Squid Web Proxy Cache 2
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2006/02/02(木) 05:35:20本家: http://www.squid-cache.org/
0252名無しさん@お腹いっぱい。
2007/01/16(火) 16:30:270253名無しさん@お腹いっぱい。
2007/01/16(火) 17:31:160254名無しさん@お腹いっぱい。
2007/01/16(火) 19:20:020255名無しさん@お腹いっぱい。
2007/01/16(火) 19:47:43>>248
0256名無しさん@お腹いっぱい。
2007/01/17(水) 17:49:17検証で色々なソフトを使ってみたいのですが、
Web Polygraph しか見つからない。Orz...
0257名無しさん@お腹いっぱい。
2007/01/17(水) 20:35:40俺はお手軽にApacheBenchやJMeterを使うことが多いが
どうしても少数のURLを繰り返しアクセスすることになるから
何を評価してるんだか判ったもんじゃないな
0258名無しさん@お腹いっぱい。
2007/01/18(木) 12:39:15レスありがとう。参考にしました。
で、色々と使ってみたけど Proxy の評価なら
Web Polygraph が一番良い感じです。
ただし、Web Polygraph は config が一番難しかった。
ついでに coss を使ってみたけどイイネェ。
aufs , ufs よりも速いですわ。
0259名無しさん@お腹いっぱい。
2007/02/16(金) 01:43:00は、このSquidで出来るのでしょうか?
0260名無しさん@お腹いっぱい。
2007/02/17(土) 18:55:52『書けませんよニヤリ(´ー`)』とか出して見たいね(藁
0261名無しさん@お腹いっぱい。
2007/02/19(月) 14:37:02acl post method POST
acl 2ch dstdomain .2ch.net
http_access deny post 2ch
でいいんだろうか。
0262名無しさん@お腹いっぱい。
2007/02/19(月) 17:05:400263名無しさん@お腹いっぱい。
2007/02/27(火) 19:42:00逆引きした時に引けないとレスポンスが極端に低下するよ。
0264名無しさん@お腹いっぱい。
2007/03/05(月) 17:05:03GoogleEarthやWorldWindへのアクセスは通常キャッシュされないのですが、
これら特定ドメイン又はURL等を任意にキャッシュさせるにはどうすればよいでしょうか?
特定〜〜をキャッシュさせない、という例はよく見かけるのですが・・・
'?'を含む場合はキャッシュしない設定、はOFFって実験したつもりですが
これについても指定ドメインに対してのみ動作させたいです。
0265名無しさん@お腹いっぱい。
2007/03/06(火) 02:26:36何が問題になっているのかよくわからない。
キャッシュしていないってことは、どこかで誰かが何かをしているわけだ。
squidの設定だけで解決できるとは限らないよね。
0266名無しさん@お腹いっぱい。
2007/03/06(火) 10:25:11GoogleEarthの通信を完全に調べたわけではないのですが、httpは
GET http://kh.google.com/flatfile?f1-0201-i.133+f1-02111-i.133&v=1 HTTP/1.1
Accept: text/plain, text/html, text/xml, text/xml-external-parsed-entity, application/octet-stream, application/vnd.google-earth.kml+xml, application/vnd.google-earth.kmz, image/*
Cache-Control: no-cache, no-store
Cookie: $Version="0"; SessionId=********* State=1
User-Agent: kh_lt/LT4.0.2737
Host: kh.google.com
Pragma: no-cache
Connection: keep-alive
HTTP/1.1 200 OK
Content-Type: application/octet-stream
Server: Keyhole Server 2.4
Content-Length: 16756
Date: Tue, 06 Mar 2007 01:08:03 GMT
Proxy-Connection: close
といった状態で、Cache-Control、Pragma、Content-Type、Dateあたりは問題ではないかと考えています。
(Cookie認証らしきものも問題になるかもしれません)
そこで、これら諸条件を無視したキャッシュルールが実現できないかとconfを眺めたのですが、
まず特定ドメイン対象に詳細なルールを記述する方法が分からずorz
非キャッシュ指定があるので、強制キャッシュ指定もあるやもと思いまして。
0267266
2007/03/06(火) 17:37:29refresh_pattern にありますね。ですね。基本的なところで読み落としてました。
refresh_pattern kh.google 10080 80% 20160 override-expire override-lastmod ignore-reload
