Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Работа с сетью / squid прозрачный прокси (52134 hits)
- By PAHA Date 29.01.05 11:47
вот решил намутить прозрачный прокси значит в ip tables всё зарулил

iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128

но проблемка в том что сквид ругаеться, при запрорсе на страничку сквид даёт таккую ошибку

Во время доставки URL: /

Произошла следующая ошибка:

Неправильный URL
Некоторые аспекты URL неправильны. Возможные проблемы:

Отсутствует либо неверный протокол доступа (должен быть `http://'' или похожий)
Отсутствует имя сервера
Некорректный двойной управляющий символ в URL-пути
Недопустимый символ в имени сервера; подчеркивания недопустимы
Parent By PAHA Date 29.01.05 12:38
всё пролему решил добавлением в squid.conf

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
nonhierarchical_direct off
Parent - By Bercut Date 31.01.05 06:57
может кто нибудь из ГУРУ даст какие нибудь пояснения.
а то задачка насущная.
не сёня завтра нечто подобное придётся и мне мастырить
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 31.01.05 08:59
Какие именно пояснения нужны?

В общих словах:
для настройки прозрачного проксирования необходимо настроить в firewall'е редирект на порт сквида и в сквиде включить несколько директив.
Сквид должен стоять на этой-же машине (шлюзе) на которой делается редирект.
Если машинки разные - надо уже мудрить (не очень много :-))
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By PAHA Date 13.03.07 09:20
Если машинки разные - надо уже мудрить (не очень много )
а можно по подробнее ?? как мне сквиду настроить на другйо тачке, у меня одна тачка перенаправляет на другую, на которой сквид стоит, как мне там настроить сквид ?
Parent - By Bercut Date 13.03.07 10:46
а четам редиректиш на порт и указываеш шлюз где тачка со сквидом
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent By PAHA Date 14.03.07 14:33
а вот ты и не угадал там не всё так просто
Parent - By LOE (Site/forum admin) Date 31.01.05 09:00
Кстати, Паш, а зачем ты udp протокол редиректишь?
По определению веб-сервера udp порты не слушают.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 31.01.05 14:05 Edited 31.01.05 14:09
а сам сквид нельзя заставить прозрачным быть
типа если ему порты соответствующие назначить

ну и директивы включить

и ещё чисто теоретически
ПОКА
кого можно заставить быть так называемам секурным фире волом
т е ,прога которая позволяет
проходить за шлюз любыми протоколами(портами) но после проверки аутентификации
аутентификация произольная (ну хоть лдап или нт лм)
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 31.01.05 18:53
Как ты это представляешь?
Сквид слушает порты _шлюза_, а проходящие пакеты - именно _проходящие_. Поэтому без правил редиректа сквиду - облом.

Если нужны именно правила по-юзерно, то можно определять пакет, посланный пользователем _локальной_ машины.
В случае проходящих пакетов, думаю, ставить SOCKS прокси и настраивать авторизацию в нём.

И посмотри сегодняшнюю ссылку (в Полезных ссылках) - там описано динамическое взведение правил (samba+ldap). Есть там неплохие заделки.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 01.02.05 14:59 Edited 01.02.05 15:04
ссылку видел
но не совсем то, эдаких у меня вагон
тк занимаюсь этой проблемой не один месяц
хочется както элегантней чтоли

там везде надо толпу промежуточных процессов, которые 100пудово падать будут

почему нельзя решить задачю в лоб для начала очень полезно
а развитие потом

в нашей никем не любимой винде есть подобные решния типа ISA Server
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 01.02.05 21:03
Чем SOCKS не устраивает?

Да и не забывай - идеология юниксов именно такая - много маленьких "кирпичиков", из которых и лепится система.
Маленькую прогу, решающую одну специфическую задачу и отладить гораздо легче, и поддерживать.

У меня вот работают десятки скриптиков, так я уж и забывать стал какие и в какое время запускаются - всё "само" работает :-)

Ну и "напоследок" - как ты предполагаешь защититься от "злоумышленника" в локалке?
Можно и пароли перехватить (не обязательно по сети), и MAC адреса карт поменять и много чего еще...
В любом случае будет какой-то "допуск" доверия.

Назначай каждому юзеру уникальный ИП и строй правила firewall'а по ним. В случае подмен - спасут только административные меры (в виде лишения премии ;-))
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 02.02.05 06:53 Edited 02.02.05 07:14
вот это то и называется не красиво
не элегантно в конце концов

хочется чтобы был модулёк, привинчивался к иптаблесам,
который и проверял бы аутентификацию юзверя ну и автторизировал его до кучи

а то решения типа сходи туда возьми что нибудь не нужное,
что бы потом обменять на другое не нужное, а вот уже потом получиш вроде как то что надо,
но оно работать будет не сразу тк работает по крону

это я описал метод аутентификации для доступа к порту
с помощю сквида (порт левый типа для кс)
т е
стучишся на порт, оно тебя отсылает к сквиду там аутентифицируешся получаеш ип компа, с которого лезеш, и его динамически в правило забубениваеш
с отключением там ваще засада
но это очень уж через ж.... извращённо, да и не надёжно
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 02.02.05 21:19
Что-то не совсем понял, при чем тут крон?

