[SHARE] TIPS SQUID MENGATASI BLANK PADA FACEBOOK



  • FB sudah upgarde server ke versi 1.1, ip nya redundant alias ganti2, jadi jika menggunakan proxy, si proxy akan bingung tidak bisa menerima repley dari FB,  ada tips utk mengatasi hal ini :

    1. gunakan squid-2.7/cacheboy/lusca dan tambahkan di config squid option server_http11 on
    2. Aktifkan transparent proxy (centang di webgui proxy general setting)
    3. Tambahkan parameter IP  di squid.inc

    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 port 80\n";

    menjadi

    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8,
                                                      69.63.181.12/32, 69.63.181.15/32, 69.63.181.16/32, 69.63.181.11/32, 69.63.186.30/32,
                                                      69.63.184.32/32, 69.63.186.38/32 } port 80\n";

    sesuaikan port 3128 dengan port squid anda.

    4. Disable dan enable pada web gui proxy general setting Bypass proxy for Private Address Space (RFC 1918) destination, tunggu 30 detik

    5. Cek apakah rules no redirect sudah jalan dengan perintah pfctl -sn, harus ada yang seperti ini

    no rdr on em0 inet proto tcp from any to 192.168.0.0/16 port = 80
    no rdr on em0 inet proto tcp from any to 172.16.0.0/12 port = 80
    no rdr on em0 inet proto tcp from any to 10.0.0.0/8 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.181.12 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.181.15 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.181.16 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.181.11 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.186.30 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.184.32 port = 80
    no rdr on em0 inet proto tcp from any to 69.63.186.38 port = 80

    IP2 tambahan tsb adalah IP yang menuju facebook.com/home.php, sedangkan file2 ada di fcbdn*.*, jadi tenang saja, file2 image, movie dll akan tetap tercache.

    Atau jika Tidak menggunakan transparent (menggunakan static proxy)
    masukkan ke Tab FIREFOX  NO PROXY FOR localhot, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 69.63.181.12/32, 69.63.181.15/32, 69.63.181.16/32, 69.63.181.11/32, 69.63.186.30/32,69.63.184.32/32,69.63.186.38/32



  • gunakan squid-2.7/cacheboy/lusca dan tambahkan di config squid option server_http11 on <<<

    config squid  option itu letaknya dimana om ?



  • ^^^

    silahkan lihat gambar2 disini http://shakau.googlepages.com/pfsensekambeeng.rar
    lebih jelas, drpd mejelaskan config dengan kata2



  • @kavari:

    gunakan squid-2.7/cacheboy/lusca dan tambahkan di config squid option server_http11 on <<<

    config squid  option itu letaknya dimana om ?

    CMIIW,

    File yang harus dimodif ada di /usr/local/pkg/squid.inc

    • add line "server_http11 on" tanpa kutip, saya tambahkan di bawah cache_store_log none
    • modif $rules di line  1269 atau deket2 situ :)


  • @grage95:

    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8,
                                                      69.63.181.12/32, 69.63.181.15/32, 69.63.181.16/32, 69.63.181.11/32, 69.63.186.30/32,
                                                      69.63.184.32/32, 69.63.186.38/32 } port 80\n";

    Bos Grage, punya pertanyaan nich. Apakah memungkinkan kita memanggil file external seperti ACL untuk kita masukkan di daftar $rules misal jadi seperti ini:

    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8,
                                                      69.63.181.12/32, 69.63.181.15/32, 69.63.181.16/32, 69.63.181.11/32, 69.63.186.30/32,
                                                      69.63.184.32/32, 69.63.186.38/32, "/var/squid/acl/bypass.acl" } port 80\n";

    Isi "var/squid/acl/bypass.acl" adalah:

    xxx.xxx.xxx.xxx/24, xxx.xxx.xxx.xxx/16, etc.etc



  • ^^^
    gak bisa boss,
    command itu miliknya pf openbsd, syntaxnya lihat di http://www.openbsd.org/faq/pf/rdr.html



  • @grage95:

    ^^^
    gak bisa boss,
    command itu miliknya pf openbsd, syntaxnya lihat di http://www.openbsd.org/faq/pf/rdr.html

    Hehehe, thanks for the links, sudah saya baca, ada yang menarik di sini:

    http://www.openbsd.org/faq/pf/tables.html

    Tables can also be populated from text files containing a list of IP addresses and networks:

    table <spammers>persist file "/etc/spammers"

    block in on fxp0 from <spammers>to any
    The file /etc/spammers would contain a list of IP addresses and/or CIDR network blocks, one per line. Any line beginning with # is treated as a comment and ignored.</spammers></spammers>

    Updated 2010-03-01:

    Table bisa dibuat di Pfsense GUI, Firewall - Alias, misal saya beri nama "OpenDNS"

    Terus $rules diganti menjadi:

    $rules .= "no rdr on $iface proto tcp from any to { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, <opendns>, <namaaliasyanglain>… } port 80\n";</namaaliasyanglain></opendns>

    Sudah saya coba di pfsense 1.2.3-RELEASE dengan Lusca HEAD.



  • Lancar-lancar aja tuh mang….......... Udah q coba...



  • yups, syntaksnya tinggal di sesuikan dengan pf
    intinya pfsense itu ada di pf



  • @grage95:

    yups, syntaksnya tinggal di sesuikan dengan pf
    intinya pfsense itu ada di pf

    Oke, maturnuwun :)



  • ikutan merunyam kan ahhh …  ;D

    btw ... sejauh ini, disini tidak mensetting sampe sedemikian utk urusan facebook
    pake squid 2.7 atau lusca, cukup mengaktifkan http11 on, seperti banyak yg menyarankan ...

    bahkan di mesin yg msh pake squid 2.6.21, kondisi sekarang, aman2 saja utk akses facebook
    memang, waktu di masa peralihan server2 facebook, kata berita2 di dunia maya, disini juga ngalamin yg namanya blank page, harus tekan F5 sampe 3 - 5 kali baru tampil, tapi itu kemaren2 ...
    sptnya skrg, sama admin2 facebook sana sudah diatasi semua masalah itu, mau pake yg 2.6 atau 2.7 atau lusca atau yg lainnya ...

    atau memang masih ada yg mengalami facebook blank page ....



  • Bagus deh kalo begitu :) - Saya juga jarang mengalami keluhan tentang facebook , gak tahu jarangnya karena gak ada masalah  atau user takut saya sindir facebookan di kantor, saya gak tahu :)

    The point is, ide mas grage untuk me-MOD rules untuk no redirect bagi newbie seperti saya sangat mencerahkan, membantu menguliti seluk beluk squid.inc dan kenalan dengan freebsd lebih intense lagi

    Sekarang saya aplikasikan mod rules ini untuk membypass squid jika access ke INHERENT, sebelumnya saya  sudah gunakan cache deny:

    acl donotcache dstdomain "/var/squid/acl/donotcache.acl"
    cache deny donotcache

    dan tak lupa modif delay pool:

    #Kecepatan Full untuk akses ke UGM, Special dan Inherent
    delay_class 1 1
    delay_parameters 1 -1/-1
    delay_access 1 allow localugm ugm1 ugm2 special inherent
    delay_initial_bucket_level 100
    delay_access 1 deny all

    #Server
    delay_class 2 1
    delay_parameters 2 -1/-1
    delay_access 2 allow server-ari server-pasca dns-cache
    delay_initial_bucket_level 100
    delay_access 2 deny all

    #Priority
    delay_class 3 2
    delay_parameters 3 -1/-1 40000/10000
    delay_access 3 allow sarto-ppj pengembangan1 kajur tatausaha arsip pengajaran2 pengajaran keuangan
    delay_initial_bucket_level 100
    delay_access 3 deny all

    #Umum
    delay_class 4 2
    delay_parameters 4 -1/-1 10240/32000
    delay_initial_bucket_level 25

    Throttle extensions matched in the url

    acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
    delay_access 4 allow throttle_exts
    delay_access 4 deny all

    tapi tetep saja tetep saja kena limiting, langsung masuk pool 4.
    Lumayan, skrg bisa update karmic dengan speed ngebut :)

    @serangku:

    ikutan merunyam kan ahhh …  ;D

    btw ... sejauh ini, disini tidak mensetting sampe sedemikian utk urusan facebook
    pake squid 2.7 atau lusca, cukup mengaktifkan http11 on, seperti banyak yg menyarankan ...

    bahkan di mesin yg msh pake squid 2.6.21, kondisi sekarang, aman2 saja utk akses facebook
    memang, waktu di masa peralihan server2 facebook, kata berita2 di dunia maya, disini juga ngalamin yg namanya blank page, harus tekan F5 sampe 3 - 5 kali baru tampil, tapi itu kemaren2 ...
    sptnya skrg, sama admin2 facebook sana sudah diatasi semua masalah itu, mau pake yg 2.6 atau 2.7 atau lusca atau yg lainnya ...

    atau memang masih ada yg mengalami facebook blank page ....



