プロキシサーバ総合
プロキシスレがないようなので立てました。
Squid
http://www.squid-cache.org/
Delegate
http://www.delegate.org/delegate/
自宅串鯖を外部公開している兵はおるかい?
とりあえず自分はDelegateを使って
アプリケーションゲートウェイを立てようと思ってます。
また244である。
独り言のような書き込みを読んで貰えると幸いである。
ProxyCheckerに (だけ) 匿名串であるかのように振舞う設定にしてみた。
設定といってもheader_accessいじるだけ。
匿名串というお墨付きを頂いた訳だが、ProxyChecker以外へのアクセスは、
(相手側に接続IPを教える)しっかり漏れ串。という設定。
暫く動かしていたら、接続ユーザー(IP数)が約3倍に増えた。
そんなに匿名串が好きなのだろうか。
外部のProxyChecker頼みじゃイカンという事であるよ。
漏れ串/匿名串は、自分自身で確認する必要があるだろう。
ProxyCheckerサイトに良い顔するだけなら、比較的余裕にできるもんだ。
ちなみに、configの一部はこんな感じ↓
header_access X-FORWARDED-FOR deny checker
header_access User-Agent deny all !checker
header_access VIA deny checker
header_accessがACL使えるのが良い感じである。
header_replaceもACL使えたら面白いのだが、まだ試してない。 この際はっきり言っていいですか?
待ってました!!! >>248
お兄ちゃん見てみておっぱいが少し〜のスレ思い出した。 logが大きくなるところに一喜一憂するあたり、
お兄ちゃん見て見ておっぱいが少し〜のスレと同じ何かを感じるな。
ちょい笑ってしまった。
ところで、ついさっき知ったのだが、外国では公開串の実験が行われているらしい。
一兵卒の一人として、この実験に参加してみる事にした。
http://www.ircache.net ←これ
ICPでの兄弟関係を結ぶときに、ID/Passによる認証が使えるというのも、初めて知った。
IP直打ちを禁止するACLというのも初めて見たな。
公開串は、まだまだ楽しめそうだ。
acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$
acl IpAddressOnly url_regex ^http://[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$
acl GETONLY method GET
cache_peer_access sd.us.ircache.net deny IpAddressOnly
cache_peer_access sd.us.ircache.net allow GETONLY >>263
いつもいつも面白く読ませてもらってます
どうもです POST でのリクエストもキャッシュできる HTTP Proxy サーバーってなにがありますか?
みてみたのはどれも GET のみって感じ。 POSTでキャッシュされちゃったら掲示板に何も書けなくなるんじゃないか squidですが、jpg、gifのみをキャッシュするようにするにはどのように設定したらよいですか? acl image rep_mime_type ^image/
no_cache allow image
no_cache deny all
期待どおり動くかどうかはシラネ。 あるサイトでwmaとかrmファイルをダウンロードしまくってたら、管理者が漏れのドメインを
ブラックリストにでも入れたのか、サーバーが応答しなくなってしまいました。
そういうのを回避できるようなプロキシってあるのでしょうか? まずは公開プロキシつかってみればいいやん
また対策されると思うケド >>271
拡張子を変えてもらうとか、ファイルを偽装する手もあるが、
管理者にしっかり 「バカでかいファイルを落としてるホスト トップ10」 と知らされてたりする。
管理ツール(webalizerとか色々)入れてると、すぐ判るヨ。
まぁ100MBあるpngを落としてたのが見つかっただけ。なんだけども、
どう見ても偽装ファイルだなぁ。拡張子偽装かもしれんし、その手のツールで偽装してるのかもしれない。
面倒なので深くは追求してないけども。
# 御茶義理とかjdaとかを使ってたのが良い(?)思い出であるよ。
ファイル偽装やっても、ファイルサイズが大きかったりすると、管理人に目をつけられるかもしれない。
プロキシ鯖にお願いするより、クライアント側で頑張るほうが良いだろう。
イカ串というのは、エラーページにいちいちバージョンを表記してくるのが
ありがた迷惑である。config見ても隠す方法書いてないしなぁ。
ということで、ソースを弄った。
errorpage.cというファイルに、例の中身が記述されているので弄ってみた。
↓の部分が、エラー出力時の、HTML文である。
ERR_SQUID_SIGNATURE,
"\n<BR clear=\"all\">\n"
"<HR noshade size=\"1px\">\n"
"<ADDRESS>\n"
"Generated %T by %h (%s)\n"
"</ADDRESS>\n"
"</BODY></HTML>\n"
Generatedなんたらの箇所を下記の通り変更する。
旧:"Generated %T by %h (%s)\n"
新:"Generated %t by %h \n"
%TというのがGMTで、%tはJST、日本時間だ。
%sという記述がSquidのバージョン情報である。%sを削るとバージョン情報が消える。
errorpage.cを変更し、保存した後、普通にコンパイル&インスコしてしまえば
バージョン情報を出すことは無いだろう。
公開串ネタじゃねぇな。こりゃ。 公開串のHDDが死んでしまったので、これを機会に公開を止める事にしたヨ!
