Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> Администрирование сервера: SquidNT
Администрирование сервера: SquidNT
Автор
Сообщение
| Есть моя офисная сетка 192.205.80.0/24
Windows 2003 Server Std/ActiveDirectory/DNS/DHCP/... Есть городская сеть 172.21.0.0/16 На серваке два интерфейса в локалку и в городскую сеть У меня стоит SquidNT, со всеми оптимальными настройками На одном из компов городской сети стоит SquidNT, через который мы выходим в инет Этот прокси провайдера сам не имеет прямого выхода в инет, тоже получает трафик через каскадный прокси (хрен знает какого провайдера) Проблема: Мой Squid при получении запросов, обращается к моему DNS, который не найдя записи в своей базе - пытается найти у родительских DNS. Получив отрицательный ответ, Squid пересылает запрос "как есть" на родительский прокси. Эта процедура вызывает тормоза даже при загрузке ya.ru Мой локальный DNS обслуживает домен ActiveDirectory моей ЛВС. Без него я не могу. Прямого выхода в инет у меня нет (только через прокси) На прокси сервере провайдера DNS нет вообще В городской сети есть DNS, но тоже локальный Как отучить Squid юзать DNS? или Как перенастроить DNS? или Что вообще можно сделать? Пожалуйста, кто может чего-нить подсказать... Заранее спасибо |
| man:
always_direct never_direct _________________ Ин дер гросен фамилие нихт клювен клац-клац  |
andy ice писал(а): man:
always_direct never_direct В том-то и дело, что у меня корректно настроены и cache_peer и hierarchy_stoplist и no_cache и always_direct/never_direct (в городскую сетку запросы уходят direct, в инет через каскад) ACLки все настроены, целый месяц squid настраивал, тестировал... Авторизацию через ActiveDirectory поднял... А сечас всё насмарку :( |
| видимо далее телепатически бесполезно гадать _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| Посмотрите плиз конфиг, может кто что углядит...
# Proxy Port http_port 8080 icp_port 0 htcp_port 0 # Providers Proxy cache_peer 172.21.0.100 parent 8880 0 no-query no-digest login=###:*** acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 16 MB fqdncache_size 4096 cache_dir awin32 c:/squid/var/cache 300 16 256 emulate_httpd_log on # NTLM auth auth_param ntlm program c:/squid/libexec/win32_ntlm_auth.exe auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate on # AD Group checker external_acl_type win_domain_group ttl=300 %LOGIN c:/squid/libexec/win32_check_group.exe -G refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95 positive_dns_ttl 24 hours acl all src 0.0.0.0/0.0.0.0 # Trusted clients acl trusted_wks src 192.205.80.1 # acl trusted_wks src 192.205.80.205 # acl trusted_wks src 192.205.80.254 # acl trusted_wks src 192.205.80.17 # http_access allow trusted_wks acl our_net proxy_auth REQUIRED src 192.205.80.0/24 # ActiveDirectory Group:"inetusers" acl InetAllow external win_domain_group inetusers http_access allow InetAllow # Providers network acl BAD_BOYS src 172.21.0.0/16 http_access deny BAD_BOYS # Direct Providers network access acl to_extern 172.21.0.0/16 always_direct allow to_extern http_access deny all http_reply_access allow all icp_access allow all dns_testnames localhost never_direct allow all retry_on_error on strip_query_terms off |
esbi писал(а): в городскую сетку запросы уходят direct, в инет через каскадкыстати. вот чего подумалось. а как сервер знает, к кому относитсо запрос - к локальному ИП или к глобальному? отправляет запрос к ... DNS _________________ Ин дер гросен фамилие нихт клювен клац-клац |
andy ice писал(а): esbi писал(а): в городскую сетку запросы уходят direct, в инет через каскадкыстати. вот чего подумалось. а как сервер знает, к кому относитсо запрос - к локальному ИП или к глобальному? отправляет запрос к ... DNS Естественно! Вот я и думаю, как можно отучить Squid глядеть в DNS. Хотя, с локальными айпи проблем то нет, а в городской сетке все ресурсы без доменных имен... Кстати, хотел свой виндовый DNS тюнинговать, дык не очень то он и подлежит настройке... по крайней мере "время ожидания пересылки" запросов на другие DNS, меньше 5 секунд не выставляется :( |
| вот я тебе и говорю, что как-то надо правила пересматривать, ибо получается что сквид каждый запрос тестит на предмет - а какой у запроса адрес, а не попадает ли он в директы? выход - ставить свой днс-сервер, который банально отлуп давать будет для сквида, чтобы он не смотрел никуда больше а сразу в вышестоящий прокси запрос пересылал. _________________ Ин дер гросен фамилие нихт клювен клац-клац |
andy ice писал(а): выход - ставить свой днс-серверДык есть у меня ДНС andy ice писал(а): который банально отлуп давать будет для сквидаА это уже интереснее... Как бы мне настроить свой ДНС на отлупы? |
| а на машине с ДНС какие настройки? в смысле в настройках TCP/IP ДНС прописан или нет? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| В настройках TCP/IP DNS прписан.
