обход запретов и delay_pools в squid

Speccyfan · Сообщение **Speccyfan** » 26 май 2008, 16:41

Есть сквид к нему прикручен sarg для генерации отчетов. Есть некоторая группа юзеров (прогеры), которые нашли способ резолвить адреса локально на машине, а прокси скармливать только ip, в результате в отчете фигурируют записи вида: ip.add.re.ss:80 само собой лазят где попало, т.к. ограничения прописаны только в виде dns, отчеты нечитабельные, бо лень резолвить это все, да и не все резолвится, что еще странно происходит обход delay_pools. Вопрос, что это может быть? И как с этим бороться ? Понимаю, что лучше просто наехать, но сначала хотелось бы выяснить, что это вообще такое.

Hermit · Сообщение **Hermit** » 26 май 2008, 17:35

Какая версия сквида? В каких-то версиях довольно долго были сломаны delay pools.

по поводу ип адресов в логе - странно, потому что имя удаленного сервера берется из заголовков http (host: ...), а не из заголовков ip пакетов. А если в http запросах не будет заголовка host, то name based virtual hosts (которых большинство) просто не будут работать, т.е. у пользователей не будет открываться половина сайтов.

В этой ситуации есть смысл записать дамп трафика интересующей группы и разбирать конкретные запросы. Ну и по логам думаю что-то можно сказать подробнее.

В принципе, некоторые серверы могут перенаправлять сразу на ip адреса , без участия DNS (особенно для тяжелого контента).

Speccyfan · Сообщение **Speccyfan** » 26 май 2008, 17:45

Я это и сам понимаю, оно то и странно, но кроме ip нет нифига, версия сквида squid-2.6.STABLE17-alt0.M40.1
И у остальных delay_pools работают.
Попробую действительно заюзать tcpdump

Llama · Сообщение **Llama** » 26 май 2008, 17:45

Speccyfan, метод connect оторван? Т.е. если они резолвят имена локально, то путем CONNECT'а действительно можно делать такие вещи как CONNECT 80 с последующим игнорирование лог-файлов.

Speccyfan · Сообщение **Speccyfan** » 26 май 2008, 17:47

нет, connect можно, иначе же не будет работать аська и т.п.

Hermit · Сообщение **Hermit** » 26 май 2008, 18:02

а в логах какой метод виден?

Speccyfan · Сообщение **Speccyfan** » 27 май 2008, 10:28

1211872626.934 237478 10.8.21.75 TCP_MISS/200 104604 CONNECT 89.108.94.232:80 serga DIRECT/89.108.94.232 -
1211872642.099 266777 10.8.21.75 TCP_MISS/200 63942 CONNECT 89.108.94.232:80 serga DIRECT/89.108.94.232 -
1211872643.948 254581 10.8.21.75 TCP_MISS/200 58201 CONNECT 89.108.94.229:80 serga DIRECT/89.108.94.229 -
1211872647.280 257741 10.8.21.75 TCP_MISS/200 88187 CONNECT 89.108.94.232:80 serga DIRECT/89.108.94.232 -
1211872684.580 305748 10.8.21.75 TCP_MISS/200 144654 CONNECT 89.108.94.229:80 serga DIRECT/89.108.94.229 -
1211872710.417 320920 10.8.21.75 TCP_MISS/200 82778 CONNECT 89.108.94.229:80 serga DIRECT/89.108.94.229 -
1211872744.987 350534 10.8.21.75 TCP_MISS/200 181384 CONNECT 89.108.94.232:80 serga DIRECT/89.108.94.232 -
1211872772.177 23581 10.8.21.75 TCP_MISS/200 221 CONNECT 10.8.16.10:8913 serga DIRECT/10.8.16.10 -
1211872806.570 513 10.8.21.75 TCP_MISS/503 0 CONNECT 10.64.24.70:3258 serga DIRECT/10.64.24.70 -
1211872807.305 61252 10.8.21.75 TCP_MISS/503 0 CONNECT 195.135.197.1:3258 serga DIRECT/195.135.197.1 -
1211872837.307 59877 10.8.21.75 TCP_MISS/503 0 CONNECT 194.158.204.52:1041 serga DIRECT/194.158.204.52 -
и так все

Hermit · Сообщение **Hermit** » 27 май 2008, 10:31

как вариант можно запретить connect на 80 порт.
интересно еще было бы посмотреть useragent_log

Speccyfan · Сообщение **Speccyfan** » 27 май 2008, 11:57

Спасибо помогло

а useragant_log'а я что-то у себя не вижу, это отдельно врубается?

Hermit · Сообщение **Hermit** » 27 май 2008, 12:32

# TAG: useragent_log
# Note: This option is only available if Squid is rebuilt with the
# --enable-useragent-log option
#
# Squid will write the User-Agent field from HTTP requests
# to the filename specified here. By default useragent_log
# is disabled.
#
#Default:
# none

Speccyfan · Сообщение **Speccyfan** » 27 май 2008, 13:36

Угу. врубил и это. Спасибо.