そこそこ長い間串を公開し続けてきたが、http鯖立てるのとは比べ物にならない
大量のノウハウを得られた気がする。
1.パケットフィルタリングまぢおすすめ。つーか必須
2.ブラックリスト作るよりホワイトリスト作ったほうが楽。
3.MRTGで激しく監視汁
4.中華、台湾、韓国フィルタを入れておけ。
5.logは別マシンに残しておけ。
6.公開串は「乗っ取られたもの」という前提でセキュリティを組むべし。
7.squid.confを、穴が空くほど熟読汁
8.パスワード狙いで穴をあけると、SPAM目的の踏み台にされかねない。要注意
9.そもそも公開串自体がSPAMer業者の踏み台というオチ。
10.丸の内.●CNと貴方網からのアクセスは要注意だ。
おおよそこんなカンジかね。他にもあるけど忘れた。
自己満足につきあってくれた兵達 THX!
あとは誰か頑張ってくれ。
>>276
HDD買って続けて。
ここに書くのも。
マジ。
タノム。 yournet.ne.jpじゃないか
スパムのスクツの 名前伏せていたけど、>>280の言う通り、yournet.ne.jpだ。
yournet.ne.jp、OCN丸の内、nttpc、gmo-access.jp(最近アクセス増えてきた)、は実際にSPAMが着ている。
YahooBBもアクセス多いが、メールアドレス収集BOTなのか、人力操作なのか、区別がつき難いな。
公開串の利用が飛びぬけて多いドメインは、SPAM業者が絡んでいる可能性がある。(あくまでも推測の域だけども)
*.*o-tokyo.nttpc.ne.jpからもSPAM来るけど、報告フォームからSPAM報告したら、
担当者から報告がきた。
どこぞのソフトバンク系列の会社とはえらい違いだ。
外国産のSPAMは、対応が遅かったり、言葉の壁もあるだろうから、
国別のIP単位で丸ごと遮断したほうが楽だと思われる。
うざい国からのアクセスを遮断するだけで、公開串のログは見通しが良くなる。まぢオススメ。
詳しくは↓のスレを参照すべし。
http://pc8.2ch.net/test/read.cgi/mysv/1118726898/l50 ←うざい国からのアクセスを全て遮断
以下、担当者からの報告メール
> お問い合わせいただきありがとうございます。
> 株式会社NTTPCコミュニケーションズの○○と申します。
>
> この度、お客様にご迷惑をおかけ致しました、迷惑メール
> 送信者は、弊社とインターネットの接続契約を結んでおり
> ます他事業者(2次ISP)の会員(エンドユーザ)と判明致し
> ました。該当者のIDにつきましては、2月20日弊社にて
> インターネットに接続不可とする対応を実施致しました。
>
> また、下記当該プロバイダに対し、弊社よりその旨を通告
> 致しましたのでご報告致します。
>
> 【当該2次ISP】
> ISP名:SXXXXbb
> 申告先アドレス:abuse@XXX.ne.jp >>281
今日うちに来た返事もその二次ISPだw 東京都内でフレッツだと大半は丸の内のホストになるからなぁ。
安い雑居ビルに光引いてPC並べて自動で発信しまくってるんだろ…
都内ならBフレの開通も早いしね >>286
他人のサーバに向かってリバースしたものを
一般に向けて公開してるなら可。 しょせん自宅サーバなんだから自分用で全然問題ないと思うが
ISA2004をいじってるんだけど、
これって指定したサイトはISAのプロクシ通さないでリダイレクトするってことはできないの? >289
それはproxyで設定するものではない。
ブラウザで設定するものだ。自動設定ファイルをweb鯖に置いておけば、
いちいちユーザに設定を教える必用はない...って、何でこんな話自宅
鯖板でしているんだよ。
金取っているプロなら自分で調べろ。
素朴な疑問なんだが、
回線帯域のコントロールってどういうアルゴリズム使ってるの?
プログラミング弱いのでソースみてもよく分からないんだが、、
板違いだったらスマソ。
もし分かる人がいたら教えて下さい。
>>291
(資格関連の)CCIE関連の書籍を一読してみては、どうだろうか?