Первичный - свой ЙП. Вторичный - localhost (так, на всякий случай) |
| esbi
забавно. а просто nslookup на этот сервак как быстро ип отдает на левые хочты? просто такое впечатление что он зацикливается... _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| nslookup ип на левые хочты не отдает вообще
кроме меня нет DNS в интрасети кстати, я снимал настройки ДНС с внешнего интерфейса - толку ни какого Да, винда еще говорит, что раз у вас стоит ДНС-сервер, то он и будет использоваться для этого интерфейса  |
| на машине со сквидом сразу на левый хост приходит ответ "неизвестный адрес"? тогда может подвисон у родительского прокси? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
andy ice писал(а): на машине со сквидом сразу на левый хост приходит ответ "неизвестный адрес"?Чего то не понял nslookup всегда выдает на левых unknown браузер через родителя заходит шустро юзер моего сквида через браузер получает ответы по истечении таймаута andy ice писал(а): тогда может подвисон у родительского прокси?Подвисонов у них не замечено |
esbi писал(а): браузер через родителя заходит шустро значит твой 
esbi писал(а): acl to_extern 172.21.0.0/16
always_direct allow to_extern http_access deny all http_reply_access allow all icp_access allow all dns_testnames localhost попробуй заремарь вот это. и на внешние сайты отклик изменится? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
andy ice писал(а): esbi писал(а): браузер через родителя заходит шустро значит твой
esbi писал(а): acl to_extern 172.21.0.0/16
always_direct allow to_extern http_access deny all http_reply_access allow all icp_access allow all dns_testnames localhost попробуй заремарь вот это. и на внешние сайты отклик изменится? Закомментировал всё кроме dns_testnames localhost: Ага, тормозить стало гораздо быстрее! andy ice писал(а): вот я тебе и говорю, что как-то надо правила пересматривать, ибо получается что сквид каждый запрос тестит на предмет - а какой у запроса адрес, а не попадает ли он в директы?Похоже верно писал А про остальные параметры? Я чего-то не понял |
| чё спросил? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| http_access deny all
Мне кажется эту строку НЕ нужно комментировать http_reply_access allow all icp_access allow all А отключение этих строк? Я с трудом догоняю что это |
| esbi
а ну да. первую не надо. я ж сказал на временно так-то на тормоза первые две влияют. точней само правило - вторая строка _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| Вот отключил я это правило
acl to_extern 172.21.0.0/16 always_direct allow to_extern Только думаю сейчас, как бы в эту подсетку запросы рулить  |
| так эта. правило сделай для ИЕ, чтобы по этим ип-ам прокси не использовался
или просто галку [x] Не использовать для локальных адресов |
| Дык своего осла-то я настрою, а юзеры в локалке? |
| так у тебя вроде АД? _________________ Ин дер гросен фамилие нихт клювен клац-клац |
| У меня АД, и я могу в политиках настроить браузеры юзеров.
НО интерфейс в сеть прова доступен только на сервере. У меня нет мостового соединения, нет маршрутизатора. Поэтому я хотел пускать юзеров в сеть прова так же как и в инет - через сквид (используя директы). Кстати, отключение правила директов немного помогло, но тормоза не исчезли! Стало чуть-чуть быстрее. Сейчас, пока настраиваю сквид, у меня работает юзергейт. И работает быстро! |
Дык. Раз уж юзаешь МС решения - иди до конца. Ставь ISA 
Или, уж на то пошло, ставь куданить DNS, есть маленькие бесплатные. Поставь, пропиши что есть и натрави сквид еще и на него _________________ Ин дер гросен фамилие нихт клювен клац-клац |
andy ice писал(а): Дык. Раз уж юзаешь МС решения - иди до конца. Ставь ISA
Или, уж на то пошло, ставь куданить DNS, есть маленькие бесплатные. Поставь, пропиши что есть и натрави сквид еще и на него Честно говоря у меня была маленькая такая мечта: Поднять Windows-сервер с ЧИСТО майкросовтовским софтом Но постоянно возникают всякие траблы, недоразумения баги и.т.п Софт платный, весит много, настраивается туго, документирован в стиле "сначала получи сертификаты сисадмина от майкрософт, а потом читай"... +Нет времени на настройку серьёзного софта
+Всё админство происходит на переменах между парами
Спасибо за внимание |
esbi писал(а): возникают всякие траблы, недоразумения баги и.т.пэто от недостатка знаний. потому что сам знаешь почему: esbi писал(а): +Нет времени на настройку серьёзного софта
+Всё админство происходит на переменах между парами а литературы достаточно. _________________ Ин дер гросен фамилие нихт клювен клац-клац |
esbi писал(а): документирован в стиле "сначала получи сертификаты сисадмина от майкрософт, а потом читай"... Если честно - не понял фразу. Разъясните, плиз. _________________ Скажи мне чей Крым, и я скажу кто ты. |
Страница 1 из 1
Список форумов Шадринский форум -> Отдел игрушек (мягких и твёрдых) -> Операционные системы и сети -> Администрирование сервера: SquidNT
| |
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы |