プロキシサーバ総合

[0001 ちゃきり 03/08/01 23:51 ID:AC+5RX3C]

プロキシスレがないようなので立てました。

Squid
http://www.squid-cache.org/

Delegate
http://www.delegate.org/delegate/

自宅串鯖を外部公開している兵はおるかい？
とりあえず自分はDelegateを使って
アプリケーションゲートウェイを立てようと思ってます。

[0201 DNS未登録さん 2005/04/02(土) 15:03:58 ID:UP9DT804]

DeleGateについての質問です。

プロキシモードを"RELAY=delegate"(/-_-URL)にした場合、
httpのページは見ることができますが、httpsのページをみることができずに
HTTP 400 - 正しくない要求になってしまいます。

"RELAY=proxy"の場合はhttpsのページをみることができました。

カスケードではhttpsを見ることはできないのでしょうか？
見ることが可能ならば、正しい設定方法がありましたら教えてください。

[0202 DNS未登録さん 2005/04/03(日) 01:20:34 ID:???]

delegate はよく知らんが、HTTP と HTTPS はプロクシの仕組みが
まったく異なるので無理なんじゃねーの？

[0203 DNS未登録さん 2005/05/10(火) 01:23:04 ID:zmUxZ/r3]

delegateでtelnetプロキシやftpプロキシを立てると、
接続時に

--
-- @ @ NVPROXY PROXY-telnet server DeleGate/8.11.3
-- ( - ) { Hit '?' or enter `help' for help. }
DeleGate/8.11.3 (April 22, 2005)
AIST-Product-ID: 2000-ETL-198715-01, H14PRO-049, H15PRO-165
Copyright (c) 1994-2000 Yutaka Sato and ETL,AIST,MITI
Copyright (c) 2001-2005 National Institute of Advanced Industrial Science
and Technology (AIST)
WWW: http://www.delegate.org/delegate/

ってログインバナーが出るんですけど、このバナーっていじることできないんですかね？

[0204 DNS未登録さん 2005/05/15(日) 22:01:43 ID:???]

>>203
自己解決しました

[0205 DNS未登録さん 2005/05/16(月) 23:29:25 ID:???]

>>204
解決したなら、どう対処したかぐらい報告すればいいのに。

[0206 DNS未登録さん 2005/05/17(火) 02:08:40 ID:???]

そうそう…　ギブ＆テイクだな…

[0207 DNS未登録さん 2005/05/17(火) 13:05:37 ID:???]

>>204
それはわかっております。

>>205-206
どうやらVIP板とかいう所から発生したネタみたいだから、
迂闊に回答しない方がいいみたいだよ。

[0208 204 2005/05/19(木) 22:41:37 ID:???]

>>205
ソースから、builtinフォルダに入ってる該当のファイルを書き換えてmountさせたらできました。

[0209 DNS未登録さん 2005/05/26(木) 13:49:25 ID:???]

header_access X-Forwarded-For deny all
header_access VIA deny all

どうだ？



（そもそも串ヘッダーの規制ない）

[0210 DNS未登録さん 2005/05/26(木) 14:49:12 ID:???]

>209
そんな事したら、正当なプロキシから来る香具師がかわいそうではないか。

[0211 DNS未登録さん 2005/05/26(木) 15:58:36 ID:???]

>>210
header_access はそういう意味じゃない。

[0212 DNS未登録さん 2005/05/26(木) 17:13:47 ID:???]

仕様変更前 ( 2.3 )
anonymize_headers deny Via
anonymize_headers deny X-Forwarded-For

外部には公開してないし
アクセスコントロール目的だから変数が出ては困る

ttp://taruo.net/e/ での表示
その他の情報
HTTP_CONNECTION . keep-alive　
HTTP_CACHE_CONTROL . max-age=43200

cache-controlって殺したほうがいい？

[0213 DNS未登録さん 2005/05/28(土) 07:57:03 ID:???]

>>212
2chで以前ためした時にはlive系の一部の鯖で串規制に引っかかった。
たまたまCACHE_CONTROLしか吐かない串ツール使ってて、の結果だけど

[0214 通りすがり 2005/05/28(土) 16:10:45 ID:qsX6MrG/]

>>181
そういえば最近、ブラウザとcgi-proxyの中間に挟む形で
使うプロキシ見つけたんだが...手っ取り早く済ますなら、
これが一番では？
WebProxy2
http://www.age.jp/~lunar/lunar-night.lab/jump-dl_webproxy2/lang-ja
過去ログにあったWebProxyの配布元で発見。

ブラウザからのリクエストはWindows or Javaのクライアントアプリが
受けとり、クライアントアプリはcgi-proxyにブラウザからの
リクエストをPOSTし、帰ってきたデータをブラウザに戻すんだとか。

cgi-proxyのようにリンクが切れたりCookieが使えなかったり、
URLフィルタに引っかかるような問題も無く、
Mozillaで試した限り動作は安定、HTTPサイトであれば、
何処でもつなげることが出来たけど。

どうだろう？

[0215 DNS未登録さん 2005/05/28(土) 16:28:23 ID:???]

遊んでみた
その他の情報
HTTP_VIA . なにみてんだよ（ｗ
HTTP_CONNECTION . Keep-Alive　


header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all
header_replace Via なにみてんだよ（ｗ

[0216 DNS未登録さん 2005/05/28(土) 19:15:28 ID:8iquFzXt]

http://203.135.205.224:8080/
http://203.135.205.224/

[0217 DNS未登録さん 2005/06/01(水) 20:55:12 ID:???]

ビロキシサーバーっておいしいですか？？

[0218 DNS未登録さん 2005/06/01(水) 22:44:25 ID:???]

ボルシチサーバーはおいしいよ

[0219 DNS未登録さん 2005/06/02(木) 02:27:31 ID:DeF/OjA8]

プロクシおいしいよピロクシ

[0220 DNS未登録さん 2005/06/15(水) 22:27:49 ID:???]

http://sexstump.com/
をのぞいてください。
楽しい動画や、セクシュアルな静止画がたくさんあって興奮します。

[0221 DNS未登録さん 2005/06/17(金) 21:55:12 ID:???]

こんな過疎スレに宣伝して意味あるんだろうか

[0222 DNS未登録さん 2005/06/17(金) 22:28:28 ID:???]

ぢつは踏み台にしてくれよというﾒｯｾｰｼﾞだったり

[0223 DNS未登録さん 2005/06/19(日) 12:13:33 ID:???]

squidとApacheの他にキャッシュサーバソフトって無いの？
OSは問わない。

[0224 DNS未登録さん 2005/06/19(日) 12:48:36 ID:???]

GWA

[0225 DNS未登録さん 2005/06/20(月) 02:53:02 ID:???]

DeleGateはどうか

ハードとか有料なら星の数ほどあるけど

[0226 DNS未登録さん 2005/06/20(月) 22:19:57 ID:???]

Delegate で CFI を使ってリクエストに対するレスポンスを書き換えようとしてるんですけど、
GETリクエストのみにしか効きません。
起動時オプションで FTOCL=/home/chiko/test.cfi を指定しておいて当該ファイルには

#!cfi
X-Request-Method: GET
Content-Type: text/html
Output-Postfix: (GET)
--
X-Request-Method: POST
Content-Type: text/html
Output-Postfix: (POST)

と書いておくと、フォームにPOSTした後の場面だけ CFI が効いていないのです。
POSTでもCFIを効くようにするにはどうしたらいいでしょうか？
Delegate 8.11.4 です。

[0227 DNS未登録さん 2005/06/22(水) 16:29:20 ID:HtS6s+GP]

socksサーバを立てたいのだが、どんなのがある？

[0228 DNS未登録さん 2005/06/23(木) 12:12:27 ID:???]

ttp://www.kutsushitaya.jp/

[0229 36 2005/07/03(日) 01:40:44 ID:k/gxUIpK]

http://gakusei.or.tp/

[0230 DNS未登録さん 2005/07/12(火) 07:19:38 ID:???]

FreeBSD上のsquid/2.5.STABLE9でHTMLの書き換えをやりたいんですが、
素直にDelegate入れたほうが簡単ですかね？

[0231 DNS未登録さん 2005/07/12(火) 09:31:06 ID:???]

squid はそういう目的で作られてませんので。

[0232 DNS未登録さん 2005/11/14(月) 01:47:22 ID:???]

delegateのCFIの書き方で参考にできる所ってどこかにありませんか。
認証とかフィルタリングとかは何とかできるようになったので
CFIをいろいろ試してみたいので

ぐぐってもdelegateのリファレンスくらいしかHITしなｂｭて
いまｂ｢ち書き方がよｂｭわかりません＝B

[0233 DNS未登録さん 2005/12/29(木) 13:16:59 ID:yiKmMdrN]

tes

[0234 DNS未登録さん 2005/12/29(木) 13:22:49 ID:yiKmMdrN]

tes

[0235 DNS未登録さん 2006/01/16(月) 16:17:34 ID:???]

零細でネットワークを管理させられてる者ですが、
昨年でWebメールを使って会社の情報を漏洩させた者がいたので、
この度squidでproxyを立ててブラウザを強制的に通し監視することになったのですが、
Webメール等のファイル添付やアップローダでupを規制する良い方法ってないでしょうか。

[0236 DNS未登録さん 2006/01/16(月) 16:50:27 ID:C8Nib6JU]

外部公開の串鯖を立ててる奴って
なんの為にやってるのかな？

[0237 sage 2006/01/16(月) 18:01:19 ID:???]

