トップページunix
981コメント319KB

Squid Web Proxy Cache 2

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2006/02/02(木) 05:35:20
Squid web proxy cache のスレ

本家: http://www.squid-cache.org/
0542test2008/10/29(水) 11:57:46
eCapって誰か使用しているかたいますか?
0543名無しさん@お腹いっぱい。2008/11/01(土) 19:49:03
squidのアクセスログをプログラムに食わせたいのですが、直接標準入力に渡すことはできませんかね。Apacheみたいに。
今は、syslogに出力して、そこからパイプファイルに出力して、それをプログラムから読み込んでいるのですが、もっとスマートにできないかと。
0544名無しさん@お腹いっぱい。2008/11/01(土) 20:03:00
>>543
ふつうにログファイルをワッチすればいいやん。
0545名無しさん@お腹いっぱい。2008/11/01(土) 20:14:40
>>543
逆に考えて syslog-ng を使うとかは駄目なの?
05465432008/11/02(日) 02:42:13
>>544
そしたら、ファイルがどんどん大きくなってローテーションに困るし、プログラムで読むときも前回の続きからとかって面倒な処理をするようだし。

>>545
syslog-ngっすか。プログラムの標準入力に出力することもできるみたいですね。
それでやってみるかな。
0547名無しさん@お腹いっぱい。2008/11/03(月) 02:11:59
>>546
swatchとかを参考にコードを書いてみれば?
0548名無しさん@お腹いっぱい。2008/11/05(水) 02:45:36
url_rewrite_programで読んだプログラムで返したURLによってSquidの挙動を変えることはできませんかね。
たとえば、特定のエラーページに飛ばすなど。
url_rewrite_programでエラーページを返しても、ログ上は変換前のURLになるので、ログに残さないか、ログに変換後のURLを渡したいのです。
ログに残さず、deny_infoみたいなエラーが返せれば一番いいです。
0549名無しさん@お腹いっぱい。2008/11/19(水) 10:37:28
suquidって以下以外どのプロトコルをサポートしますか?

http,https,ftp
0550名無しさん@お腹いっぱい。2008/11/19(水) 10:47:32
>>549
http://wiki.squid-cache.org/SquidFaq/AboutSquid#head-59539a8dc35c06926bc2a21e63969752bea3d14c
0551名無しさん@お腹いっぱい。2008/11/20(木) 20:19:48
プロトコルねたに便乗してですが、以下対応または設定可能?

SOCKS、AOL IM、Yahoo IM、Microsoft IM、MMS、RTSP、QuickTime、
TCPトンネル、telnet
0552名無しさん@お腹いっぱい。2008/11/21(金) 17:14:11
なんか、HTTPのDELETEメソッドを
FTPのdeleteコマンドに変換してくれないのですが。
telnet squid-proxy 3128
Escape character is '^]'.
DELETE ftp://user:pass@site-url/index2.html

とやってもUnsupported Request Method and Protocol
とおこられます。squid2.7.STABLE5どす。

こーんなもん?
0553名無しさん@お腹いっぱい。2008/11/27(木) 01:09:15
squid を reverse ssl proxy として起動させる場合、
秘密鍵ファイルはパスフレーズ無しにしておかないと起動できませんか?
0554名無しさん@お腹いっぱい。2008/12/03(水) 15:46:36
皆さん、3.0と2.7どっち使ってる?
0555名無しさん@お腹いっぱい。2008/12/03(水) 20:34:46
>>554
3.0
0556名無しさん@お腹いっぱい。2008/12/04(木) 21:41:51
フィルタリングを行っているプロキシを、gzipで圧縮(エンコード)された
コンテンツが通るとき、squidはデコードしてからフィルタリングしてから
再度エンコードしているのでしょうか?
0557名無しさん@お腹いっぱい。2008/12/04(木) 21:56:15
んなわきゃない
0558名無しさん@お腹いっぱい。2008/12/04(木) 22:13:29
エンコードされたままのデータでも、フィルタリングできているのでしょうか?
0559名無しさん@お腹いっぱい。2008/12/04(木) 22:55:31
フィルタリングってなに?

