プロキシサーバ総合
プロキシスレがないようなので立てました。 Squid http://www.squid-cache.org/ Delegate http://www.delegate.org/delegate/ 自宅串鯖を外部公開している兵はおるかい? とりあえず自分はDelegateを使って アプリケーションゲートウェイを立てようと思ってます。 自宅鯖、動的IP、DDNS使用 の人にとって、串鯖を立てるメリットはどのようなものがあるのでしょうか? 以前から串鯖には食指が動かないでいるのですが・・・ >>4 自宅に複数台PCがあるのならキャッシュが利くので ブラウジングの速度があがるかと思います。 串鯖を外部に公開することは稀でしょうから、 動的IPだろうがDDNS使用だろうが関係ないと思いますよ。 >>5 動的コンテンツの多い今、プロキシーの効用は薄れつつあるよ。 画像とかhtmlの閲覧が多いと言うのならそれはそれで意味があるのだが。 >>6 画像は非常に効率よくキャッシュされるので有効。 うちの環境ではキャッシュヒット率が45%。 >>6 確かにそうですね。 さらに回線の高速化に伴い串の意味はほとんど無くなって来ているかも。 しかし学校や会社なんかではよく使われていますし、 使い方次第で大変役に立つものだと思っております。 >>7 ログを解析されているのでしょうか? よければ使用してプロキシサーバの名前と解析ソフト名を 教えていただけないでしょうか? ちなみに私は昔SARGという解析ソフトを使用していました。 静止画ならねえ。 動画はキャッシュできるほど小さくない ストリームじゃどうにもならんし うちの場合、転送量の99%以上が動画だからどうにも・・・ >>5 なるほど。解説ありがとうです。 ・・・ということでやっぱり、しばらくは無縁になりそうです(苦笑) >>9 うちでは squid に解析ツールとして calamaris を利用。 ↓このあたりから好きなのを探すべし。 http://www.squid-cache.org/Scripts/ 実際に解析ツールを動かしてみるとわかるが、ヒットがいちばん多いのは HTML ではなく、web ページのレイアウト用部品やアイコンなどの小さな GIF 画像。 動的コンテンツの多いページや頻繁に更新がかかるページでも これらの画像に更新がかかることは滅多にない上、企業サイトや ちょっと凝ったデザインのページではこういう画像がひとつのページに 大量に含まれているので、キャッシュの効果は非常に高い。 プロキシに広告よけフィルタをかませたりすると、うざいものを見なくて済む上、 ダウンロードするバナーも減るのでさらに効率がよくなる。 >>10 >動画はキャッシュできるほど小さくない 個人用途ならそもそも同じ動画を何度もダウンロードすることは滅多にないので、 キャッシュする意味が皆無。 ところで proxy と cache は別のことですよね?素朴な疑問。 >>14 正解。 proxy は代理アクセスするもの。HTTP proxy だけでなくいろんなものがある。 cache はアクセスした結果をためこむもの。これも HTTP proxy cache だけでない。 たとえば、/etc/resolv.conf には DNS cache server の IP アドレスを指定する。 >>16 もうちょっと勉強した方が良いと思われ。 知識を中途半端にためてことある毎に 恥をかくよりは。 >>15 詳解ありがとうです。 ところでもしかするとこういうことが出来るのでしょうか? 順を追って説明します。 1. 自宅鯖にて smtpd(qmail) を運用している。現在は自分専用。 2. 親しくしている友人に自宅鯖のメールアカウントをあげたい。 3. ただしその友人の環境は固定 IP ではないので smtpd には繋げられても中継ができない。 (不正中継抑止のためにローカル以外からの中継は拒否している/固定IPではないのでねらい打ちが出来ないでいる。) 4. それならば、認証付きの proxy に接続してもらって、そこから smtpd へローカルの IP に成りすまして接続できないもんだろうか? ・・・というように頭の中で描いています。 もし可能であるならば、そのあたりを含めて proxy の勉強をしてみようかと考えています。 (それ以前に甚大なる勘違いをしているかもしれませんが、、、) ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>18 MTA の基本動作に「中継」がありますので、専用の SMTP proxy というのは ふつーは使いません。