>>235
悪さしようとする者は、何を規制してもすり抜けてくるから難しいと思うな。
…だから何もしない、と言うわけにも行かないだろうけど。

アクセスログ取って、ファイル添付などの制限も行っているよ〜　と、告知
することで抑止効果を狙う事かな。

市販品の F-Secure Linux ゲートウェイ 使っているけど、それなりの効果は
あるね。これだけあれば万全という訳ではないけど (^^;

Winny は論外だが、Skype などの P2P も便利だけど悪用しようとしたら管理
者泣かせのソフトだしね。その辺の使用についても徹底しないとならないから
大変だと思うよ。

うちの会社、シンクライアント端末になってて、USBの口がないから、USB
メモリなどへのコピーが物理的にできない…　USBの便利なツールも使えない。
痛し痒しだね。

因みに営業が10名程度の小さな会社です (^^;

>>236
なんの為だろうね？　情報収集かな？

[0238 DNS未登録さん 2006/01/16(月) 22:05:04 ID:???]

acl POST method POST
http_access deny POST

[0239 DNS未登録さん 2006/01/17(火) 21:29:57 ID:???]

>>235
webメール用のURLを片っ端から調べ上げてアクセス不可リストに組み込むってのは?ｗ
公開串使われたら終わりだけど

[0240 DNS未登録さん 2006/01/17(火) 21:36:02 ID:???]

webメールURL集を作るなら是非協力したいですぅ

[0241 DNS未登録さん 2006/01/18(水) 01:19:01 ID:???]

>>235
acl fileupload req_mime_type -i ^multipart/form-data
http_access deny fileupload

こんな感じ？

[0242 235 2006/01/19(木) 03:53:35 ID:???]

>>237
P2Pソフトもですか・・・ポート塞いでいれば安心ってわけでもないのでしょうか。
あの手のソフトはよく知らないので、今後対策を練ります。
予算が降りればゲートウェイや専用のフィルタリングソフトも導入したのですいが
現状はsquidの規制とルータのパケットフィルタで対処します。

>>239
クライアントがWindowsなので一応ActiveDirectoryのポリシーで
Proxyの設定変更に規制をかけています。

>>238,240,235
ありがとうございます。
acl ALLOWURL url_regex "/etc/allowurl.txt"
http_access allow ALLOWURL POST
http_access deny POST
を付け加えまして、許可したサイト以外はPOSTさせない事ができました。
理想通りの物が出来たので助かりました。

[0243 DNS未登録さん 2006/01/19(木) 09:14:58 ID:???]

> P2Pソフトもですか・・・ポート塞いでいれば安心ってわけでもないのでしょうか。

じゃないです。
skypeやSoftEtherなんかはポート80使う場合もあるし。
FWで止めるにも、winnyとかはOnePointWallくらいしか対応してるFWが無いので（たぶん）
web閲覧は全部Proxy経由で、Proxyサーバ以外の通信は全部FWで止めると良いよ。

> クライアントがWindowsなので一応ActiveDirectoryのポリシーで
> Proxyの設定変更に規制をかけています。
これだけではUSBメモリ等で持ち込んだfirefoxとかに対応できないので。

予算があればLanscopeとか、Interscan Webmanagerとか。

[0244 DNS未登録さん 2006/01/22(日) 17:39:34 ID:???]

自鯖でイカを飼ってるんだが、こんなメールが来た。


From: "N" <?????_????@hotmail.com>
To: hoge@fuga
Subject: hogeについて質問
> http://hoge.huga　←自鯖のURL
>
> どこのサイトに関わらず、ボタンをクリックしたときこのアドレスがfirfox仕様時に
> 限り毎回表示されるのですが
> これはスパイウェアなのでしょうか
>
> spybotもmicrosoft anti-spywereもDLするためにクリックするとここに飛ばされるの
> で導入できませんし
> 掲示板の書き込みも全て不可能になってしまいました
>
> 数日中にご返事が無い場合は念の為に通報させて貰います
>

イカの設定を結構多目に設定していて、
丸の内.●cnやら、貴方網.netやらをACLで弾きつつ、
deny_infoで、自鯖の80へ誘導するURLを書いている。
丸の内.●cn.ne.jpあたりから自鯖のイカに繋げられないので、苦情メールを出したようだ。

[0245 244 2006/01/22(日) 17:55:34 ID:???]

ほんでもって次のように返信した。返事は未だ返ってこない。
どこにどうやって通報してくれるのか、大変気になっていただけに、大変残念である。

> こん○○は。hogeです。
>
> 2005/09/17 午後 1:14:06に送信された
> ???? ????氏のメールを引用しています。
>
> > http://hoge.huga
> >
> > どこのサイトに関わらず、ボタンをクリックしたときこのアドレスがfirfox仕様時に
> > 限り毎回表示されるのですが
> > これはスパイウェアなのでしょうか
> >
> > spybotもmicrosoft anti-spywereもDLするためにクリックするとここに飛ばされるの
> > で導入できませんし
> > 掲示板の書き込みも全て不可能になってしまいました
> >
> > 数日中にご返事が無い場合は念の為に通報させて貰います
>
> 当ウェブページおよび、hugaサーバー群は、スパイウェアを仕込む仕組みを
> 一切組み込んでおりません。
>
> 当サーバー群では、一部プロバイダからのアクセスを自動的に
> http://hugaに案内するように設定しております。
> プロキシサーバーを使わないように設定することで、当該症状は解消されるかと思います。
>
> また、他の悪意あるソフトウェアが
> http://huga
> を見るように設定している可能性がありますので、
> シマンテック、トレンドマイクロなどのアンチウイルスソフトを入れる事についても
> ご検討される事をお勧めします。

自宅串鯖を外部公開している一兵卒の一人ではあるが、こんなメールが来るとは想定の範囲外だった。

[0246 DNS未登録さん 2006/01/23(月) 12:11:52 ID:???]

>244-245
その苦情先がなんでそんな嵌めになったのかは興味深いことだが、
公開串は止めとけ。
それともパスワード狙いか？...公開串使う香具師が馬鹿だとは言え、
収集したUID/PWDを使ったら、おまい犯罪者になるからな。

[0247 DNS未登録さん 2006/01/23(月) 14:17:35 ID:???]

引数のログ有効にして全部ストアしておくと面白いかも。

[0248 244 2006/01/24(火) 01:15:51 ID:???]

>>246
パスワード狙いで
methodの POST CONNECT
あたりを使えるようにすると、中華がやってくるもんだから、
POST、CONNECTはdeny扱いにしてある。

yahoo.comや、icq.com:443あたりにも頻繁にアクセス来るもんだから、
串側ではパスワード入力 (がありそうなアクセス) を弾くようにしている。
エロサイトのUID/PWDを収集するまえに、パスワードクラック用の足場にされるだろう。

公開串を立てるのは、それなりにリスク大きいが、
対策を練っていく過程で得られる、ノウハウやら情報も大きいもんだから、
未だに公開串を止められずにいる。何かあったらすぐに止める予定ではあるが、踏ん切りがつかない。

UID/PWDを収集するより、串を公開する事で得られるノウハウのほうがずっと魅力的だ。
今のところ、log収拾とネットワークで遊ぶために串を立てている。

>>247
debugオプションを特に指定していないが、access.logだけで1GB超だ。
debugオプション有効にして詳細log取ったら、何GBになるのか予想がつかない。
機会をみてHDD増やしてみるヨ！

fuga> ls -la access.log*
-rw-r--r-- 1 squid squid 60084139 1 24 00:57 access.log
-rw-r--r-- 1 squid squid 263756663 1 22 00:00 access.log.0
-rw-r--r-- 1 squid squid 266148054 1 15 00:00 access.log.1
-rw-r--r-- 1 squid squid 270819993 1 8 00:00 access.log.2
-rw-r--r-- 1 squid squid 229430344 1 1 00:00 access.log.3
-rw-r--r-- 1 squid squid 252829755 12 25 00:00 access.log.4

[0249 DNS未登録さん 2006/01/24(火) 05:43:12 ID:???]

>>248
実に興味深い
もっと熱く語ってくれ

[0250 244 2006/01/24(火) 23:03:51 ID:???]

>>248 をちょっと訂正するけども

> methodの POST CONNECT
> あたりを使えるようにすると、中華がやってくる

と書き込んだが、中華圏外からも、
CONNECT XXX.XXX.XXX.XXX:25
CONNECT login.icq.com:443
のリクエストは世界中から絶えずやってくる。
中国/韓国/台湾からのCONNECTリクエストが特に多い。というのが正しいかな。

大量のCONNECTリクエストにうんざりして、ルーター側で韓国/中国/台湾との通信を切った。
他にもポートスキャンやらSPAMやら届くので、(宛先ポートで判別せず)IP単位で切った。
統計をとった訳ではないが、体感で7〜8割ほどCONNECTリクエストが減った気がする。

hoge>cat Packet-Filtering-Config-acl-10.txt
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Blocking from China,Korea,Taiwan,!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

access-list 10 DENY 211.XXX.0.0 0.63.255.255
access-list 10 DENY 59.XXX.0.0 0.63.255.255
access-list 10 DENY 61.XXX.0.0 0.63.255.255
access-list 10 DENY 211.XXX.0.0 0.31.255.255
access-list 10 DENY 125.XXX.0.0 0.31.255.255
access-list 10 DENY 203.XXX.0.0 0.31.255.255
----100行以上あるので省略----

[0251 DNS未登録さん 2006/01/25(水) 17:27:16 ID:???]

>>250
技術的にも興味を引く内容が多かった
もし気が向けばまた何か書いて欲しい

[0252 244 2006/01/27(金) 00:21:04 ID:???]

>>247

debugオプションをちょい変更してみた。

旧: debug_options ALL,1
新: debug_options ALL,1 23,9 28,9 55,9 56,9 73,9 74,9 77,9

一部を有効にするだけでlogが爆発する。
一ヶ月で40GB以上は喰いそうだが、ちょいと予想できない。
全部ストアするように(ALL,9に)すると、100GB単位で容量を喰いそうだ。

んでもって、前から気になってた　「山ほど来るyahoo.comへのアクセス」　を調べてみたんだけども
↓こんなlogが大量に出てくる。（UID/PWDと思わしきモノは伏せてある）

2006/01/25 02:31:32| storeKeyPrivate: GET http://edit.europe.yahoo.com/config/login?.redir_from=PROFILES?&.tries=1&.src=jpg&
.last=&promo=&.intl=us&.bypass=&.partner=&.chkP=Y&.done=http://jpager.yahoo.com/jpager/pager2.shtml&login=??????? &passwd=????

どう見てもSPAM業者からのアクセスです。
本当にありがとうございました。

SPAMばら撒き用IDを何処かで取得したあと、公開串を踏み台にしてSPAMをばら撒く魂胆なのだろうと見ている。
logに載ってるUID/PWDを使うわけに行かないので、これ以上の追跡調査は無理そうだ。
犯罪者にはなりたくないもんだ。

yahoo.com向けをdenyにしておいて良かったヨ。

[0253 DNS未登録さん 2006/01/27(金) 00:24:36 ID:???]

>>252
このスレあなたにさしあげます
どんどん書いてくだちい

[0254 244 2006/01/27(金) 00:31:57 ID:???]

勘弁してくれ！

[0255 DNS未登録さん 2006/01/27(金) 00:32:46 ID:???]

でもなかなかタメになってGOOD！ですよん

[0256 DNS未登録さん 2006/01/31(火) 20:36:09 ID:???]

とても興味深いよ
俺なんか屁ﾀﾚだから公開したくても公開なんか出来ないし。

[0257 244 2006/02/01(水) 00:00:53 ID:???]

公開串は止めとけ。とよく言われるけども、
実際にどういう目に遭ったのか、何処にも居ないしなぁ。

"2chに書き込まれ放題で、串リストに載る"とか、
「チャットの踏み台として利用されてたため、余所の揉め事に巻き込まれた」とか、そんなのを予想していたが、
実際は、全自動操縦SPAMer BOTの踏み台だったり、LAN内の鯖を突付くための踏み台にされていたりする事が多い。
たとえばこんなlog

hoge> cat access.log | grep 192.168
1137856119.006 180403 XXX.jp TCP_MISS/504 1332 GET http://192.168.10.1/errors/estilo_erro.css -NONE/- text/html
1137882017.122 0 XXXX.com TCP_DENIED/403 1267 CONNECT 192.168.1.100:5555 - NONE/- text/html
---略---

自宅のイカにはグローバルIPが振ってあり、ローカルIPにはパケット通らないようにしている。
192.168.XXX.XXXへのリクエストも「んなIPにゃパケット通らねぇヨ！！」で終わるが、
http://192.168.0.1　あたりにルーターがあったら要注意だろう。

LAN内の鯖を突付くための、踏み台にされる可能性は十分に考えられる。
「乗っ取られた時に、どう対策するのか」を考慮しておかないと、串鯖一台の被害では納まらないだろう。

[0258 DNS未登録さん 2006/02/01(水) 04:10:57 ID:???]

またおまえか！
激しく乙！

[0259 DNS未登録さん 2006/02/01(水) 20:07:29 ID:???]

実際、故A社のインターネット接続サービスの出口になっていた串鯖は内側へ入ることが出来た。
外側の中継は規制されていたが中には入り放題という。
その社に知り合いが居たので直すように言ったけどね。

[0260 244 2006/02/13(月) 01:45:49 ID:???]

また244である。
独り言のような書き込みを読んで貰えると幸いである。

ProxyCheckerに (だけ) 匿名串であるかのように振舞う設定にしてみた。
設定といってもheader_accessいじるだけ。

匿名串というお墨付きを頂いた訳だが、ProxyChecker以外へのアクセスは、
(相手側に接続IPを教える)しっかり漏れ串。という設定。
暫く動かしていたら、接続ユーザー(IP数)が約3倍に増えた。
そんなに匿名串が好きなのだろうか。

外部のProxyChecker頼みじゃイカンという事であるよ。
漏れ串/匿名串は、自分自身で確認する必要があるだろう。
ProxyCheckerサイトに良い顔するだけなら、比較的余裕にできるもんだ。

ちなみに、configの一部はこんな感じ↓

header_access X-FORWARDED-FOR deny checker
header_access User-Agent deny all !checker
header_access VIA deny checker

header_accessがACL使えるのが良い感じである。
header_replaceもACL使えたら面白いのだが、まだ試してない。

[0261 DNS未登録さん 2006/02/13(月) 01:49:10 ID:???]

この際はっきり言っていいですか？
待ってました！！！

[0262 DNS未登録さん 2006/02/13(月) 08:05:58 ID:???]

>>248
お兄ちゃん見てみておっぱいが少し〜のスレ思い出した。

[0263 244 2006/02/14(火) 17:29:12 ID:???]

logが大きくなるところに一喜一憂するあたり、
お兄ちゃん見て見ておっぱいが少し〜のスレと同じ何かを感じるな。
ちょい笑ってしまった。

ところで、ついさっき知ったのだが、外国では公開串の実験が行われているらしい。
一兵卒の一人として、この実験に参加してみる事にした。
http://www.ircache.net　←これ

ICPでの兄弟関係を結ぶときに、ID/Passによる認証が使えるというのも、初めて知った。
IP直打ちを禁止するACLというのも初めて見たな。

公開串は、まだまだ楽しめそうだ。

acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$
acl GETONLY method GET
cache_peer_access sd.us.ircache.net deny IpAddressOnly
cache_peer_access sd.us.ircache.net allow GETONLY

[0264 DNS未登録さん 2006/02/15(水) 00:03:16 ID:???]

>>263
いつもいつも面白く読ませてもらってます
どうもです

[0265 DNS未登録さん 2006/02/15(水) 02:07:06 ID:eGGAOzlI]

POST でのリクエストもキャッシュできる HTTP Proxy サーバーってなにがありますか?
みてみたのはどれも GET のみって感じ。

[0266 DNS未登録さん 2006/02/16(木) 00:27:06 ID:5leMkwrH]

ブラックジャンボ犬でいいじゃん

[0267 DNS未登録さん 2006/02/16(木) 21:11:30 ID:KzOxtf8l]

AGE

[0268 DNS未登録さん 2006/02/16(木) 21:14:49 ID:???]

POSTでキャッシュされちゃったら掲示板に何も書けなくなるんじゃないか

[0269 DNS未登録さん 2006/02/17(金) 05:52:29 ID:???]

squidですが、jpg、gifのみをキャッシュするようにするにはどのように設定したらよいですか？

[0270 DNS未登録さん 2006/02/17(金) 09:55:05 ID:???]

acl image rep_mime_type ^image/
no_cache allow image
no_cache deny all

期待どおり動くかどうかはシラネ。

[0271 DNS未登録さん 2006/02/19(日) 23:28:43 ID:???]

あるサイトでwmaとかrmファイルをダウンロードしまくってたら、管理者が漏れのドメインを
ブラックリストにでも入れたのか、サーバーが応答しなくなってしまいました。
そういうのを回避できるようなプロキシってあるのでしょうか？

[0272 DNS未登録さん 2006/02/19(日) 23:41:55 ID:???]

まずは公開プロキシつかってみればいいやん
また対策されると思うケド

[0273 DNS未登録さん 2006/02/20(月) 02:34:46 ID:???]

>>271
拡張子を変えてもらうとか、ファイルを偽装する手もあるが、
管理者にしっかり　「バカでかいファイルを落としてるホスト トップ10」　と知らされてたりする。
管理ツール(webalizerとか色々)入れてると、すぐ判るヨ。

まぁ100MBあるpngを落としてたのが見つかっただけ。なんだけども、
どう見ても偽装ファイルだなぁ。拡張子偽装かもしれんし、その手のツールで偽装してるのかもしれない。
面倒なので深くは追求してないけども。
# 御茶義理とかjdaとかを使ってたのが良い(?)思い出であるよ。

ファイル偽装やっても、ファイルサイズが大きかったりすると、管理人に目をつけられるかもしれない。
プロキシ鯖にお願いするより、クライアント側で頑張るほうが良いだろう。

[0274 244 2006/03/03(金) 17:23:50 ID:???]

イカ串というのは、エラーページにいちいちバージョンを表記してくるのが
ありがた迷惑である。config見ても隠す方法書いてないしなぁ。
ということで、ソースを弄った。

errorpage.cというファイルに、例の中身が記述されているので弄ってみた。
↓の部分が、エラー出力時の、HTML文である。

ERR_SQUID_SIGNATURE,
"\n<BR clear=\"all\">\n"
"<HR noshade size=\"1px\">\n"
"<ADDRESS>\n"
"Generated %T by %h (%s)\n"
"</ADDRESS>\n"
"</BODY></HTML>\n"

Generatedなんたらの箇所を下記の通り変更する。

　旧："Generated %T by %h (%s)\n"
　新："Generated %t by %h \n"

%TというのがGMTで、%tはJST、日本時間だ。
%sという記述がSquidのバージョン情報である。%sを削るとバージョン情報が消える。
errorpage.cを変更し、保存した後、普通にコンパイル&インスコしてしまえば
バージョン情報を出すことは無いだろう。

公開串ネタじゃねぇな。こりゃ。

[0275 DNS未登録さん 2006/03/03(金) 17:44:46 ID:???]

毎度乙！

[0276 244 2006/03/04(土) 22:59:04 ID:???]

公開串のHDDが死んでしまったので、これを機会に公開を止める事にしたヨ！

そこそこ長い間串を公開し続けてきたが、http鯖立てるのとは比べ物にならない
大量のノウハウを得られた気がする。

1.パケットフィルタリングまぢおすすめ。つーか必須
2.ブラックリスト作るよりホワイトリスト作ったほうが楽。
3.MRTGで激しく監視汁
4.中華、台湾、韓国フィルタを入れておけ。
5.logは別マシンに残しておけ。
6.公開串は「乗っ取られたもの」という前提でセキュリティを組むべし。
7.squid.confを、穴が空くほど熟読汁
8.パスワード狙いで穴をあけると、SPAM目的の踏み台にされかねない。要注意
9.そもそも公開串自体がSPAMer業者の踏み台というオチ。
10.丸の内.●CNと貴方網からのアクセスは要注意だ。
おおよそこんなカンジかね。他にもあるけど忘れた。

自己満足につきあってくれた兵達　THX!
あとは誰か頑張ってくれ。

[0277 DNS未登録さん 2006/03/04(土) 23:37:59 ID:???]

>>276
HDD買って続けて。
ここに書くのも。
マジ。
タノム。

[0278 DNS未登録さん 2006/03/05(日) 00:22:44 ID:???]

>>276
10にいとおしく同意。

[0279 DNS未登録さん 2006/03/05(日) 23:45:14 ID:???]

貴方網って何？

[0280 DNS未登録さん 2006/03/06(月) 00:27:19 ID:???]

yournet.ne.jpじゃないか
スパムのスクツの

[0281 244 2006/03/07(火) 00:19:28 ID:???]

名前伏せていたけど、>>280の言う通り、yournet.ne.jpだ。
yournet.ne.jp、OCN丸の内、nttpc、gmo-access.jp(最近アクセス増えてきた)、は実際にSPAMが着ている。
YahooBBもアクセス多いが、メールアドレス収集BOTなのか、人力操作なのか、区別がつき難いな。

公開串の利用が飛びぬけて多いドメインは、SPAM業者が絡んでいる可能性がある。(あくまでも推測の域だけども)

*.*o-tokyo.nttpc.ne.jpからもSPAM来るけど、報告フォームからSPAM報告したら、
担当者から報告がきた。
どこぞのソフトバンク系列の会社とはえらい違いだ。

外国産のSPAMは、対応が遅かったり、言葉の壁もあるだろうから、
国別のIP単位で丸ごと遮断したほうが楽だと思われる。
うざい国からのアクセスを遮断するだけで、公開串のログは見通しが良くなる。まぢオススメ。
詳しくは↓のスレを参照すべし。

http://pc8.2ch.net/test/read.cgi/mysv/1118726898/l50　←うざい国からのアクセスを全て遮断

以下、担当者からの報告メール

> お問い合わせいただきありがとうございます。
> 株式会社NTTPCコミュニケーションズの○○と申します。
>
> この度、お客様にご迷惑をおかけ致しました、迷惑メール
> 送信者は、弊社とインターネットの接続契約を結んでおり
> ます他事業者(2次ISP)の会員（エンドユーザ）と判明致し
> ました。該当者のIDにつきましては、2月20日弊社にて
> インターネットに接続不可とする対応を実施致しました。
>
> また、下記当該プロバイダに対し、弊社よりその旨を通告
> 致しましたのでご報告致します。
>
> 【当該2次ISP】
> ISP名：SXXXXbb
> 申告先アドレス：abuse@XXX.ne.jp

[0282 DNS未登録さん 2006/03/08(水) 20:48:29 ID:???]

>>281
今日うちに来た返事もその二次ISPだｗ

[0283 DNS未登録さん 2006/03/12(日) 14:27:20 ID:???]

丸の内○ＣＮもSPAM業者多いって事？

[0284 DNS未登録さん 2006/03/12(日) 15:21:05 ID:???]

そうです。ていうかスパムのメッカ。

[0285 DNS未登録さん 2006/03/12(日) 23:18:06 ID:???]

東京都内でフレッツだと大半は丸の内のホストになるからなぁ。
安い雑居ビルに光引いてPC並べて自動で発信しまくってるんだろ…
都内ならBフレの開通も早いしね

[0286 DNS未登録さん 2006/03/15(水) 18:35:12 ID:T9wYjVNl]

リバースプロキシの話題もここで良いですか？

[0287 DNS未登録さん 2006/03/15(水) 19:15:17 ID:???]

>>286
他人のサーバに向かってリバースしたものを
一般に向けて公開してるなら可。

[0288 DNS未登録さん 2006/03/16(木) 12:01:20 ID:???]

しょせん自宅サーバなんだから自分用で全然問題ないと思うが

[0289 DNS未登録さん 2006/04/18(火) 23:29:22 ID:/oIY/pzn]

ISA2004をいじってるんだけど、
これって指定したｻｲﾄはISAのﾌﾟﾛｸｼ通さないでﾘﾀﾞｲﾚｸﾄするってことはできないの？

[0290 DNS未登録さん 2006/04/20(木) 23:59:19 ID:???]

>289
それはproxyで設定するものではない。
ブラウザで設定するものだ。自動設定ファイルをweb鯖に置いておけば、
いちいちユーザに設定を教える必用はない...って、何でこんな話自宅
鯖板でしているんだよ。
金取っているプロなら自分で調べろ。

[0291 DNS未登録さん 2006/04/21(金) 03:02:28 ID:FG0UWt/s]

素朴な疑問なんだが、
回線帯域のコントロールってどういうアルゴリズム使ってるの？
プログラミング弱いのでソースみてもよく分からないんだが、、
板違いだったらｽﾏｿ。
もし分かる人がいたら教えて下さい。

[0292 DNS未登録さん 2006/04/25(火) 01:09:39 ID:???]

>>291
(資格関連の)CCIE関連の書籍を一読してみては、どうだろうか？
特にQoSのあたり。
ほいでもって板違いな訳だが、強引に串ネタにしてみる。

squidにdelay_poolという項目があるので、設定内容を読んでいけば
概要はつかめるんじゃないだろうか｡

[0293 291 2006/04/27(木) 00:47:40 ID:???]

板違いごめんなさいand回答ありがとう。

[0294 244 2006/05/03(水) 01:14:15 ID:???]

最近のlogを眺めてると、POSTが普通に多いっぽい。
2chならともかく聞いたことのないドメインへのアクセスもある。
debug optionつけてみて判ったんだが、blogへの書き込みが顕著に増えてきた気がする。

メールアドレス収集もあるのだろうが、blogへの爆撃も兼ねているっぽいね。
リクエストをGETに限定してしまえば、ある程度は防げるのだけども、ざっくばらんに見てる分には
それすら塞いでない串も多いかもしれない。

ちなみに、自鯖が某串listにのると、爆発的にそういったリクエストが増えるので要注意だ。

[0295 DNS未登録さん 2006/05/04(木) 00:31:16 ID:???]

冴場中毒かw

[0296 DNS未登録さん 2006/05/05(金) 21:56:00 ID:Brrct52v]

delegateをHTTPキャッシュプロキシとして利用したいと考えています。

キャッシュに使用されるフォルダサイズの制限など細かい設定はできないのでしょうか？
メモリ上にキャッシュを置きたいためMS-RAMDRIVEを利用しています。

もしくはお勧めなwinXP用プロキシをお教え下さい
以下のプロキシはスキル不足の為か使いこなせませんでした。
squid 負荷がかかると落ちる
BlackJumboDog 画像が読み込まれないことが多い。スレッド数を増やしても解決せず
AN httpd BJDより遅い。気が付くと落ちている

[0297 DNS未登録さん 2006/05/06(土) 08:55:31 ID:???]

>>296
落ちる落ちるって…
マシンの安定化が先決では。

[0298 DNS未登録さん 2006/05/06(土) 13:17:56 ID:???]

マシン自体は安定してると思います。
負荷をかけるとsquidだけが落ちます
日に一度あるか無いかの負荷の為だけに鯖の増強をする気はありません。

[0299 DNS未登録さん 2006/05/06(土) 23:10:50 ID:???]

Winとsquidとの組み合わせがよくないんじゃねーの？

[0300 DNS未登録さん 2006/05/07(日) 20:55:30 ID:???]

>>298
じゃあ、日に一度あるか無いかの負荷の為だけに落ちなくするのはあきらめてください。