0560名無しさん@お腹いっぱい。2008/12/04(木) 23:11:41
エンコードってなに?
0561名無しさん@お腹いっぱい。2008/12/05(金) 00:34:18
フィルタリングは、アクセスしたサイトの中に、特定のキーワードがあれば
閲覧をさせない、というものです。
エンコード=gzipで通信を圧縮するという意味で使いました。。。
0562名無しさん@お腹いっぱい。2008/12/05(金) 00:44:13
>>561
> フィルタリングは、アクセスしたサイトの中に、特定のキーワードがあれば
> 閲覧をさせない、というものです。

えっ、squidってそういう機能あるの?
0563名無しさん@お腹いっぱい。2008/12/05(金) 00:46:13
いえ、サードパーティーの検閲ソフトが組み込まれています
0564名無しさん@お腹いっぱい。2008/12/05(金) 00:58:10
まず日本語の勉強からだ
0565名無しさん@お腹いっぱい。2008/12/05(金) 09:54:43
The Squid HTTP Proxy team is pleased to announce the
availability of the Squid-3.0.STABLE11-RC1 test release!

This release is labeled RC1 due to the experimental nature of two
major alterations:

 * A minor patch introduced in 3.0.STABLE10 was found to cause
  certain objects to be stored in cache despite bad content.
  Changing away from STABEL10 to any other version, may cause
  a large number of warnings to be displayed and some response
  delay as these objects are cleared from the cache.

* Bug 2526: ACLChecklist was found to contain an implicit allow on
 certain error cases in the code. This does not effect any of the
 main security controls. But the effects of closing this hole on
 minor controls is not yet widely tested.
 If any strange behavior of access controls is noted on this release
 please notify squid-dev mailing list immediately.


This release also fixes a few minor regressions and bugs found in the last release.
 - Fixes regression: access.log request size tag
 - Fixes cache_peer forceddomainname=X option
0566名無しさん@お腹いっぱい。2008/12/23(火) 16:17:06
Changes to squid-3.0.STABLE11 (24 Dec 2008):

- Bug 2424: filedescriptors being left unnecessary opened
- Bug 2545: fault passing ICAP filtered traffic to peers
- Bug 2227: Sefgaults in MemBuf::reset during idnsSendQuery
- .. and some minor admin and debug cleanups.
0567名無しさん@お腹いっぱい。2009/01/23(金) 20:34:56
Changes to squid-3.0.STABLE12 (21 Jan 2009):

- Bug 2533: Solaris (sparc) 64-bit build breaks with gcc/g++
- Bug 2542: ICAP filters break download resume
- Bug 2556: HTCP fails without icp_port
- Bug 2564: logformat '%tl' field not working as advertised
- Port from 3.1: TestBed basic build consistency checks
- Policy: Change half_closed_clients default to off
- Policy: Removed -V command line option, deprecated by 2.6
- ... and several other minor code cleanups
0568名無しさん@お腹いっぱい。2009/01/27(火) 21:12:33
squid-3.0.STABLE10 をSolarisで使ってます。

psで定期的にメモリ使用量をロギングしていて気づいたのだけど、
ある時を境に急に上がったりするのはどういう理由なんでしょうか?

具体定期には、2〜3日間、使用量が80MB程度だったのが、急に
300MBになったりする。

↓を参考にキャッシュにあるオブジェクトを探すと、確かにその時
間帯は比較的大きなものを転送しているけど、合計で100MBも行っ
ていない。 また、他の時間帯でもそれくらい転送している場合も
ある(でもその時はメモリ消費は増えていない)。

http://squid.robata.org/faq_7.html#l-02


メモリをある程度消費したら、再度ガバッとメモリを確保しておく
ような動作をしているんでしょうか?
0569名無しさん@お腹いっぱい。2009/02/02(月) 17:20:36
>>568
関係ないかもしれませんが、3.0.STABLE10は公式見ると WITHDRAWN ってなってるよ。
0570名無しさん@お腹いっぱい。2009/02/03(火) 17:02:01
Changes to squid-3.0.STABLE13 (03 Feb 2009):