На счет надежности - что проще, отладить 10 скриптов по 50 строк, или одну громадную прогу "всё в одном" ?
ИМХО первое.
Весь юникс строится на запуске маленьких специализированных прог.

В конце-концов, ставь метки на пакеты, а на шлюзе прописывай правила по этим меткам.

Я же говорю, от злоумышленника в локалке трудно защититься, все параметры подключений можно банально украсть.
И тогда никакая схема авторизации не поможет.
В локалке (читай фирме или предприятии) ответственность надо вводить административными способами.
Один прокол провинившегося, показательное наказание и другим уже не захочется "подставлять шею".

Вот еще метод - ставь VPN сервер и подключай юзеров по VPN.
Сразу будет тебе и авторизация и четкое соответствие юзер-IP. И статистика, и прописывание правил firewall'а.
Можно и RADIUS прикрутить, и билинг найти.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 03.02.05 09:11
вот с радиусом мысль была,
но он прежде всего предназначен для диал апных соединений
клиента гладкого для винды в общемто нет, чтобы мутить соединение с радиус сервером (сервер, который шлюз, а сам я вляется клиентом радиус сервера который на домене основан) по локалке.

а с административными мерами у меня всё ок
просто хочется сделать красиво, чтоб единая аутентификация через домен, и все ресурсы сразу доступны которые разрешены,
для инета сквид, базару нет, можно даже и прозрачный, там аутентификакция по нт лм работает, тока я ещо плохо разобрался как.
а вот остальные сервисы которые голый протокол юзают с ними засада

VPN тож не метод соответствие юзер ип можно сделать и просто разрешив одному юзеру на одной тачке логиньться, это плохо.
эдак мы от распределённой системы уйдем и домен не нужен будет.
да вообще у сети 7 логических уровней ну и до коли мы выше третьего то не прыгнем!?
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 03.02.05 18:28
А зачем клиента радиус для винды?
Винда пусть устанавливает VPN соединение с шлюзом. Без этого VPN'а доступна только локалка, а уж поверх VPN - выход "в мир". Вот пусть шлюз с VPN сервером и авторизует пользователя удобным тебе способом.
Авторизовав - выделит определенный ИП, который уже может быть прописан в firewall'е с соответствующими правами доступа.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 04.02.05 14:43 Edited 04.02.05 14:47
антересная мысль
а как тогда на клиенте роутинг делать
кому через какое соединение ломиться

ps
и всётаки прихожу к выводу что подобную задачу в лоб не решиш
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 04.02.05 20:14
Есть локалка. Есть шлюз по умолчанию.
После подключения по VPN появляется point-to-point (PPP) соединение и еще один шлюз по умолчанию, только с более приоритетной метрикой.
Всё что идет по прямым маршрутам (а это локальная сеть на сетевухе), идет напрямую.
Всё остальное - идет по VPN линку.
Разумеется, никто не мешает сделать route add и прописать еще маршруты.
Причем, если VPN сервер находится за шлюзом локалки, то маршрут до VPN сервера "запоминается" (иначе бы и линк сразу-же сбился).

А вот "подобную задачу" (вроде) ты так и не описал.
Благодаря тому, что в линуксе очень много "кирпичиков", сделать можно практически любую задачу. Другое дело, что иногда надо покумекать немножко ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 07.02.05 13:03
когда много кирпичиков хорошо
но можно бы и домик какой нибудь сразу поиметь
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By LOE (Site/forum admin) Date 07.02.05 17:24
точно
основательный такой домик, без окон и дверей, с полным комплектом обстановки и сантехники
и который неизвестно когда и от чего рухнет
ну или там труба где-то протечет... но трубы-то тоже спрятаны и не видны
трубы текут, а где - неизвестно
а то и черный ход вдруг обнаружится где-нито через подвал или крышу
или окажется, что за супер карсивыми обоями вместо кирпичей - стены из двп
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By Bercut Date 08.02.05 08:32
где же консенсус
надо как-то совмещать
обе тенденции

строительство под контролем :/

а от новела -- не есть готовое решение ?
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent By LOE (Site/forum admin) Date 08.02.05 11:16
Консенсус всегда в личном выборе.
Любой дистрибутив линукса по определению набор кирпичиков.
Разумеется, есть и довольно большие программы.
Дистрибутив SUSE сам по себе не отличается от других, однако, у Новелла есть и свои продукты.

Что выбирать - каждый решает сам ;-)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By G0thic Date 12.02.05 08:01
Отличное сравнение. Моя смеялась. В humor.filtered
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Previous Next Up Topic Администрирование / Работа с сетью / squid прозрачный прокси (52134 hits)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.079s with 10 database queries.