delegate でできないこともないけど。 proxy ではなく、ふつーに SMTP AUTH ないしは POP before SMTP に対応させてください。 >>21 やはりそうですかぁ・・・(´・ω・`)ショボーン >>4 ええと、proxy serverを使うことで 外と中のネットワークを直結しなくてもすみます。 なので、簡単なファイヤーウォールとしての機能も期待できます。 もちろん、NICの2枚差しとか、それなりにコストがかかりますけど。 (⌒V⌒) │ ^ ^ │<これからも僕を応援して下さいね(^^)。 ⊂| |つ (_)(_) 山崎パン ↓これなんだけど・・・ TCP_REFRESH_HIT/200 143041 GET http://xs.ddo.jp/upld2nd/niji/img-box/img2.jpg - DIRECT/xs.ddo.jp image/jpeg 取りに行かないようにするには設定ファイルのどれを弄ればいい? せめて squid を使ってるってことぐらい書こうや。 squid はバージョンによって設定項目がしょっちゅう変わるし。 で、どういう条件にしたいのかがイマイチ不明なのだが、 特定の URL へのアクセスをしないようにするのならば acl hoge url_regex ^http://... http_access deny hoge というのを squid.conf の「適切な位置」に挿入すればよし。 末尾に追加するだけじゃ無効。 >>31 ごめ アクセス拒否ではなく TCP_REFRESH_HIT/200 〜 DIRECT/〜 image/jpeg を TCP_HIT/200 〜 NONE/- image/jpeg としたいんだけど キャッシュ保持時間の設定がどこかにあるような・・・ 使用してるのは「Squid/2.3.STABLE5」です >>33 store.log見ても外部取得してるように見える *HDのキャッシュファイルから取得した「SWAPIN」の記述がまったく無いし・・・ http受信のData項目を見たら外部取得してない If-Modified-Since送信をしてるからDirectとログにあるのか? 質問だ OSのhostsファイルを優先させる方法を教えてくれ squid付属のdnsクライアントはhostsファイルを無視しやがる ./configure --disable-internal-dns かな? Swift Proxyというのは安定性、セキュリティはどうでしょうか? 更新は止まってるっぽいですが。 http://hp.vector.co.jp/authors/VA003211/sproxy.htm Webフィルタを回避するために自宅にプロクシサーバ立てています。 サーバとの間はVPN使っています。 今は、BlackJumboDogを使っていますが、認証とかが無いので、 IPアドレスでアクセス制御するしかありません。 でも、An HTTPと比べても動作が軽く安定しています。 An HTTPは大変高機能で良いアプリケーションだと思いますが、 当方の環境ではよく落ちるし(原因不明、気づくと強制終了してる)、 Proxyとして使うとBlackJumboDogと比較して遅いので使用停止しました。 ブラウザとProxyサーバの間の通信は暗号化されて、動作が高速で、Socksサーバと しても使えて、安定してて、ヘッダをブラウザと同じに書き換えてプロクシ規制 なども回避できて、設定しやすいのを探しているのですが、それぞれ一長一短で なかなかこれというのがありません。 何か良いProxyサーバをご存じの方いらっしゃいますか? すれ違いだったらすみません・・・。 PRINの規制が入って書き込みできないのですが どなたか2ちゃんに書込みできる信頼性の高い公開プロキシ知ってたら教えてください >>39 ありがとうございます。 あんまこっちの板にアクセスしたことなくて >>37 鯖のOSは? 話はそれからだ UNIX(系列)ならソース公開されてるから書き換えればいい(大半がコンパイル必要と思ってる) クライアント=串間の暗号化してるやつあるのか? >>41 AnHTTPD とか BJD とか書いてあるのに UNIX なわけねーだろ。 >クライアント=串間の暗号化してるやつあるのか? プロキシにはクライアントとの間を暗号化する仕様がないので、 L7 でやるのは無理。その下のレイヤで暗号化する必要あり。 つーか、VPN で使ってるんなら、すでにそうなってるのでは? >>41 サーバはWindowsXP Professionalです。