- Fix several issues in request parsing
- Fix memory leak from logformat parsing
- Fix various ESI build errors
- ... and some documentation updates
0571名無しさん@お腹いっぱい。2009/02/07(土) 01:51:23
なにぃ、もう来たのかよ。
12に挙げたばっかなのにな。
05725682009/02/07(土) 16:55:32
>>569
これはありがとうございます。
入れ替えてみます。
0573名無しさん@お腹いっぱい。2009/02/08(日) 15:11:29
squid でクエスト先の URL を、自分で作ったスクリプト使って変換するようなことってできる?
例えば、
h ttp://pc11.2ch.net/test/read.cgi/unix/1138826120/
へのリクエストを、
h ttp://2chgw.org/get?ita=unix&th=1138826120
に置き換える、みたいなこと。
この置き換え作業を perl スクリプトでやりたいのだけど。
もちろん、その程度だったらスクリプト用意するまでもないってのなら、もっといいのだけれど。
何かヒントがあればお願いします。
05745732009/02/08(日) 19:07:41
squid 使わないで解決する方向になりました。
0575名無しさん@お腹いっぱい。2009/02/14(土) 13:57:18
redirectorでやる方法がSquidスレにそった答え
0576名無しさん@お腹いっぱい。2009/02/14(土) 18:56:56
cacheboyって、luscaに改名したんだな
0577名無しさん@お腹いっぱい。2009/02/23(月) 15:20:47
squidで接続先のサイトがbasic認証でid/passを求めてくる場合、
そのサイト毎にsquid側で固定のid/passを使用してアクセスするような仕組みってできますか?
0578名無しさん@お腹いっぱい。2009/02/23(月) 20:46:40
Squid 2.7 Stable6を使っています
PAMによる認証を行いたいのですが、調べたところ
/usr/lib/squid/pam_auth
というモジュールが必要らしいのですが、このディレクトリもファイルもありません
コンパイルの時に何かオプションをつける必要があるのでしょうか
分かる方いましたら教えてください

環境は、PlamoLinux4.22です。
0579名無しさん@お腹いっぱい。2009/02/23(月) 21:44:26
>>577
ヒント squid redirect
0580名無しさん@お腹いっぱい。2009/02/24(火) 00:30:52
>>579
なんかちょっぴり光明が射した。
rewriteの方が早い気もしてきた。
とりあえずアリガトウ!
0581名無しさん@お腹いっぱい。2009/03/02(月) 04:58:24
>>66
?
0582名無しさん@お腹いっぱい。2009/03/10(火) 13:04:33
質問させて下さい。
squid3.0 stable13を使用しています。
特定のサイトにのみ、あるrefererを送りたいのです。

url_rewrite_program(旧 redirect_program?)にて手を入れられれば…
と、思ったのですが、どうやらheadはやりとりしていない模様。

仕方なくsquid.confへ
header_replace Referer ttp://hogehoge/
と書いてみたのですが、どうもうまく置き換わらず。
試行錯誤してみたら
request_header_access Referer deny all
とする事で置き換えが可能という事が判り、置き換えたいケースをaclで指定して、

request_header_access Referer deny acl_test
header_replace Referer ttp://hogehoge/

と、書くことで acl_testに該当する場合はttp://hogehoge/に、
それ以外は正しいrefererを送るようになったかに見えました…
(つづく)
05835822009/03/10(火) 13:06:24
改行大杉orz

(つづき)
しかし、どうにもhttp_refererがあった場合には置き換えてくれますが、
置き換えるべきrefererの値が無い場合には動作してくれません。
今回やりたい事は 置き換え対象が無くても、条件に当てはまる場合は特定のreferer
を送りたいのです。

と、一週間程弄繰り回してそろそろ限界です。
何か良い手段はないでしょうか?

本当はheader_replaceのような固定文よりもある程度任意に変更できそうな、
url_rewrite_programのようなやり方が好ましいのですが、、、
それは諦めるとしても、とにかく強制的に送る手段がありましたらお願いします。

0584名無しさん@お腹いっぱい。2009/03/19(木) 16:57:42
自分が過去に訪れたwebのバックアップをとりたいのですが
キャッシュは可逆圧縮じゃないのですよね
可逆圧縮にして後からキャッシュされたサイトを閲覧することはできないのでしょうか
0585名無しさん@お腹いっぱい。2009/03/21(土) 01:05:59
可逆じゃなかったらhtmlページ壊れるwww
0586名無しさん@お腹いっぱい。2009/03/23(月) 02:43:31
>>585
それは・・
<後の文が省略されました>
0587名無しさん@お腹いっぱい。2009/03/24(火) 23:20:43
教えてください。squid-3.0.STABLE13を使用しており、ホワイトリストの設定をしようと思っています。
今はテストで以下のコンフィグで実行していますが、どうもうまく行きません。

acl white dstdomain google.com

http_access allow white
http_access deny all

http_port 8080

この状態で動作させると、全てのURLを遮断してしまっています。
方々調べたのですが、全て思うように行きません。
何かわかる方がおりましたらお力添え頂けませんでしょうか…。
0588名無しさん@お腹いっぱい。2009/03/25(水) 01:03:57
>>587
.google.com と書くんだ

