Есть squid, через который юзеры ходят в инет. Однако их запросы к локальному серверу в интрасети должны идти напрямую (там есть завязка на src ip). Можно ли средствами сквида сделать что-то типа port redirect?
Т.е. типа если сквиду приходит запрос GET http://intranet, то он его не выполняет, а как-то перенаправляет соединение от юзера напрямую. Очевидное решение обойти все машинки и прописать там "не использовать прокси для адресов 192.168.1.*" невыполнимо ввиду их большого количества и шаловливости ручек отдельных юзеров...
вопрос к сквидоводам ;) трафик в обход?05.08.03 19:43 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
1. Запретить на сквиде проксировать запросы к интранету.
2. Сделать для всех машин automatic proxy discovery и там прописать куда ходить через проксю, а куда - нет.
Кто отключит 2 и попытается пойти на интранет через сквид, получит отлуп из-за 1.
о! вот так и сделаю ;) спасибо!06.08.03 08:11 Автор: cybervlad <cybervlad> Статус: Elderman
> Есть squid, через который юзеры ходят в инет. Однако их > запросы к локальному серверу в интрасети должны идти > напрямую (там есть завязка на src ip). Можно ли средствами > сквида сделать что-то типа port redirect? > Т.е. типа если сквиду приходит запрос GET http://intranet, > то он его не выполняет, а как-то перенаправляет соединение > от юзера напрямую. Очевидное решение обойти все машинки и > прописать там "не использовать прокси для адресов > 192.168.1.*" невыполнимо ввиду их большого количества и > шаловливости ручек отдельных юзеров...
Где находится локальный веб-сервер и локальный днс-сервер. Оба на сквидовой тачке? Или как-то по другому? На какой ОС сквид? На какой ОС нат и раутер?
На вскидку - сквид должен работать в режиме акселератора:
httpd_accel_host <ип_локального_веб_сервера>
...
Еще советую принудительно заворачивать пакеты в свой проксик, не зависимо от того, что указано в настройках пользователей.
для ipfw это звучит так:
ipfw add fwd <ип_сквида>, <порт_сквида> tcp from <твоя_сеть> to any 80, 8080, 3128...
Ну, а для избранных делай натом...
Все делается только настройками ipfw+natd, если ты под никсами, конечно.
> Где находится локальный веб-сервер и локальный днс-сервер. > Оба на сквидовой тачке? Или как-то по другому? На какой ОС > сквид? На какой ОС нат и раутер? сквид, локальный веб и ДНС находятся в локальной сети, на разных машинах. для машины со сквидом на циске разрешен NAT, для остальных все закрыто.
> На вскидку - сквид должен работать в режиме акселератора: > httpd_accel_host <ип_локального_веб_сервера> но при этом для локального сервера src ip будет ip сквида, а надо реальный.
опцайка always_direct не канает.
> Еще советую принудительно заворачивать пакеты в свой > проксик, не зависимо от того, что указано в настройках > пользователей. > для ipfw это звучит так: > ipfw add fwd <ип_сквида>, <порт_сквида> tcp это для решения обратной задачи - transparent proxy, чтобы юзерам ничего не настраивать вообще.
> Ну, а для избранных делай натом... только через мой труп будет нат для рабочих станций ;)
> Все делается только настройками ipfw+natd, если ты под > никсами, конечно. нет, мы под цисками ;)
а сквиды под юниксами
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