OSも書かずすみません。 当方、ソースを自由に書き換えるスキルは残念ながらありません・・・。 ほんの少しの修正程度ならなんとかなるんですが。 >>42 やはり、無理ですよね・・・。できればVPNは使いたくないのですが。 サーバ、クライアントともそれぞれPPTP/IPSecパススルーのみサポート してるブロードバンドルータを挟んでいるため、VPNだと同時にクライアント 1台しかつなげないようです(XP Pro.自体は同時3接続までOKみたいですが)。 クライアント側は4台あるのですが、その4台を同時期に使うときにサーバと クライアント間の通信を暗号化して使うにはクライアント側の1台をゲートウェイに するか、VPNゲートウェイ機能があるルータをクライアント側に導入すれば、 私の要求する条件に近いものはできるとは理解しているつもりなのですが、 4台同時に使うとなると・・・うーむ、となります。 なかなかうまくいかないものですね。 CGIのProxyだと、WebProxyという、一部だけ私の要求する 条件にヒットしたのがあったんですが、認証機能は無いようです。 http://www.age.jp/ ~lunar/index.cgi?page=dl_webproxy&from=socket_cgi もう少し研究してみます。 追加です、「Swift Proxy」使ってみました。Proxyの認証機能は要求通り ですが、設定の問題なのか、ちょっと動作がうまくなく、 CGIやSSLを使って通信するWebサイトだとクライアント側にうまく表示できない ことが時々あります(「ページが表示できません」になったり画像だけ 来なかったり)。 同じWebサイト(DTIのWebメール、他)をBlackJumboDog(BJD)を 使うとだいたいは、うまく表示されます。 「Swift Proxy」のキャッシュのON/OFF等や同時処理できるスレッド数を 増やしたりちょっとずつ設定変えてはためしたのですが。。。変わらず。 あとクライアントにページが表示されるまでが、BJDと比べるとちょっと 遅いかな・・・。SocksもSocksCap32などでうまく通信できません (当方の設定の問題のような気もします)。 安定性については短い時間なのでわかりませんでした。 #SwiftProxyの作者様見ていたら申し訳ありません、でもすばらしい #ソフトウェアだと思います。 Delegate使ってみようと四苦八苦・・・。とりあえず動いているんですが、 速ーい・・・のですが、細かい設定しようとすると、ちと敷居高いですね。 マニュアルが、スポンジ脳みそな私の頭ではちょっと難しい。 今の設定だけだとまずい気がして、外からはつなげないようにしております。 とりあえず、最低限、認証できるようになるまでやります・・・。 まず、stunnel や stone や zebedee や ssh のようなツールで暗号化トンネルを張り、 そのトンネル上で好きなプロクシを使うのが確実だと思う。 ひとつのツールだけではなく、複数のツールを組み合わせるべし。 squidGuardというもんがあるんだけど (http://www.squidguard.org/ ) この話題を2chで扱っているスレって知りませんか? >48 Squid Web Proxy Cache ttp://pc.2ch.net/test/read.cgi/unix/1034236482/ ttp://www.perlmonks.org/index.pl?parent=302259&title=An%20internet%20garbage%20filter&lastnode_id=302259&displaytype=display&type=superdoc&node=Comment%20on ここにPerlで書かれたWebフィルタリングするプロキシサーバ(Port:8080使用)らしきものがあるんだけど つながんないYO 使い方教えて。 キャッシュなんか溜めない設定にしています。どうせ、いわゆる「串」としてしか考えてないんだろから。 それでもlogだけで一日に5MB近くになるからな。時々皆さんがどういうサイトを見ているか覗くのが楽しみです。 >>44 使ってますけどおっしゃるような画像が表示されないことが ある問題のほか、POST周りの動作が怪しいです POSTした後空POSTを何度も連打したかのような動作を されることがあります。 