あとローカルネットワークのACLも書いた方がいいような
deny all の直前に書く
05895872009/03/25(水) 10:03:26
>>587
ありがとうございます。
結果的に解決しました。
結論としてはgoogle.comにアクセスするとリダイレクトされてgoogle.co.jpに飛んでしまうことが原因でした。
(実はできてましたというのがオチです…)

お手数おかけしました。ありがとうございました。
0590名無しさん@お腹いっぱい。2009/03/31(火) 22:12:42
質問させてください。

直接接続にてDNSが引けない場合、親プロクシを使用したいのですが
この場合はどのように設定したらよいのでしょうか?
※親プロクシサーバのhostsファイルで名前解決するようなものが
あるためです。
0591名無しさん@お腹いっぱい。2009/04/01(水) 09:56:13
>>590
ggrks
05925902009/04/02(木) 23:06:07
>>591

ググっても見つからなかったので聞いてみたのですが
もし参考になるところがあればお教え下さいまし。
0593名無しさん@お腹いっぱい。2009/04/02(木) 23:33:16
>直接接続にてDNSが引けない場合、親プロクシを使用したいのですが
>この場合はどのように設定したらよいのでしょうか?
>※親プロクシサーバのhostsファイルで名前解決するようなものが
>あるためです。

「親プロクシサーバのhostsファイル」にあるIPAddressをacl foo dst ... で
定義して、never direct allow fooするとか?
05945902009/04/03(金) 06:19:42
>>592
回答ありがとうございます。
いくつかわかっているホストについては戴いた方法で
解決できているのですが親プロクシが他部署管理で
hostsファイルに何が書かれているかや、追加がされた
場合がわからないのです。

やはり難しいでしょうか?
05955902009/04/03(金) 06:29:26
>>594

すみません、安価間違えました。
0596名無しさん@お腹いっぱい。2009/04/07(火) 21:21:58
せめてドメイン単位とかがわかってない限りは ACL の書きようがないから
どうにもならないんじゃないか。

管理できないから hosts に追加した都度告知しろと政治的なレベルで交渉するか、
アクセスできなかったらその都度調べて ACL に書き足していくという泥縄対応か、
どちらかになるんじゃないかね。

おおかたあれか、基本的には自社のインターネット接続線で外部アクセスするけど
親会社のイントラネット方向のトラフィックは親会社の proxy に回したい
とかそんな感じ?
05975902009/04/10(金) 12:31:26
>>596
> せめてドメイン単位とかがわかってない限りは ACL の書きようがないから
> どうにもならないんじゃないか。

やはりそうですか。。。
名前解決できないものというくくりで親に転送できれば
理想だったのですが、無理そうですね。


> おおかたあれか、基本的には自社のインターネット接続線で外部アクセスするけど
> 親会社のイントラネット方向のトラフィックは親会社の proxy に回したい
> とかそんな感じ?

その通りです。
なかなかそういうケースはないんでしょうかね。

他の方法を考えます。ありがとうございました。
0598名無しさん@お腹いっぱい。2009/04/10(金) 12:44:15
proxy.pac でやる。
0599名無しさん@お腹いっぱい。2009/04/10(金) 14:28:39
WindowsのIEが多数あるならWPADを設定するとか
0600名無しさん@お腹いっぱい。2009/04/10(金) 22:28:49
wpad。
これを知らないヤツは多い
0601名無しさん@お腹いっぱい。2009/04/11(土) 13:40:20
nfs鯖の負荷分散にsquidは使えますか?
0602名無しさん@お腹いっぱい。2009/04/13(月) 01:34:41
Changes to squid-3.0.STABLE14 (11 Apr 2009):

- Regression Fix: HTTP/0.9 in accelerator mode
- Bug 1232: cache_dir parameter limited to only 63 entries
- Bug 1868: support HTTP 207 status
- Bug 2518: assertion failure on restart/reconfigure
- Bug 2588: coredump in rDNS lookup
- Bug 2595: Out of bounds memory write in squid_kerb_auth
- Bug 2599: Idempotent start
- Bug 2605: Prevent setsid() on helpers in daemon mode
- Fix external_acl_type option parsing
- Fix delay pools counters on FTP
- Fix several issues with ident (some remain)
- Fix performance issues with persistent connections
- Fix performance issues with delay pools
- Fix forwarding of OPTIONS requests
- Add support for HTTP 1.1 Content-Disposition header
- Add support for Windows 7, Windows Server 2008 R2 and later
- ... and many small documentation updates
0603名無しさん@お腹いっぱい。2009/05/13(水) 02:05:36
2.7でリバースプロキシを構築したんですが、http経由で/hoge.mp3を要求しても
毎回キャッシュを読まず背後にあるコンテンツサーバへリクエストが投げられて
しまいます。(refresh_patternは設定してあります)

どうも接続元からcache-control:max-age=1が投げられた場合に起きるのですが、
何かのオプションでキャッシュを参照するよう対応できるのでしょうか。
0604名無しさん@お腹いっぱい。2009/06/13(土) 13:49:39
squidのキャッシュに過去に閲覧したサイトのバックアップを残したいのですが
元のサイトが消えてしまうと(yahoo ニュースとか一定期間すぎると消えてしまう)
キャッシュの方も追随して消えてしまいます

キャッシュが元サイトに追随して消えないようにする方法ないのでしょうか
0605名無しさん@お腹いっぱい。2009/07/10(金) 16:49:53
申し訳ありませんがsquid3.0の日本語リファレンスがどこかに転がってるとかないですか?
2.5や2.7を経て設定方法が大幅に変わってしまったようなので、設定を見直したいのですが、
ネットで転がっている個人のサイトでも古い記述しか残ってなくて・・・
特にhttpd_accel_with_proxyの設定に相当する設定方法が知りたいのですが・・・。
0606名無しさん@お腹いっぱい。2009/07/10(金) 21:59:42
>>605
透過型ならこれでできるから、この辺から調べてみたら?
http_port 8080 transparent
0607名無しさん@お腹いっぱい。2009/07/23(木) 09:01:24
squidclamavにてウイルス対策プロキシを建ててみたんだけど、httpsのeicarに反応してくれない
httpには反応してくれてる

url_rewrite_programってhttpsには効かないとかないよね?

0608名無しさん@お腹いっぱい。2009/07/23(木) 09:03:14
>>607
> httpsのeicarに反応してくれない
あたりまえ。バカなの?
0609名無しさん@お腹いっぱい。2009/07/23(木) 09:26:18
ssl通信だからプロキシ側は素通りってこと?
デスクトップ側で対策しないとだめか
0610名無しさん@お腹いっぱい。2009/07/23(木) 12:21:02
>>609
その通り。
少し考えれば判りそうなものだが・・・
これも、夏のせい?
0611名無しさん@お腹いっぱい。2009/07/26(日) 16:39:49
>>609
プロキシサーバにオレオレ認証局構築
User-Agent側のルート証明書に追加
プロキシサーバでMITMしてサーバ証明書偽造
これでいいならいけるはず
0612名無しさん@お腹いっぱい。2009/07/26(日) 17:03:22
>>611
それやると色々とウザイ事が起こるような。
まあ、それでも良いならやれば良いんだろうが。

俺の所じゃ無理だ。
0613名無しさん@お腹いっぱい。2009/07/27(月) 00:30:56
>>611
Squidでできるの?
0614名無しさん@お腹いっぱい。2009/08/10(月) 17:15:44
firefoxのプロキシ設定でsquidを通すように設定すると、
firefoxのスマートキーワードが使えなくなります。
Squidの設定を変更することで、スマートキーワードを活かせませんか?
0615名無しさん@お腹いっぱい。2009/08/10(月) 17:49:29
>>614
> firefoxのプロキシ設定でsquidを通すように設定すると、
> firefoxのスマートキーワードが使えなくなります。
いいえ。使えます
2.7.STABLE6とFirefox 3.5.2で確認

> Squidの設定を変更することで、スマートキーワードを活かせませんか?
活かせます
ちゃんと設定しろ
0616名無しさん@お腹いっぱい。2009/08/11(火) 17:42:57
>>615
> ちゃんと設定しろ
「ちゃんと」の内訳を教えてくださいよ。
0617名無しさん@お腹いっぱい。2009/08/11(火) 18:35:20
スマートキーワードってこういうのでいいんだよな?
ttp://level.s69.xrea.com/mozilla/index.cgi?id=20040926_SmartKeyword

Firefox3.5.2, Squid 3.0.18 の環境
Firefox3.5.2, Squid 2.7.6 の環境
で試したがどちらも特に問題なく動いているよう見えるな

>「ちゃんと」の内訳を教えてくださいよ。
そういうときは自分の設定を晒すこった。多分どこかに解釈の錯誤がある。
cat squid.conf | egrep -v '^($|#)' の結果と
uname -a の結果を張ってみ
0618名無しさん@お腹いっぱい。2009/08/17(月) 05:03:08
proxy.pac書けば
0619名無しさん@お腹いっぱい。2009/09/02(水) 20:10:53
proxy.pac で、自分が今自宅にいるのか職場にいるのかを判別するのに、
良い方法はありませんか?
0620名無しさん@お腹いっぱい。2009/09/02(水) 21:56:57
>>619
squid 関係無いじゃん。

ところで、isInNet で判断できないの?
0621名無しさん@お腹いっぱい。2009/09/02(水) 22:45:30
>>620
すまん、すれ違いだった。

以下愚痴
最近職場もプライベートネットワークになったんだけど、
たまたま、自宅の設定と同じ領域なんだよね。
自宅の設定を変えると、ほかの機器の再設定が面倒だし・・・
0622名無しさん@お腹いっぱい。2009/09/02(水) 23:16:48
>>621
自宅のDHCPで固定割当できないの?
同じIPアドレスになったら、あきらめるのが前提だが。
0623名無しさん@お腹いっぱい。2009/09/04(金) 22:41:37
Domainも一緒なの?
0624名無しさん@お腹いっぱい。2009/10/13(火) 16:51:29
Version 3.0.STABLE18 を使っています。

cache_mem 2048 MB
cache_dir null /tmp

と設定して使ったところ、2GB を越える大きなファイル(ISOイメージ等)の
ダウンロードが、2,147,417,396 バイトで中断されてしまったのですが、何が
原因でしょう?

・3.0.STABLE18 が悪い
・cache_dir null が悪い(十分に大きなディスク上のキャッシュを用意する)
・cache_dir null でもいいが、3.0 では不可

2.x系へのダウングレードも不可能ではありませんが、そうそう停められない
サーバなので当たりをつけてから検証したいため、思い当たるフシがある方が
いらっしゃいましたら、助言頂けると嬉しいです。
0625名無しさん@お腹いっぱい。2009/10/13(火) 17:46:34
>>624
null に関しては、>>541
あと、他の設定もさらした方が良いと思う・・・
0626名無しさん@お腹いっぱい。2009/10/13(火) 17:48:38
3.0の「STABLE」って名ばかりじゃね?次々とリリースされてて信用できない
cossも使えないし親プロキシにhttp/1.1で接続できないのでウチの職場では当面2.7だな
0627名無しさん@お腹いっぱい。2009/10/13(火) 18:02:38
>>626
確かに coss が使えないのは痛いな。
でも、ICAPが安定しているので、もう 2系列には戻れない。
06286242009/10/14(水) 13:29:05
>>625
あー そうなんですか...

でも、コンテンツが cache_mem サイズを越えない限りは問題なく使えて
るっぽいんですけどね。まさにその部分に問題抱えてるんでしょうかね。

>>626
やっぱり奇数系列の 3.1 を待てってことなんでしょうかね。
06296242009/10/14(水) 14:08:16
>>625
あー そうなんですか...
コンテンツが cache_mem サイズを越えない限りは問題なく使えてるっぽいんですけどね。

>>626
Squid って偶数が開発系列で奇数が安定系列とかってルールありましたっけ?
単純に 3.0 系列が枯れてないってことなのかな。
06306242009/10/14(水) 14:16:08
二重カキコ 失礼。
0631名無しさん@お腹いっぱい。2009/10/20(火) 17:09:18
>589

そういうことが頻出するから、
Squidでホワイトリスト管理は事実上不可能だと思うよ。

Google許可してる時点でもうね・・・
06326242009/10/28(水) 19:47:00
結局、週末に 2.7.STABLE7 にダウングレードした所、

cache_mem 2048 MB

でも全く問題なく 2GB超 のファイルが中継できるようになりました。
もちっと頑張ってくれ >> squid3系 の中の人

>>625 さんアンカありがとうございました。
0633名無しさん@お腹いっぱい。2009/11/10(火) 20:44:06
社内で使うsquidを運用しています。
営業時間内は社内の30人ほどが常時Webへアクセスするのに利用しています。
セキュリティーポリシー上、外部へのアクセスは必ずPROXY経由とし、全てのアクセスログをとる必要があります。
かつ、LDAPでBASIC認証によるProxy-Authを行っております。
アクセスログをとるのが一番の目的(Pマークの関係上)で、キャッシュ効果は期待していません。(むしろ無いほうがいい)

現在そのような設定になっているのですが、社内からPROXYが遅いとのクレームがありました。
確かにPROXYを経由せず直接繋ぐのに比べると、かなりもっさりした感じになります。

サーバーはPentiumIII 1.4GHz、メモリー1.5GBといった構成で、最近のマシンスペックからしたら非力ですが
ロードアベレージも0.1前後、CPU使用率3%、メモリーもキャッシュ分を加味すると800MBほど空きがあり、
スペックが足りないとも思えません。
IO待ちとも考えられませんし、TCPのコネクションもせいぜい数百でした。

OSはCentOS5.2、squidはRPM版squid-2.6.STABLE6-5.el5_1.3です。

PROXYを経由する以上ある程度もっさりするのは仕方ないのでしょうか。
改善の方法、思い当たる節などありましたら教えてください。
0634名無しさん@お腹いっぱい。2009/11/10(火) 21:29:42
>>633
Linux と Squid はどんな設定なの?
ベンチマーク取ればわかるけど、チューニングで結構変わるよ
0635名無しさん@お腹いっぱい。2009/11/10(火) 22:54:44
>>633
まず squid.conf をドメイン名とかグローバルIPアドレスとかを伏せて
コメントと空行を削って全部出せ。
$ cat squid.conf | egrep -v '^($|#)'
あたりで処理できる。

ログ書くのって結構重いんだよね。あとは name lookup まわりとかか。


06366332009/11/12(木) 09:10:46
書き込み規制ながかたよー\(^o^)/

>>634 >>635
squid.conf晒します

http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 24 MB
logformat squid2 %ts.%03tu %tl %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid2
auth_param basic program /usr/lib/squid/squid_ldap_auth -b "dc=XXXXX,dc=XXXXX,dc=XX,dc=XX" -f "(&(uid=%s)(objectClass=inetOrgPerson))" 192.168.0.1
auth_param basic children 5
auth_param basic realm proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl ldap_auth proxy_auth REQUIRED
acl networkauth dst 10.1.1.1/32
acl localsubnet src 192.168.0.0/24
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
06376332009/11/12(木) 09:12:14
>>636続き

acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny networkauth
http_access allow localhost
http_access allow localsubnet ldap_auth
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname unknown
deny_info denynetworkauth.html networkauth
forwarded_for off
header_access Via deny all
coredump_dir /var/spool/squid

このsquidサーバーのIPは192.168.0.2です。

あとLinuxの設定…というと何が必要ですか?
0638名無しさん@お腹いっぱい。2009/11/12(木) 10:06:01
>>636
squid起動する時のオプション晒して。
起動スクリプトからの起動なら、該当部分の抜粋で良いので。
0639名無しさん@お腹いっぱい。2009/11/12(木) 10:21:27
>>636-637
cache_dirが無いけど、2.6はcache_dirなくても動くの?
06406332009/11/12(木) 10:52:02
>>638
抜粋する自信がなかったのでうpりました
http://www.dotup.org/uploda/www.dotup.org353565.txt.html

普通にCentOSでrpmで入れた起動スクリプトそのまんまだと思います


>>639
cache_dirの行はコメントアウトされてました
とりあえず現状ではこれでうごいています
0641名無しさん@お腹いっぱい。2009/11/12(木) 11:38:36
>>633
メモリ800MB余ってて、cache_mem 24 MBは少なすぎじゃ?

また、ディスク性能も気になります
cache_dir…デフォルトのufsを使用しているようですので、cossにする
cache_store_log…noneにする
とかでディスクへのアクセスを軽減してみるとか
■ このスレッドは過去ログ倉庫に格納されています