/wiki/index.php/Squid_Transparent_Proxy ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -s "$PROXY_IPV6" -p tcp --dport 80 -j ACCEPT ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -p tcp --dport 80 -j MARK --set-mark $FWMARK …

18 routing  squid  ipv6  centos7  transparent-proxy 

むかしむかし、南アメリカに美しい温かい仮想ジャングルがあり、そこにイカのサーバーが住んでいました。ネットワークの知覚イメージは次のとおりです。 <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Usersインターネットへのアクセス要求時に、squid名前とパスポートを尋ね、認証をLDAP行います。LDAPが承認した場合は、許可します。 ユーザーとイカの間のパスでスニファーがパスポートを盗むまで、誰もが幸せでした[パスA]。この災害は、squidがBasic-Authenticationメソッドを使用したために発生しました。 ジャングルの人々は問題を解決するために集まった。NTLMメソッドの使用を提供するバニーもいます。木によって推奨されているDigest-Authentication間、ヘビが好まKerberosれた。 結局のところ、ジャングルの人々によって提供された多くのソリューションとすべてが混乱していた！ライオンはこの状況を終わらせることにしました。彼はソリューションのルールを叫んだ。 ソリューションを安全にしましょう！ ほとんどのブラウザーとソフトウェア（ダウンロードソフトウェアなど）でソリューションが機能するか ソリューションはシンプルで、他の巨大なサブシステム（Sambaサーバーなど）を必要としません。 メソッドが特別なドメインに依存してはならない。（例：Active Directory） それから、猿によって提供される非常に手ごろな包括的で賢い解決策は、彼をジャングルの新しい王にした！ あなたは解決策が何であったか推測できますか？ ヒント： 間のパスsquidとLDAPライオンで保護されており、解決策は、それを確保する必要がありません。 注：ストーリーが退屈で面倒な場合は申し訳ありませんが、そのほとんどは本物です！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ …

17 security  authentication  ldap  squid  kerberos 

英国からアメリカのインターネットを閲覧できるようにするために、米国のAWSにプロキシサーバーを設定しましたが、これを非表示にして、リバースエンドがsquidを使用していることを検出できないようにします。これは可能ですか？

17 linux  squid 

企業ネットワークにCentOSサーバーのコレクションがあります。セキュリティ上の理由から、ほとんどのサーバーは、サーバーのコア機能要件でない限り、一般的なアウトバウンドインターネットアクセスを持ちません。 これは、パッケージを更新する必要があるときに課題を作成します。yumリポジトリについては、現在、インターネットから必要なすべてのリポジトリをミラーリングし、ミラーをイントラネット内で利用できるようにします。開発、QA、ステージング、2つの本番データセンターの5つの環境のそれぞれに、各リポジトリのコピーを保持しています。 現在、言語固有のパッケージリポジトリについては解決していません。サーバーがrubygems、PyPI、PECL、CPAN、またはnpmからの更新を必要とする場合、サーバーはパッケージを取得するために一時的なアウトバウンドインターネットアクセスを取得する必要があります。私はrubygemsとPyPIのミラーリングを開始するように求められましたが、残りはおそらく続くでしょう。 これらはすべて不格好で、うまく機能しません。完全なミラーの複雑さとディスクオーバーヘッドを排除するために、ある環境では単一のキャッシングプロキシに置き換え、他の環境では4つのデイジーチェーンプロキシに置き換えたいと思います。さらに： フォワードプロキシまたはリバースプロキシのいずれかです。各パッケージマネージャーは、プロキシサーバーまたはカスタムリポジトリエンドポイントをサポートします。これは、ローカルミラーまたはリバースプロキシのいずれかです。 きめ細かいアクセス制御が必要なので、どのクライアントIPがどのレポドメインに接続できるかを制限できます。 クライアントは、不明なドメインへのリダイレクトを追跡できる必要があります。元のリクエストはrubygems.orgに限定される場合がありますが、そのサーバーがランダムなCDNに302を返す場合、それに従うことができるはずです。 HTTPSバックエンドをサポートする必要があります。他のSSLサーバーを偽装する必要は必ずしもありませんが、HTTPS経由でHTTPSサイトを再公開したり、別の証明書で終了して再暗号化できる必要があります。 最初は逆プロキシを見ていたが、プロキシ内で302リダイレクトを内部的に解決できるのはVarnishだけだと思われる。ただし、無料版のVarnishはHTTPSバックエンドをサポートしていません。現在、Squidをフォワードプロキシオプションとして評価しています。 これは企業ネットワーク内で比較的一般的な問題になるはずのように思えますが、他の人がこれをどのように解決したかの例を見つけるのに苦労しています。誰かが同様の何かを実装しましたか、それを行うための最善の方法について考えを持っていますか？ ありがとう！

16 proxy  squid  varnish  package-management  repository 

これは私が最近設定したもので、非常に大きな痛みでした。私の環境では、SquidにWindows 7クライアントをWindows 2008 Serverに対して見えないように認証させていました。NTLMを使用するには、各クライアントでレジストリを変更する必要があるため、実際にはオプションではありません。 MSはWindows 2000以来Kerberosを推奨してきたので、ついにプログラムを入手する時が来ました。 SquidメーリングリストのMarkus Moellerに感謝します。

15 windows-server-2008  active-directory  windows-7  squid  kerberos 

ネットワークにプロキシサーバーを設定しました。Webトラフィックのみをフィルタリングします。そのため、Squidをプロキシとして、Qlproxyをフィルターとして使用しています：http ://www.quintolabs.com/qlicap_info.php 私のサーバーにはRAMが約640MBしかありません...だから、Squidは頻繁にキャッシュします。したがって、キャッシュを無効にする必要があります！ キャッシュを無効にして、Squidに触れずにすべてをフィルターに転送するにはどうすればよいですか？ ありがとう... PS：Squid3を使用しています！Webフィルタリングの代替手段はありますか？

14 ubuntu  proxy  squid  filter 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 4年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け付けていません。 誰も私にイカのログを分析するための良いツールをお勧めできますか？ 現在SARGを使用しています。もっと良いものはありますか？ どのサイトがいつ/誰によってアクセス/拒否されたかを簡単に確認する必要があります。 squidアナライザーのリストがあります。それらのいくつかは古くなっているようです。 イカ：ログファイル分析

13 proxy  squid  log-files  http-proxy  logparser 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け付けていません。 私は、VarnishをすべてのWebトラフィックのキャッシングリバースプロキシとして展開している組織と協力しています。彼らのトラフィックは、顧客が生成した多くの動的なWebサイトであり、静的なアセットの通常のコレクションが脇にあります。 私はワニスを好きにしていますが（原則としてかなり良いアーキテクチャを持っていると思います）、それを管理し、問題が発生したときにトラブルシューティングするのに苦労していますので、それが本当に正しい選択かどうか疑問に思っています。私は過去に逆プロキシとしてsquidを使用しましたが、同じ種類の役割ではないため、比較のための明確な根拠がありません。 私の質問は、生産でワニスを展開したか、代替案に対して真剣に評価した人々を対象としています。それにとどまるか、切り替えるためのあなたのキーポイントは何でしたか、そしてあなたが何か他のものを使用した場合、何を使用することになりましたか？

13 squid  reverse-proxy  varnish 

環境でSquidプロキシサーバーを使用しており、HTTPSリクエストをキャッシュする必要があります。 HTTPS要求をキャッシュするようにSquidまたは一般的にプロキシサーバーを構成する方法はありますか？

12 proxy  squid  https 

Heartbeat / Squid / Varnish / etcのようなものを使用して、内部Apacheインスタンス間で着信トラフィックの量のバランスを取りたいと考えています。私のものはすべてVPSで実行されるので、これはハードウェアではなくソフトウェアでなければなりません。この分野での経験はあまりないので、用語を誤用して間違ったパッケージを選択しているとすみません。 私は自分が何を求めているかを説明するために何かを作成しました。緑の側は初期設定の外観であり、青の側はトラフィックの増加によりApacheインスタンスを追加した後の外観です。これはこれらの動作の方法ではないかもしれませんが、理想的にはドメインのDNSにバランサーのIPを追加します。次に、バランサーは各Apacheインスタンス上にある接続の数を確認し（内部IPまたは外部IPの構成リストを介して）、接続を均等に分配します。青色には、2番目のバランサーがあります。ある時点で、バランサーにも助けが必要になると確信しています。 たぶん私はこれについて間違っていますが、「バランサー」がどうあるべきかについての助けと、それらを設定する方法のベストプラクティスを探しています。 どんな助けも素晴らしいでしょう。

12 apache-2.2  load-balancing  squid  varnish  heartbeat 

ネットワークでイカを使用してコンテンツをキャッシュしています。プロキシを使用するように指示するコマンドラインスイッチを使用してChromeを起動します。 squidは大量のコンテンツをキャッシュし、限られた数のユーザーで正常に動作するため、ほとんどの場合これはうまく機能します。 Chromeを使用したHTTPSのWebサイトにアクセスすると、最初のページの読み込みが非常に遅くなります。Chromeのステータスバーに「プロキシトンネルを待機しています...」と表示されます。ChromeはCONNECT動詞を使用してプロキシをトンネルし、サーバーとのHTTPSを確立します。Chromeは接続を開いたままにしているため、後続のページは高速です。 squid3のログを確認しました。CONNECTエントリの一部を次に示します。2番目の列はミリ秒単位の応答時間です 1416064285.231 2926 192.168.12.10 TCP_MISS/200 0 CONNECT www.google.com:443 - DIRECT/74.125.136.105 - 1416064327.076 49702 192.168.12.10 TCP_MISS/200 1373585 CONNECT r2---sn-q4f7sn7l.googlevideo.com:443 - DIRECT/173.194.141.152 - 1416064345.018 63250 192.168.12.10 TCP_MISS/200 545 CONNECT mtalk.google.com:5228 - DIRECT/74.125.136.188 - 1416064372.020 63038 192.168.12.10 TCP_MISS/200 1809 CONNECT www.facebook.com:443 - DIRECT/31.13.91.2 - 1416064393.040 64218 192.168.12.10 TCP_MISS/200 25346 CONNECT …

11 https  squid 

私はsquidを使用して、yumリポジトリーからフェッチされたrpmパッケージをキャッシュしようとしています。次の設定では、小さなrpmでうまく機能しますが、openjdkのような大きなrpmではキャッシュしません。 ログファイル（下記）から、4MBを超えるファイルmaximum_object_size 128 MBが設定されていてもキャッシュされないようです。 何か間違っているかもしれない提案はありますか？ squid.conf： acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port …

10 squid 

誰かがSquidを使用してMavenリポジトリをプロキシ化する方法を知っていますか？ そのための構成ファイルは何ですか？ 主な問題は、Mavenクライアントが、キャッシュの動作を制御するヘッダーを含むHTTPリクエストを発行することです（それをバイパスしたいと思います）。 ここに典型的なリクエストがあります： GET /maven/proxy/jboss-public/org/richfaces/richfaces-bom/4.2.0.Final/richfaces-bom-4.2.0.Final.pom HTTP/1.1 Cache-control: no-cache Cache-store: no-store Pragma: no-cache Expires: 0 Accept-Encoding: gzip User-Agent: Apache-Maven/3.0.4 (Java 1.6.0_26; Linux 2.6.32-38-generic) Host: 192.168.2.171 Connection: Keep-Alive そのためにすでにApache HTTPD（およびdisk_cache proxy_http有効なモジュール）を使用していますが、プロキシではなくミラーを作成しています。 ここに設定があります（そのサイトに基づいています）： <Proxy *> Order deny,allow Allow from all </Proxy> # central ProxyPass /maven/proxy/central http://repo1.maven.org/maven2 ProxyPassReverse /maven/proxy/central http://repo1.maven.org/maven2 CacheEnable disk /maven/proxy/central …

10 apache-2.2  squid  maven 

これが私の問題の背景です： Herokuで動的IPアドレスを使用してWebサービスを実行しています。Herokuの静的IPはオプションではありません。 ファイアウォールの背後にある外部Webサービスに接続する必要があります。外部Webサービスを操作する人々は、特定の静的IPに対してのみファイアウォールを開きます。 私が試みた解決策は、静的IPを持つ別のサーバーでSquidを使用して、Herokuから外部サービスにリクエストを転送することです。このようにして、外部サービスは常に、Herokuサービスの動的IPではなく、プロキシサーバーの静的IPを認識します。 私のプロキシサーバーは認証のためにIPアドレスに依存することができないため（これは最初から問題です！）、ユーザー名とパスワードに依存する必要があります。さらに、ユーザー名とパスワードをクリアテキストで送信することはできません。攻撃者がそのクリアテキストを傍受した場合、攻撃者は私になりすましてプロキシに接続し、プロキシの静的IPを使用して送信要求を行い、外部を回避する可能性があるためです。 Webサービスのファイアウォール。 したがって、Squidプロキシは、HTTPではなくHTTPS経由の接続のみを受け入れる必要があります。（外部Webサービスへの接続は、HTTPまたはHTTPSの場合があります。） 私はCentOS 6.5.xでSquid 3.1.10を実行していますが、squid.confここまでです。トラブルシューティングのみを目的として、HTTPプロキシとHTTPSプロキシの両方を一時的に有効にしていますが、HTTPSのみを使用したいと思います。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where …

9 proxy  https  squid  heroku 

SSDドライブを搭載したシステムにSquid（または場合によってはニス）キャッシュを設定することを検討しています。 明らかな利点は、これらのシステムの読み取り速度が優れていることであり、ヒット率はかなり高いと私は予想しています。 7台のSSDをRAID構成に配置できると仮定します。（もっとたくさん詰め込むことができるいくつかのケースがあります） 実装に関する質問： RAID0を使用する必要がありますか？（私はドライブが最終的に故障することを期待しているので、これは危険に思われます。） RAID10を使用する必要がありますか？（これにより、コストがかかるディスクフットプリントが半分になります。） RAID5を使用する必要がありますか？（SSDには「悪い」書き込みパフォーマンスと書き込み制限があることが知られており、追加のパリティ書き込みはすべて、これをかなり遅くする可能性があります。） 各ディスクを独自のSquidデータストアとして扱う必要がありますか？（Squidは複数のデータストアをどの程度適切に処理しますか？そして、1つが失敗した場合、または何が起こった場合にどうなりますか？ データストアを無視してSSDを大きなSWAPパーティションに作成し、Linux VMにそれを実行させるべきですか？（ずさんなようです） 本番環境でSSDを使用している人々からのアドバイスは大歓迎です。（HTTPキャッシュに使用している場合はesp）

9 raid  http  squid  cache  ssd