買い物系でやられるとしゃれにならないので(そういうサイトは たいていhttpsなので今のところ実害は出ていませんが) 世代つきでキャッシュしてくれるツールが他にあったら 乗り換えたいんですが PCからカキコ出来ない…プロキシ規制中だって。別に荒しとかしてないですよ…なんでだろう 皆さんはじめまして 突然ですがYAHOOのトップにチャットという項目があるのはご存知ですよね? そちらのチャットのカテゴリの中に「政治」があります その政治カテゴリのユーザールームに「創価学会YAHOO支部」という部屋があります そこの部屋に遊びにきてください ボイスチャットもフル稼働です みなさんの中にも創価学会に対するご自分の意見をどんどん言ってください その宣伝でした 尚、人数制限がありますので(50人)すぐに満室になって入れなくなるので 今これを読みまして興味を持たれた方はおはやめのご入室をお勧めします >>59 ドキュメントを読まんアホでも squid.conf ぐらいは眺めるものだと思うのだが…。 WinGateって、キャッシュを聞いたことない拡張子で溜めてるけど、これどうにかならないのかな。 これじゃ覗き見できないよ。 以前kan-shoku.co.jp:80っていう串使って掲示板荒らしてたら、 いつのまにか串が使えなくなってしまった。 今串を使うときはmorimoto-haikan.co.jpを使ってる。 掲示板荒らすときは海外串だが・・・ ま、漏れに荒らし依頼をする香具師なんて滅多に居ない訳だが・・・。 串は賞味期限が大変短い生ものです。また、良串ほど賞味期限が短いものです。 私も、皆様のお役に立てればと思い日夜ProxyServerを稼動しております。 今後とも御ひいきに。 http://2.csx.jp/ ~koukichi/tada.html c:\windows\proxy.pacの中身 function FindProxyForURL(url, host){ if(isInNet(host,"192.168.0.0","255.255.255.0")){ return "DIRECT"; } else if(shExpMatch(url,"ftp://*")){ if(shExpMatch(url,"*ragnarok.in.th*")){return "PROXY 203.113.34.239:3128;";} return "DIRECT"; } else if(shExpMatch(url,"http://* ")){ if(shExpMatch(url,"*ragnarok.in.th*")){return "PROXY 203.113.34.239:3128;";} return "DIRECT"; } else { return "DIRECT"; } } これをsquidに設定したいが cache_peer 203.113.34.239 parent 3128 0 no-query acl ragth dstdom_regex ragnarok.in.th cache_peer_access 203.113.34.239 allow ragth こう設定しても上の(squid)PROXYを通してアクセスしてくれない *203.113.34.239へはragnarok.in.thのデータやり取りだけで キャッシュ関係のデータやり取りはやらない どうすればいい? ・・・通す事は通すが 1.ragnarok.in.thへダイレクトにアクセス 2.ragnarok.in.thへアクセス不可だったら指定されたproxyを通す だった 1.ragnarok.in.thへのアクセスに指定されたproxyを通す 2.指定されたproxyがダメだったらエラーを返す このようにしたい リバースプロキシを利用して、公開してるサーバへのアクセス制限を一括管理したいのですが可能でしょうか。 透過型プロキシみたいなことはできますか? いや、端末の設定楽したいだけなんですけど・・・。 すんません、ちと質問。 SquidNT2.5STABLE4の最低限の設定教えてください。 同梱のQUICKSTARTの通りにやってもTCP_DENYで繋がらないです... cygwinのと思われる2.3STABLE4は動くんですが、このVer.ってセキュ穴あるんですよね? OSはWinXPProです。 >>70 良くわかっていないが、取りあえず動いているので提供します。 毎回起動時にエラーが出ているが気にしていない。 アクセス許可 192.168.0.0/24とlocalhost Proxyサーバ名がproxy Portは8080にしてみた。 diffの読み方は調べてください。 