关于squid需要注意的一些问题及不足

水中风铃

问题一：用户认证不能在透明代理上实现
在squid.conf里提到：
# # WARNING: proxy_auth can't be used in a transparent proxy. It
# # collides with any authentication done by origin servers. It may
# # seem like it works at first, but it doesn't.

说明透明代理和用户认证根本不能同时使用。squid不支持。但是我发现坛子里好多贴子，都没有说明这一点。可能有些人忽略了这些。或者没有做过测试？


问题二：所谓的透明代理其实就是http透明代理
实际上就是把所有客户端发来的80端口请求转发到squid的代理端口。其它的透明还得通过iptables等来实现 。在squid上做的策略实际上只对转发来的数据进行处理。因此经常会有人问，为什么在squid上设了时间限制，但MSN和QQ还能用。


问题三：squid页面出错信息时间问题
squid用的是格林威治时间，而我们的系统是+8的北京时区，所以如果squid提示出错的时候，是-8小时的时间。
可以验证一下，
ping www.163.com
ping www.sina.com
得到IP地址，用这个地址去访问，发现他们也一样，哈哈！

段誉

认同第一、二两个问题，对于第三个问题，我查了www.squid-cache.org的FAQ，发现不是用的格林威治标准时间（GMT），而是UTC时间（没搞清楚是什么含义， ，“Univer-sal Time Code-世界时间代码”？）。

原文引用如下：
access.log native format in detail
It is recommended though to use Squid's native log format due to its greater amount of information made available for later analysis. The print format line for native access.log entries looks like this:


    "%9d.%03d %6d %s %s/%03d %d %s %s %s %s%s/%s %s"


Therefore, an access.log entry usually consists of (at least) 10 columns separated by one ore more spaces:


time
A Unix timestamp as UTC seconds with a millisecond resolution. You can convert Unix timestamps into something more human readable using this short perl script:

        #! /usr/bin/perl -p
        s/^\d+\.\d+/localtime $&/e;

platinum

对于access.log，在squid.conf里设置emulate_httpd_log on就可以解决问题

不过squid报错页面下面的时间，就恐怕只能修改源代码了
我查了源代码，里面用到了rfc的一个库里面的一个gmt函数，取当前时间并以字符串形式返回

水中风铃

原帖由 "段誉" 发表：
is recommended though to use Squid's native log format due to its greater amount of information made available for later analysis. The print format line for native access.log entries looks like this:
..........

不好意思，我写错的，我说的是网页出错信息是GMT格式，

platinum

是的，163、新浪等网站，他们也用squid做反向代理，且他们的GMT时间也比北京的真正时间-8小时，而且查阅了squid手册，没有找到可以修正GMT时间偏差的参数

另外针对水中风铃提出的问题一，我虽然知道这个规定，但是不知道为什么不行，squid解释的也不是很清楚，不行的原因是什么能说说吗？

60133056

期待

zbyue

关于第一个问题我有意见，我经过试验是可以用户认证和透明代理上同时实现的，我已经使用了一年多了，200多个用户IP+MAC+user.passwd，这个是事实的。

platinum

zbyue，能否把你的squid.conf去掉“#”后贴上来看一下
还有iptables -t nat表的内容

关于风铃说的第一点，那个是官方文档上说的，我也不是很明白

yahwist7

请教，如果squid对多个域名反向代理，如何将每个域名的access.log分开。就像apache下多个域名，但是每个域名有自己的access.log

cjpercy

[quote]原帖由 "zbyue"]关于第一个问题我有意见，我经过试验是可以用户认证和透明代理上同时实现的，我已经使用了一年多了，200多个用户IP+MAC+user.passwd，这个是事实的。[/quote 发表：


关于这个问题我也曾经作过，但一直没成功，可否给把你的配置给我们贴上来呢？