こうでしょうか?? これで
# acl QUERY urlpath_regex cgi-bin \?
# no_cache deny QUERY
とすると一部キャッシュされてるようです。全部じゃないあたりがまだ何か必要そうなのと、
no_cacheの項目は本当は残しておきたいです。
0268名無しさん@お腹いっぱい。
2007/03/16(金) 10:47:47すぐにクライアントにキャッシュを返し、
その後でwebサーバに読みに行って必要であればキャッシュを更新、
といった動作をさせたいドメインがあるのですが、可能でしょうか?
0269名無しさん@お腹いっぱい。
2007/03/19(月) 04:22:110270名無しさん@お腹いっぱい。
2007/03/21(水) 22:23:220271名無しさん@お腹いっぱい。
2007/04/22(日) 20:13:510272名無しさん@お腹いっぱい。
2007/04/23(月) 10:49:372.6.xは場所が違うが、同じ手法で出来る事を確認済み。
*** client_side.c.orig Thu Mar 3 09:20:48 2005
--- client_side.c Thu Mar 3 09:22:38 2005
***************
*** 869,874 ****
--- 869,875 ----
packerClean(&p);
memBufClean(&mb);
}
+ http->al.url = http->uri;
accessLogLog(&http->al);
clientUpdateCounters(http);
clientdbUpdate(conn->peer.sin_addr, http->log_type, PROTO_HTTP, http->out.size);
0273名無しさん@お腹いっぱい。
2007/05/02(水) 05:13:41セキュリティは向上しますか?
0274名無しさん@お腹いっぱい。
2007/05/14(月) 21:43:250275名無しさん@お腹いっぱい。
2007/05/18(金) 13:56:59ポートフォワードって言葉は多様すぎていまいちぴんと来ないが、
ゲートウェイでの静的NAPTのことか?
また、httpdってな書き方をするとwwwサーバアプリケーション単体のことを
言っているのかセション単位のプロセスのことを言っているのかよく分らない。
それにリバースプロキシを外部のデータセンターに置くのか、レンタルサーバ
使うのか、DMZに置いてwwwサーバを更に内側に移転するのか、とか・・
wwwサーバマシンの物理的な台数や仮想的なホストの数などによっても様々だし、
さらにどういう運用をして管理にどれだけコストが割けるかによっても一概に
言えないし、そもそも何を指して「セキュリティの向上」と捉えるかにもよる。
一ついえることはプロキシが信頼の置けない状態になれば、そこからのアクセス
を許しているマシンも(いくら外部と隔離していても)危険な状態になるのは同じということ。
0276名無しさん@お腹いっぱい。
2007/05/28(月) 08:05:330277名無しさん@お腹いっぱい。
2007/06/04(月) 12:54:380278名無しさん@お腹いっぱい。
2007/06/05(火) 22:21:080279名無しさん@お腹いっぱい。
2007/06/05(火) 22:47:31Webalizerでは掘り下げが甘いし。
0280名無しさん@お腹いっぱい。
2007/06/05(火) 23:05:130281名無しさん@お腹いっぱい。
2007/06/13(水) 17:16:33aufsも一緒に組み込んでおくか
kldload aio しなければいかんのか。
ヒントがなかなか見つからなくてはまったorz
0282名無しさん@お腹いっぱい。
2007/06/16(土) 13:23:11configure時に
--enable-storeio=coss --enable-coss-aio-ops --with-large-files
を追加して動作するようになりました。
しかし、評価環境のユーザはオレひとりなので、効果のほどは全く分からず・・・。
0283名無しさん@お腹いっぱい。
2007/06/16(土) 20:31:480284名無しさん@お腹いっぱい。
2007/06/18(月) 20:26:53COSS なら squid.conf の cache_dir の項目では
0285名無しさん@お腹いっぱい。
2007/06/18(月) 20:30:07squid.conf に COSS_MEMBUF_SZ を変えろって書いてあるな。
configure するときに値を与えるか src/fs/coss/store_coss.h をいじればいいんじゃなかろーか
0286名無しさん@お腹いっぱい。
2007/06/22(金) 17:14:23際限なくメモリ使用量が増えていく
(そしてそのうちOS側の制限に引っ掛かってプロセスがおっこちる)
ような気がするんだが 気のせい?
FreeBSD6.2 + Squid 2.6STABLE13
0287名無しさん@お腹いっぱい。
2007/06/22(金) 23:45:500288名無しさん@お腹いっぱい。
2007/07/06(金) 18:10:26そういう前に ulimitがどうなってるか
確認してみよう!
0289名無しさん@お腹いっぱい。
2007/07/09(月) 10:36:51エラーのHTMLを作成して、それを表示は方法ありますか?
0290名無しさん@お腹いっぱい。
2007/07/24(火) 00:54:50http://varnish.projects.linpro.no/
0291名無しさん@お腹いっぱい。
2007/08/10(金) 18:55:08キャッシュされるまでオリジナルサーバに要求を投げるんですか?
例えば100個のクライアントから同じコンテンツを要求されたら、
キャッシュが無い時100回オリジナルサーバの方にリクエストが行くというか・・・
0292名無しさん@お腹いっぱい。
2007/08/10(金) 18:59:51negative_ttl あたりの話?
0293名無しさん@お腹いっぱい。
2007/08/10(金) 19:10:39自分でもあまり理解出来ていないんですが、
>>244の様な感じですね・・・。
0294291
2007/08/14(火) 15:28:51色々調べてみた結果無理っぽいという事がわかりました。
TCPコネクションを集約する為のL4L7スイッチなどが必要なようでした。
0295名無しさん@お腹いっぱい。
2007/08/19(日) 23:01:38>キャッシュされるまでオリジナルサーバに要求を投げるんですか?
キャッシュされていないんだから、どう考えてもリクエストは飛ぶだろ。
Squidはエスパーじゃないし。
0296名無しさん@お腹いっぱい。
2007/08/22(水) 19:02:47オブジェクトキャッシュを持っていない同じコンテンツにたいして並列に取得クエリが来たら
いくつか目辺りでオリジナルへクエリを飛ばさずクライアントへの返事をちょっと引き延ばして
オリジナルサーバからのオブジェクト取得完了を待って
取得が終わったら一気にクライアントに返す、ってことはできないだろーか
0297名無しさん@お腹いっぱい。
2007/08/24(金) 03:04:05キャッシュされたという状態の他に取得中って状態も作るの?
理屈としては出来るだろうけど、keep it simple stupidでは無い気もするな。
リバースプロクシー用途であれば同じコンテンツに並列クエリーが一気にくる
ってのもあり得るから、ベンチマーク的に効果が出る場合も有りそうだけど。
0298名無しさん@お腹いっぱい。
2007/08/28(火) 03:32:05squidを使用してリバースプロキシを構築しようとしています。
SSL処理のため、サーバ証明書の設定を行うとしていますが、
ベリサインの中間CA証明書はどのように指定すればよいので
しょうか?
バージョンは「squid-2.6.STABLE6-4.el5」です。
よろしくお願いします。
0299名無しさん@お腹いっぱい。
2007/08/28(火) 03:54:07最初のリクエストに相乗りしているように見えるが。
0300名無しさん@お腹いっぱい。
2007/09/01(土) 23:52:470301名無しさん@お腹いっぱい。
2007/09/02(日) 02:03:39リリースはうれしいけど、土曜日にリリースすんなよな。
火曜とか水曜日ぐらいにしてくれ。
数日とはいえ、会社のSquid ServerのVersionUp
までになにかあったらどーすんだ。
*/
0302名無しさん@お腹いっぱい。
2007/09/04(火) 14:18:290303名無しさん@お腹いっぱい。
2007/09/06(木) 09:19:030304名無しさん@お腹いっぱい。
2007/10/05(金) 19:04:49w3mでブラウジングしていますが、ローカルキャッシュが欲しくSQUIDの導入を考えています。
ローカルにsquidを立ち上げて、そこにキャッシュさせようと考えていますが
画像もダウンロードさせると何の意味も無いので
テキストファイルだけを取って来させる設定って出来ますか?
0305名無しさん@お腹いっぱい。
2007/10/06(土) 03:06:420306名無しさん@お腹いっぱい。
2007/10/06(土) 03:14:390307名無しさん@お腹いっぱい。
2007/10/06(土) 12:44:11http://www.squid-cache.org/Versions/v3/3.0/
テストする気にもならんがw
0308名無しさん@お腹いっぱい。
2007/10/24(水) 16:25:540309名無しさん@お腹いっぱい。
2007/10/30(火) 00:53:22viralator ダサすぎ orz...
やっぱり無理か。
0310名無しさん@お腹いっぱい。
2007/11/02(金) 03:22:08のような画像がキャッシュできないのですが、
可能でしょうか?
0311名無しさん@お腹いっぱい。
2007/11/05(月) 22:28:430312名無しさん@お腹いっぱい。
2007/11/06(火) 02:48:51mail用のclamavちょろっと変更してsquidclam試してみた
遅い鯖相手だとタイムアウトする事が多いな設定で調整かな
ローカルポートの利用範囲制限出来ないのかな?
せっかくだから使ってみる・・・・Nortonとの2重チェックだけど・・・。
0313名無しさん@お腹いっぱい。
2007/11/06(火) 15:34:21ありがとうございました。
0314名無しさん@お腹いっぱい。
2007/11/21(水) 15:12:35always_directやnever_directをさわってみたのですが、なかなか思い通りに動いてくれません。
よろしくお願いします。
0315名無しさん@お腹いっぱい。
2007/11/21(水) 15:13:13あげときます
0316名無しさん@お腹いっぱい。
2007/11/21(水) 15:36:05always_direct allow 2ch
never_direct allow all
でだめかい?
0317名無しさん@お腹いっぱい。
2007/11/21(水) 15:49:05やってみましたが、両方とも親に投げられてしまいます(つд⊂)エーン
たいがい、両方とも親に投げられるか直接取りに行くかになってしまいます
ある場合は、逆(指定ドメインは親に、それ以外は直接)になってしまいました。
やりたいことは指定ドメインは直接、それ以外は親です。
ローカルネットだけ直接取りに行くという希望と同じことです
予想外に思い通りにならないので困ってます
0318名無しさん@お腹いっぱい。
2007/11/21(水) 15:59:18これってそういう仕様なんでしょうか???
always_directで強制すれば親に投げてくれるんですが
0319名無しさん@お腹いっぱい。
2007/11/21(水) 17:35:10acl PROTO proto ftp http https
never_direct deny 2ch
never_direct allow all
cache_peer_access xxx.xxx.xxx.xxx deny 2ch
cache_peer_access xxx.xxx.xxx.xxx allow PROTO
これでどう?(xxx.xxx.xxx.xxx は親のIPアドレスで)
うちはこれで動いているけど。
0320名無しさん@お腹いっぱい。
2007/11/21(水) 19:01:50ありがとうございます
試してみたけど、ダメみたいです
ただ、子proxyからのアクセスには影響があった(アクセスできなくなった)ので、何かが起こってるみたい
たぶんうちの環境に、なにか特殊な問題があるんでしょうね・・・・
しょうがないかな
squidの詳しい本があれば買って、何が起こってるのか考えてみたいと思ってます
0321名無しさん@お腹いっぱい。
2007/11/21(水) 20:11:21cache_peer,cache_peer_access,never_direct,always_direct の設定と
それに関連する acl だけ出してごらん。
(もちろんマスクして)
見れば判ると思うから。
0322名無しさん@お腹いっぱい。
2007/11/21(水) 20:48:56わかるかも。
aclMatchAcl: checking 'acl Safe_ports port 80
aclMatchAclList: returning 0
0323名無しさん@お腹いっぱい。
2007/11/21(水) 22:13:56ちょっとまってください
>>322
よい情報サンクスです
どうやらパターンマッチに失敗してるみたいです
acl HOGE dstdomain B.C
と記述して、A.B.Cにアクセスすると、
aclMatchAcl: checking 'acl HOGE dstdomain B.C'
aclMatchDomainList: checking 'A.B.C'
aclMatchDomainList: 'A.B.C' NOT found
となって、親に取りに行ってしまい(ダメ)、
acl HOGE dstdomain A.B.C
と記述して、A.B.Cにアクセスすると、
aclMatchAcl: checking 'acl NEC dstdomain A.B.C'
aclMatchDomainList: checking 'A.B.C'
aclMatchDomainList: 'A.B.C' found
となって直接アクセスしてくれる(OK)
バグですかね???
面倒くさいけど、squidのバージョンあげるか・・・・・・
0324名無しさん@お腹いっぱい。
2007/11/21(水) 22:37:58>acl HOGE dstdomain B.C
acl HOGE dstdomain .B.C
では?
0325名無しさん@お腹いっぱい。
2007/11/21(水) 22:38:33では、A.B.Cのパターンマッチに失敗するけど、ドットを加えて、
acl HOGE dstdomain .B.C
とすると、パターンマッチに成功します
なんだかなぁ・・・
とりあえず、ドメイン名に依存した親proxyアクセスはうまくいくようになったみたいです
ありがとうございました
あと残る課題は、ドメイン名に依存してSSLアクセスを多段プロキシで可能にすること
(デフォルトでは多段プロキシはしないようになってるみたい)
0326名無しさん@お腹いっぱい。
2007/11/21(水) 22:41:46すいません
見る前にカキコしてしまいましたが、おっしゃるとおりです
ほとんどのサイトの情報では、このドットの要不要はコメントされていません
ドットなしで書いてあるところは多く、ドット付きで書いてあっても、有無で動作に差異があるようなことは
書いてありませんでした
差異がないようにインプリしてもらいたかったですね
もしかしてバグの一種なのかな?
0327名無しさん@お腹いっぱい。
2007/11/21(水) 22:43:470328名無しさん@お腹いっぱい。
2007/11/21(水) 22:44:06dstdom_regex だとどうよ?
0329325
2007/11/22(木) 01:26:56cache_peer_accessをベースにしたACL制御で実現しました
ありがとうございました
0330名無しさん@お腹いっぱい。
2007/11/22(木) 12:05:030331名無しさん@お腹いっぱい。
2007/11/22(木) 16:25:41SquidFaq/SquidAcl - SquidWiki
http://wiki.squid-cache.org/SquidFaq/SquidAcl#head-37f00e4c3e6b2b02d72f3c47af4a10a4d6c7def2
0332名無しさん@お腹いっぱい。
2007/11/22(木) 16:32:160333名無しさん@お腹いっぱい。
2007/11/22(木) 16:43:11も.(ドット)を忘れてらw
0334名無しさん@お腹いっぱい。
2007/11/22(木) 20:30:24ttp://squid.robata.org/squid2.0-conf.html
0335名無しさん@お腹いっぱい。
2007/11/22(木) 22:45:110336名無しさん@お腹いっぱい。
2007/11/23(金) 06:54:160337名無しさん@お腹いっぱい。
2007/11/23(金) 08:16:502ch.net
*.2ch.net
はダメで
.2ch.net
しか許容しない
がはっきりしたからいい
0338名無しさん@お腹いっぱい。
2007/11/23(金) 11:59:440339名無しさん@お腹いっぱい。
2007/11/23(金) 12:35:39> pc11.2ch.net だけを指定したい時はどうすればいいの?
pc11.2ch.netと書く。
0340名無しさん@お腹いっぱい。
2007/11/23(金) 12:41:52.2ch.netと書く→*.2ch.netにマッチする(2ch.netがどういう扱いになるか知らん:マッチしないのかも)
*.2ch.netと書く→動作不明だが、少なくとも*.2ch.netにはマッチしない
0341名無しさん@お腹いっぱい。
2007/11/23(金) 12:43:01> 差異がないようにインプリしてもらいたかったですね
異なる記述なのだから差異があるのは当然だろう。10と-10を同じ意味にしろ
と言ってるのと変わらんぞ。
> もしかしてバグの一種なのかな?
はあ?
0342名無しさん@お腹いっぱい。
2007/11/23(金) 12:52:27> ttp://squid.robata.org/faq_10.html
>
> も.(ドット)を忘れてらw
いちおう、
> 10.23 foo.comへの接続を拒否したいが出来ません。
> squid-2.3で私たちはSquidのサブドメインの扱いを変更しました。
> .foo.com と foo.com では意味が違ってきます。 最初の指定では、
> foo.com ドメインに属するすべての名前にマッチします。 一方、
> 後者の場合には foo.com と完全に一致する場合にマッチします。
という記述はあるものの、
> 10.13 Squidがサブドメイン名を正しくマッチしません。
> もしSquid 2.4以上を使っているならdstdomain ACLによって完全な
> ホスト名以外でもマッチさせることのできる名前が有る事を覚えて
> いるかも知れません。 www.example.comを指定した場合には当然
> ホスト名のwww.example.comとマッチします。 しかし、example.comを
> 指定した場合にはwww.example.comを含むexample.com全体の名前に
> マッチします。
という恐るべき罠があるわけか。
0343名無しさん@お腹いっぱい。
2007/11/23(金) 13:00:42ほとんどのsquid解説サイトでは、不注意か知らずかで.を無視した記述をしている
.の有無が意味を持つことに気がついている人のほうが少ないだろう
0344名無しさん@お腹いっぱい。
2007/11/23(金) 13:08:170345名無しさん@お腹いっぱい。
2007/11/23(金) 13:08:57「ほとんどのsquid解説サイト」なんてものに触る方が悪い。
0346名無しさん@お腹いっぱい。
2007/11/23(金) 13:20:16アフィで儲けようというのが見え見え。間違って見てしまうと
腹が立つのでアクセス禁止にしている、squidで
0347名無しさん@お腹いっぱい。
2007/11/23(金) 13:54:40おまえ、なんでここにいるの?
0348名無しさん@お腹いっぱい。
2007/11/23(金) 13:57:07おまえを嘲笑して楽しむため。
0349名無しさん@お腹いっぱい。
2007/11/23(金) 13:57:46>>331のFAQにちゃんと書いてあるじゃん。
If you are using Squid-2.4 or later then keep in mind that dstdomain acls uses
different syntax for exact host matches and entire domain matches.
www.example.com matches the exact host www.example.com,
while .example.com matches the entire domain example.com (including example.com alone)
0350名無しさん@お腹いっぱい。
2007/11/23(金) 14:22:50> バグですかという人に限ってドキュメントを読まないのは何でなんだぜ。
自分は無謬の超越者であるという自己認識を持っているからでしょう。
0351名無しさん@お腹いっぱい。
2007/11/23(金) 16:16:07見紛わんよ。
■ このスレッドは過去ログ倉庫に格納されています