  • hooh … kali malu, ngantor cuma numpang gratis fb an doank ...  ;D

    pernah dengar ttg INHERENT, katanya jaringan private antar perguruan tinggi Indonesia kalau gak salah
    bener gak yah om @dedieko ...



  • di INHERENT ada repository ya,

    cache_deny/no_cache/always_direct cuma efektif  untuk tidak mengcache file, tapi tetap saja  melewati proxy dan kena delay  ;D, kecuali di tambahin acl INHERENT dst 1.2.3.4/5 & utk delay_access nya : delay_access 4 allow throttle_exts !INHERENT (dikasih negasi).
    solusi jitu jika menggunakan tranparent proxy ya membypas di firewall/router-nya agar tidak melewatkan paket ke squid, atau kita bisa menggunakan sript proxy.pac  (proxy auto config) di setting di browser, cuman kelemahannya kalau ini ribet sekali, musti di set di brosernya client satu2  ::), script ini cocok jika client semuanya OS mikocok dan menggunakan join domain utk auth ke domain dan client akan mendapatkan auto configuration proxy yang sudah di definiskan di acitive directory

    referensi :
    http://en.wikipedia.org/wiki/Proxy_auto-config



  • @serangku:

    hooh … kali malu, ngantor cuma numpang gratis fb an doank ...  ;D

    pernah dengar ttg INHERENT, katanya jaringan private antar perguruan tinggi Indonesia kalau gak salah
    bener gak yah om @dedieko ...

    Betul sekali :)



  • @grage95:

    di INHERENT ada repository ya,

    cache_deny/no_cache/always_direct cuma efektif  untuk tidak mengcache file, tapi tetap saja  melewati proxy dan kena delay  ;D, kecuali di tambahin acl INHERENT dst 1.2.3.4/5 & utk delay_access nya : delay_access 4 allow throttle_exts !INHERENT (dikasih negasi).
    solusi jitu jika menggunakan tranparent proxy ya membypas di firewall/router-nya agar tidak melewatkan paket ke squid, atau kita bisa menggunakan sript proxy.pac  (proxy auto config) di setting di browser, cuman kelemahannya kalau ini ribet sekali, musti di set di brosernya client satu2  ::), script ini cocok jika client semuanya OS mikocok dan menggunakan join domain utk auth ke domain dan client akan mendapatkan auto configuration proxy yang sudah di definiskan di acitive directory

    referensi :
    http://en.wikipedia.org/wiki/Proxy_auto-config

    Menarik sekali sarannya. Kondisi existing, semua koneksi ke Inherent (yang notabene "lokal") saya masukkan ke daftar ACL No Redirect supaya buanter. Bener mas grage, ada repo kambing.ui.ac.id dll yang sangat sayang kalo koneknya dilewatkan speedy/ISP lainnya.

    Ide PAC juga menarik, agak malu client  kita memang 95% masih mikocok.

    Untuk ambil PAC files,  saya sering memperhatikan di log kalo komputer ber-OS windows selalu otomatis mencari hostname dengan nama "wpad.namadomain.local"

    Nah, misalnya nich, saya bikin resolver override di dnsredolver pfsense untuk wpad.domain.local ke IP tertentu, kemudian menyediakan file proxy.pac di komputer tersebut, is it possible?



  • @serangku:

    ikutan merunyam kan ahhh …  ;D

    btw ... sejauh ini, disini tidak mensetting sampe sedemikian utk urusan facebook
    pake squid 2.7 atau lusca, cukup mengaktifkan http11 on, seperti banyak yg menyarankan ...

    bahkan di mesin yg msh pake squid 2.6.21, kondisi sekarang, aman2 saja utk akses facebook
    memang, waktu di masa peralihan server2 facebook, kata berita2 di dunia maya, disini juga ngalamin yg namanya blank page, harus tekan F5 sampe 3 - 5 kali baru tampil, tapi itu kemaren2 ...
    sptnya skrg, sama admin2 facebook sana sudah diatasi semua masalah itu, mau pake yg 2.6 atau 2.7 atau lusca atau yg lainnya ...

    atau memang masih ada yg mengalami facebook blank page ....

    bener bosss.. tambah server_http11 on di field Custom Options,, save dah..


Log in to reply