特にQoSのあたり。
ほいでもって板違いな訳だが、強引に串ネタにしてみる。
squidにdelay_poolという項目があるので、設定内容を読んでいけば
概要はつかめるんじゃないだろうか。 最近のlogを眺めてると、POSTが普通に多いっぽい。
2chならともかく聞いたことのないドメインへのアクセスもある。
debug optionつけてみて判ったんだが、blogへの書き込みが顕著に増えてきた気がする。
メールアドレス収集もあるのだろうが、blogへの爆撃も兼ねているっぽいね。
リクエストをGETに限定してしまえば、ある程度は防げるのだけども、ざっくばらんに見てる分には
それすら塞いでない串も多いかもしれない。
ちなみに、自鯖が某串listにのると、爆発的にそういったリクエストが増えるので要注意だ。 delegateをHTTPキャッシュプロキシとして利用したいと考えています。
キャッシュに使用されるフォルダサイズの制限など細かい設定はできないのでしょうか?
メモリ上にキャッシュを置きたいためMS-RAMDRIVEを利用しています。
もしくはお勧めなwinXP用プロキシをお教え下さい
以下のプロキシはスキル不足の為か使いこなせませんでした。
squid 負荷がかかると落ちる
BlackJumboDog 画像が読み込まれないことが多い。スレッド数を増やしても解決せず
AN httpd BJDより遅い。気が付くと落ちている >>296
落ちる落ちるって…
マシンの安定化が先決では。
マシン自体は安定してると思います。
負荷をかけるとsquidだけが落ちます
日に一度あるか無いかの負荷の為だけに鯖の増強をする気はありません。
Winとsquidとの組み合わせがよくないんじゃねーの? >>298
じゃあ、日に一度あるか無いかの負荷の為だけに落ちなくするのはあきらめてください。 UNIX用しか知らないけど、squidの"debug option"のレベルをチョットだけあげてみて
様子見るのはどうだろう。
落ちる寸前のlog見るのも良いと思うヨ
キャッシュを一度再構成して、まっさらにして様子を見るのも悪くない。
>>302
BJDもまともに動かないとか書いてるよ。 ありがとうございます。296です。
squidの吐き出したログには
> comm_select: select failure: (10055) WSAENOBUFS, No buffer space available.
と記載されていました。やはり無茶なリクエストが原因のようです。
squid2.5NTのソースを見たところバッファは8KB確保されていて、16KBまで増やすことが可能なようです。
16KB以上確保した場合の問題点はソースからは読み取ることができませんでした。
現在はdelegateで様子見しています。
MS-RAMDRIVEが溢れないようにCRONで過度に削除しているためキャッシュの効率が上がらないのが泣き所です。 つうか、普通にHDDにキャッシュを置けばいいような…
ある程度最近のキャッシュなら、メモリキャッシュに収まってるからすぐに表示できると思うし、
HDDにあるキャッシュを読み込むにしても、1秒もかからないだろうし、
そこまで瞬時に表示できなきゃいけない理由がわからないよ。
きっとニュータイプな人なんだぉ
そのうち予測表示キボンとか言いかねないね(苦笑
ttp://neji.maki.com/prod/yappa.htm
yappaってどうでしょうか?
カテゴリ的にはProxomitron系になるのかな。
キャッシュも可能です。
正直squidとdelegateとかは導入の敷居が高い
(元がUnixなんでWindows用の情報が少ない、設定がテキストetc)
んでコレは楽だと思った。
というか単に、上位プロキシの認証が可能な
proxy鯖を探していただけなんですけど。。。
>>308
ありがとうございます。
しかしyappaのキャッシュはdelegate同様に削除機能を持ち合わせてないためにMS-RAMDRIVE用途には向かないようでした。
delegate+MS-RAMDRIVEで運用していたのですが、キャッシュの自動削除を失敗するととたんに不安定になるために実用的では無いことが分かりました。
現状でHDDにキャッシュを確保しないのはフラグメントの問題とWinXPではライトバックが余り効かないためデメリットが目立ちすぎると判断したためです。 変わった人だなぁ。
安定運用よりフラグメントの防止なのか… delegateとsquidの両方が不安定なら、どう考えてもXP環境の問題じゃん。
両ソフトとも、そんな不安定な代物じゃないよ?
まずはマシンの安定化に専念しろ。 どうせ、受けるアクセスに対して、PCのスペックがヘナヘナとかじゃねーの。
もしくは、PCが廃物利用で、物理的に劣化してるとかさ。 うちは2000でdelegate使ってるけど落ちたことないな。
マシン自体が固まったことは一度だけあったけど。
まあ、ちと重い処理を別にやらせた時だけどね。 つ i-RAM + メモリ積めるだけ
フラグメントなんて無縁です。
なんで自鯖でProxy立てるの?
モバイル用にデータ間引きプロキシを認証付でつかうならともかく、
一般公開して何が面白いのかさっぱりわからん。 javaで書かれたオープンソースのプロクシってありますか?
>>304
ttp://support.microsoft.com/?scid=kb;ja;196271
と TcpTimedWaitDelay を小さくするのは、やってあるの? マック用でフリーのproxyサーバソフトを教えてください >>315
漏れは会社から2ch書き込むために建ててるw
もち、オープンじゃないけどね。 squidはキャッシュの更新にどのようなアルゴリズムを使っているのでしょうか。 delegate 9.2.1を使用し圧縮Proxyを立ててます。
ブラウザからのヘッダ「Accept-Encoding」にgzip以外が含まれていると
delegateがgzip圧縮をしてくれないという問題に困っているんですが、どなたか解決法を知りませんか?
Accept-Encoding:gzip 圧縮される
Accept-Encoding:deflate, gzip, x-gzip 圧縮されない
なお、acc-encoding:-thrugzipとgen-encoding:gzipは設定してます。 自己解決しました。
設定をファイルに列記しそれを引数+=で読み込ませていましたが、
そのファイルの記述方法が悪かったようです。
以前:
HTTPCONF="acc-encoding:-thrugzip","gen-encoding:gzip"
変更後:
HTTPCONF="acc-encoding:-thrugzip"
HTTPCONF="gen-encoding:gzip"
カンマによる連結は出来なかったみたいです。 すみません、勘違いでした。まだ解決していません。
引き続き、
Accept-Encodingにgzip以外が含まれているとdelegateはgzip圧縮をしない
という問題の解決法をお待ちします。 プロクシサーバーのパフォーマンスを調べるためのベンチマークツールとして使える、
クライアントソフトやサーバーがあれば教えてください。 >>326
ttp://cacheoff.ircache.net/ でも使われた ttp://www.web-polygraph.org/ なんかproxy試してたら異様に画像読み込みが遅い。。。
Microsoftの「Internet Security & Acceleration Server 2004 120 日間限定評価版」ってヤツなんだけど。
誰か他に試してる人いない? ttp://pc8.2ch.net/test/read.cgi/mysv/1059749511/
↑このスレのID:K3z9qRh/Oが言っていることって正しいんですか? すいません、このスレです。
ttp://comic6.2ch.net/test/read.cgi/cosp/1149708383/ 557 名前:C.N.:名無したん[sage] 投稿日:2006/06/15(木) 23:52:07 ID:K3z9qRh/O
>>551
そりゃ大変ですなあ。
それじゃ警察は不正アクセス捜査の為にプロバイダーの全会員のログを調べなきゃならんのか。
ポート開けてる会員なんてそれこそwinny利用者位だし素直にログ提供許可出すのかどうか。
558 名前:C.N.:名無したん[sage] 投稿日:2006/06/15(木) 23:55:32 ID:K3z9qRh/O
どうもプロ串リスト見るだけの串厨房が混ざってる様だな。
今時の串は拾うだけでなく【組み合わせ】【加工】【偽装】が常識なのに。
このあたりです。 引用した部分って、正しいとか正しくないとかって判断出来る部分じゃないと思うがw
> 今時の串は拾うだけでなく【組み合わせ】【加工】【偽装】が常識なのに。
の部分?なら、スゴウデハッカー!はやってるんじゃね? ◆★ またしても最強のアラシのアジトを補足! d−dos懲罰も
ものともしない難攻不落のあらし城! 名だたるハッカーは
懲罰で落として名をあげろ! 社会貢献更正で男をあげよ
[ p3185-ipad30fukuokachu.fukuoka.ocn.ne.jp ]
[ t509216.ipgw.phs.yoyogi.mopera.ne.jp ]
[ softbank218114252068.bbtec.net ]
[ 221x246x34x218.ap221.ftth.ucom.ne.jp ]
{61-22-154-14.rev.home.ne.jp ] 何故、不特定多数に開放する必要があるのかと初心に返って質問してみる Coral日本じゃ誰もいないの?
ttp://internet.watch.impress.co.jp/cda/news/2004/08/31/4434.html キャッシュサーバがキャッシュをするのにふさわしくないオブジェクトのURL
ってどのような文字列が含まれているケースが多いですか?