diffはWindows Services for Unixを使用しています。 C:\squid\etc>diff squid.conf.default squid.conf 53a54 > http_port 8080 54a56 > 1773,1774c1775,1777 < #acl our_networks src 192.168.1.0/24 192.168.2.0/24 < #http_access allow our_networks --- > acl our_networks src 192.168.0.0/24 > http_access allow our_networks > http_access allow localhost 1979a1983 > visible_hostname proxy おお、出来ました出来ました!! ありがとうございます!! ちょっとキャッシュされないものが多かったりもしますが、ここからは自分で何とかしたいと思います。 しかしDNS自動取得全然ダメですねえ>SquidNT どっから取って来てんだよお前、なDNSのIPが出て来るし。 結局dns_nameserversにプロバイダ提供DNSIP直書きしました。 DNS→DefaultではレジストリからWindowsで使用しているDNSを そのまま使うようになっているので、そのDNS次第と思われます。 自分はSquid動かしているマシンでWindows 2000 AD Server(評価版) でDNSを動かして、DNSをISPのDNSにForwardしています。特に問題なし。 でも評価版を使い続けるのもアレなので、ProfessionalにしてBIND9に 移行予定。 キャッシュされないのが多いのであれば、Squid.confのチューニングで 頑張って下さい。リソースはLinux関係のWebページでたくさんあります。 質問させて下さい。 余ったパソコンで串鯖を立てたいと思っているのですが、 どのようなものを使えば宜しいのでしょうか? OSはWinXPです。 キャッシュよりもセキュリティ(匿名性)を重視したものでお願いします。 >>71 真似してSquidNT2.5STABLE4立ててみたんですが、以前使ってたBlackJumboDogに比べえらく遅いんです googleのトップページ表示するのに5〜10秒ぐらいかかります メモリを120Mに増やしたりしてみましたがあまり改善されません キャッシュを使わない設定にしても速度に変化がありませんでした これってどこかおかしいですよね? なにか初歩的なところがおかしいような気がするのですが、どなたかご助言いただけませんでしょうか? ログは正常なんです 特にエラーは出ていません OSのイベントログにもエラー出てないですし あとはどこを手がかりにしたらよいのか 最初だけ時間がかかってるなら DNS引くのに時間がかかってるとか うちもはじめていくホストを表示する時に時間がかかってる どうやらDNSに時間がかかってるらしいところまでは分かったけど そっからどうすればいいかわかんなくて放置しちゃってる (´・ω・`) nslookupで確認してみたところ、毎回かならず2回失敗していました どうもこのあたりが原因のようですね BlackJumboDogでは問題が出ていなかったので気にしていませんでした もう少し調べてみます どうもありがとうございました delegateスレが死んだと思ったらこっちが本スレだったか。 >>82 自分も最初そうでした>お初のページ時間かかりまくり DNSの順番入れ換えたら物凄く快適に(・∀・) quick_*をいぢると更に(゚д゚)ウマー それはそれとして、あんまりキャッシュされない問題はなんか有耶無耶の内に解決したっぽく。 どうもGIFとか、ある程度小さい奴は初回取得失敗する確率高いらしく、その日の内に何回か行くとキャッシュされてるようです。 もう少し詰めてみます。 >>84 quick_*は面白そうだね。なかなか遊べそう。 もう既に70の方が自分より詳しそう。 >>81 早くなったよー めっちゃ快適でつ 感謝感謝 >>84 quick_* って、quick_abort_min Quick_abort_max quick_abort_pct のことでしょうか? ぐぐってみたけど、何故これ変えるとウマーになるのかよくわかりませんでした 設定さらしてくれると助かります 書きそびれましたが、同じくDNSの順番変えたら早くなりました プライマリDNSがアボーンしてたようです >>86 あるページを読み込み中にセッションが切れた際、 (ブラウザ閉じた、他のURL開いた、などなど) 読み込みを続けるか切るか判定するためのパラメター。 自分はまだいじってない。 >>86 そう、そいつら。 俺はノート+AirH"環境に入れて、ちょっとしたブースター代わりにしてるのよ。 @ITとかみたいに、やたら画像使ってたりindexが重いとこを回ってる時に便利。 記事を読んで戻って来た時には、もう読み込まれてるからウマー(゚д゚) そう言う訳で、普通にブロードバンドなひとには余り意味がないかも。 まあ他にも俺みたいに奇特な方がいるかも知れんので一応貼っとく。 quick_abort_min 16 KB quick_abort_max 1024 KB quick_abort_pct 20 ついでに、効果あるかないか分からないけどもなんとなく速くなってるっぽい気がする変更も。 cache_mem 32 MB half_closed_clients off tcp_recv_bufsize 131072 bytes maximum_single_addr_tries 5 最後のはリトライ回数なのでAirH"でないひとにはホント意味無さ気。 ちなみに只今siblingの研究ちう。 ノートだとキャッシュ容量あんまり取れないんで、自宅串と連携させようかと。 ・・・ただ、これどうも「あったらラッキー」って奴で、キャッシュの同期取るようなものではないみたい。 素直に親子関係にしとけって話もあるが、このノート会社持込もしてるんで自宅串晒したくないのよ。 MS串だと自動連携も出来るらしいんだけども、Squidにはないのかなあ。 >>89 なるほどなるほど そういう使い方もあるのね たつまき+Squidなら効果高そうですね それにしてもSquidはいじり出すと色々できますね 接続できるPCのリストとか、禁止URLとか別のテキストファイルにリンクできたりと結構便利っす でもこのあたりの説明が載ってるページが少ないのが残念ですね squid.confの説明書きに載ってないテクニックがまだまだありそうな気がします おまけ 2004年3月2日 : SquidのURLに"%00"が使われた場合にリモートからサーバを制御されるバグが発見されています。 ttp://www.securitytracker.com/alerts/2004/Mar/1009267.html dns_children ってSquidNTで設定変えられないのでしょうか? 10にしようと思ったのですが怒られました cache_dns_program を指定していない場合は使えないとか? ご存知の方いらっしゃいますでしょうか? >>90 ぢつは竜巻ってgzipで送ってくれる鯖相手だとほとんど無意味っぽく。 画像の劣化指定するなら別だけども。 ちなみにあんまり知られてない話として、IEはデフォだと串通す時にHTTP1.1使わない。 HTTP1.0だと何かと効率悪いので、串通すなら設定変更必須。 IEの詳細設定のとこにあるぞ。 >セキュ穴 SquidNTにもパッチ出てるかなー? 当面はフィルタで凌げるのかな。 >>91 その辺の設定は、DNS解決に外部プログラム使う時専門だったかと。 とゆーかDNSクライアントサービスのプロセス数だし。 内蔵DNSの設定って、どうもタイムアウト関係しかないっぽく。 ちなみに外部DNSサービス使おうと思ったらリビルド必須の模様。 自宅以外から2chに書き込みたいときがあるのですが そこが専用線を引いており「変なホスト規制」に引っ掛かって しまいます。 そこで、自宅にプロキシサーバを立てましたが、そのproxyを 経由させると、自宅のホストが「変なホスト規制」に掛かって しまいます。 また、自宅のWin2000機にVNCで入り、ブラウザから書き込むと 「変なホスト規制」には掛かりません。 proxyの設定でどうにか書き込めるようになるもんなんでしょうか? fedoraにsquid-2.5 STABLE3を入れ、ポートは3128番です。 >>93 書き込めるようになるよ。 がんばって調べてみてね。 >>94 ありがとう。 基本の「ググる」ということをおろそかにしていました。 まだ外からのテストはしていませんが、ViaとX-Forwarded-Forヘッダを 吐かないようにすればいいっぽいですな。 本当にありがとう。 >>91 dns_childrenは2.3STABLE以降廃止されているようです interenal DNS process がその代わりになるようです read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる