Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
А это обязательно делать на уровне сквида? iptables не помогут? 06.08.03 08:03 Число просмотров: 1489
Автор: cybervlad <cybervlad> Статус: Elderman
|
Да. Машина со сквидом - с одной платой, стоит в локальной сети. Для нее на циске разрешен NAT, всем остальным все закрыто.
|
<networking>
|
вопрос к сквидоводам ;) трафик в обход? 05.08.03 16:19
Автор: cybervlad <cybervlad> Статус: Elderman
|
Есть squid, через который юзеры ходят в инет. Однако их запросы к локальному серверу в интрасети должны идти напрямую (там есть завязка на src ip). Можно ли средствами сквида сделать что-то типа port redirect?
Т.е. типа если сквиду приходит запрос GET http://intranet, то он его не выполняет, а как-то перенаправляет соединение от юзера напрямую. Очевидное решение обойти все машинки и прописать там "не использовать прокси для адресов 192.168.1.*" невыполнимо ввиду их большого количества и шаловливости ручек отдельных юзеров...
|
|
вопрос к сквидоводам ;) трафик в обход? 05.08.03 19:43
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
1. Запретить на сквиде проксировать запросы к интранету.
2. Сделать для всех машин automatic proxy discovery и там прописать куда ходить через проксю, а куда - нет.
Кто отключит 2 и попытается пойти на интранет через сквид, получит отлуп из-за 1.
|
| |
о! вот так и сделаю ;) спасибо! 06.08.03 08:11
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
|
А это обязательно делать на уровне сквида? iptables не помогут? 05.08.03 18:40
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
| |
А это обязательно делать на уровне сквида? iptables не помогут? 06.08.03 08:03
Автор: cybervlad <cybervlad> Статус: Elderman
|
Да. Машина со сквидом - с одной платой, стоит в локальной сети. Для нее на циске разрешен NAT, всем остальным все закрыто.
|
|
напиши поподробнее, плз 05.08.03 17:12
Автор: whiletrue <Роман> Статус: Elderman Отредактировано 05.08.03 17:19 Количество правок: 3
|
> Есть squid, через который юзеры ходят в инет. Однако их > запросы к локальному серверу в интрасети должны идти > напрямую (там есть завязка на src ip). Можно ли средствами > сквида сделать что-то типа port redirect? > Т.е. типа если сквиду приходит запрос GET http://intranet, > то он его не выполняет, а как-то перенаправляет соединение > от юзера напрямую. Очевидное решение обойти все машинки и > прописать там "не использовать прокси для адресов > 192.168.1.*" невыполнимо ввиду их большого количества и > шаловливости ручек отдельных юзеров...
Где находится локальный веб-сервер и локальный днс-сервер. Оба на сквидовой тачке? Или как-то по другому? На какой ОС сквид? На какой ОС нат и раутер?
На вскидку - сквид должен работать в режиме акселератора:
httpd_accel_host <ип_локального_веб_сервера>
...
Еще советую принудительно заворачивать пакеты в свой проксик, не зависимо от того, что указано в настройках пользователей.
для ipfw это звучит так:
ipfw add fwd <ип_сквида>, <порт_сквида> tcp from <твоя_сеть> to any 80, 8080, 3128...
Ну, а для избранных делай натом...
Все делается только настройками ipfw+natd, если ты под никсами, конечно.
|
| |
напиши поподробнее, плз 06.08.03 08:09
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Где находится локальный веб-сервер и локальный днс-сервер. > Оба на сквидовой тачке? Или как-то по другому? На какой ОС > сквид? На какой ОС нат и раутер? сквид, локальный веб и ДНС находятся в локальной сети, на разных машинах. для машины со сквидом на циске разрешен NAT, для остальных все закрыто.
> На вскидку - сквид должен работать в режиме акселератора: > httpd_accel_host <ип_локального_веб_сервера> но при этом для локального сервера src ip будет ip сквида, а надо реальный.
опцайка always_direct не канает.
> Еще советую принудительно заворачивать пакеты в свой > проксик, не зависимо от того, что указано в настройках > пользователей. > для ipfw это звучит так: > ipfw add fwd <ип_сквида>, <порт_сквида> tcp это для решения обратной задачи - transparent proxy, чтобы юзерам ничего не настраивать вообще.
> Ну, а для избранных делай натом... только через мой труп будет нат для рабочих станций ;)
> Все делается только настройками ipfw+natd, если ты под > никсами, конечно. нет, мы под цисками ;)
а сквиды под юниксами
|
|
|