たとえば検索エンジンの結果の?とか、そういう話ですけど。 >>344
> キャッシュサーバがキャッシュをするのにふさわしくないオブジェクトのURL
> ってどのような文字列が含まれているケースが多いですか?
> たとえば検索エンジンの結果の?とか、そういう話ですけど。
動的コンテンツはキャッシュしないほうが良いので、
\?のほか、"cgi-bin"とか、"php"、"cgi"混じりのURLはキャッシュしないようにしている。
あと、MRTGの出力結果もキャッシュしないようにしてる。
もっとも、MRTGそのものが
<META HTTP-EQUIV="Refresh" CONTENT="300">
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">
<META HTTP-EQUIV="Cache-Control" content="no-cache">
とHTML文中に記述してるので、キャッシュされない。というオチもつくけどね。 プロクシが meta タグの中身を見てキャッシュするか否かを判断することはない。
>>346
apacheならmod_xml_charsetでmetaで判断させる事も可能
>>345
HTTPheaderでキャッシュをコントロールする >>346 の通り、METAでキャッシュするか否かを判断することはない。 delegateを試用しています。
正常にブラウザで表示されるサイトもあるのですが、
"〜〜.ne[1]"というようなファイルをダウンロード
しようとして「ファイルのダウンロード」の
ダイアログが表示されてしまうサイトもあります。
似たような症状に出会った方はいらっしゃいませんか。
>>348
そのサイトはプロキシを経由しなければ正常なの? ありがとうございます。
プロキシを経由しなければ正常です。
コンフィグに"RELAY=proxy"を追加したところ、
とりあえず表示される様になりました。
が、表示される画像が荒いという現象が新たに出てきました。
もうちょっとマニュアル読んできます。
http-access2で2chに書き込むスクリプトを作っています
2chのbbs.cgiにPOSTするときには、
POST http://pc8.2ch.net:80/test/bbs.cgi HTTP/1.0
というふうに、host名を含んだ絶対パスを指定しなければならないのですが、
http-access2は
POST /test/bbs.cgi HTTP/1.1
と言うふうに、ホスト名を省略してしまうようです。(横取り丸というproxyソフトで確認)
結果、2chのサーバーからは404が返され、POSTは失敗します。
似たような問題にあった人がいたら解決方法を教えてもらえませんか。 ここのスレで良いのか分かりませんが…
POPFile と言う スパム対策プロキシを 透過プロキシ として使う方法はどうしたら良いのでしょうか?
iptables などで リダイレクトと併用しないと無理かな?
要は クライアントPC側のPOP設定などを変更せずにLAN上のPCから透過的に使えたら良いな…と
思ってます。 >>354
プロキシをポート110、モノホンのPOP3を別ポートにすりゃいいんでねぇの?
って事で、久々にApache 2.0でキャッシュプロキシを作ってみようと思ったけど、
CacheSize 5
CacheGcInterval 4
CacheMaxExpire 24
CacheLastModifiedFactor 0.1
CacheDefaultExpire 1
って書いてあるWebサイトをあたるより2.2のマニュアルを読んだほうがいいね。
特に上2つのディレクティブなんてなくなってるしw 1.3の例と同等にするには
CacheRoot "@@ServerRoot@@/proxy"
CacheSize 5
CacheGcInterval 4
CacheMaxExpire 24
CacheLastModifiedFactor 0.1
CacheDefaultExpire 1
NoCache a-domain.com another-domain.edu joes.garage-sale.com
↓
<IfModule mod_disk_cache.c>
CacheEnable disk /
CacheRoot "@@ServerRoot@@/proxy"
CacheMaxExpire 86400
CacheLastModifiedFactor 0.1
CacheDefaultExpire 3600
<Proxy http://a-domain.com/*>
CacheDisable /
</Proxy>
<Proxy http://another-domain.edu/*>
CacheDisable /
</Proxy>
<Proxy http://joes.garage-sale.com/*>
CacheDisable /
</Proxy>
</IfModule>
こうかな? <Proxy>〜</Proxy>の中にCacheDisableを置いちゃだめだって。 >>355 レスThanks! m(_ _)m
なるほど、POPサーバ側のポート変更ですね。 _〆(。。)メモメモ… リバースプロキシを使えば、一つのグローバルIPアドレスしかなくても
ドメイン名がそれぞれ異なる複数のウェブサーバーを全部ポート80で
同時に運用できるって聞いたんですが、本当ですか? >>359
本当。
でも「ドメイン名が異なる」複数のウェブサーバの実体が、
一つのウェブサーバにバーチャルホストとして乗っかっているなら
リバースプロキシなんてなくても使える。