Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
напиши поподробнее, плз 06.08.03 08:09 Число просмотров: 1477
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Где находится локальный веб-сервер и локальный днс-сервер.
> Оба на сквидовой тачке? Или как-то по другому? На какой ОС
> сквид? На какой ОС нат и раутер?
сквид, локальный веб и ДНС находятся в локальной сети, на разных машинах. для машины со сквидом на циске разрешен NAT, для остальных все закрыто.
> На вскидку - сквид должен работать в режиме акселератора:
> httpd_accel_host <ип_локального_веб_сервера>
но при этом для локального сервера src ip будет ip сквида, а надо реальный.
опцайка always_direct не канает.
> Еще советую принудительно заворачивать пакеты в свой
> проксик, не зависимо от того, что указано в настройках
> пользователей.
> для ipfw это звучит так:
> ipfw add fwd <ип_сквида>, <порт_сквида> tcp
это для решения обратной задачи - transparent proxy, чтобы юзерам ничего не настраивать вообще.
> Ну, а для избранных делай натом...
только через мой труп будет нат для рабочих станций ;)
> Все делается только настройками ipfw+natd, если ты под
> никсами, конечно.
нет, мы под цисками ;)
а сквиды под юниксами
|
|
<networking>
|
вопрос к сквидоводам ;) трафик в обход? 05.08.03 16:19
Автор: cybervlad <cybervlad> Статус: Elderman
|
Есть squid, через который юзеры ходят в инет. Однако их запросы к локальному серверу в интрасети должны идти напрямую (там есть завязка на src ip). Можно ли средствами сквида сделать что-то типа port redirect?
Т.е. типа если сквиду приходит запрос GET http://intranet, то он его не выполняет, а как-то перенаправляет соединение от юзера напрямую. Очевидное решение обойти все машинки и прописать там "не использовать прокси для адресов 192.168.1.*" невыполнимо ввиду их большого количества и шаловливости ручек отдельных юзеров...
|
|
вопрос к сквидоводам ;) трафик в обход? 05.08.03 19:43
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
1. Запретить на сквиде проксировать запросы к интранету.
2. Сделать для всех машин automatic proxy discovery и там прописать куда ходить через проксю, а куда - нет.
Кто отключит 2 и попытается пойти на интранет через сквид, получит отлуп из-за 1.
|
| |
о! вот так и сделаю ;) спасибо! 06.08.03 08:11
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
|
|
А это обязательно делать на уровне сквида? iptables не помогут? 05.08.03 18:40
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
|
|
| |
А это обязательно делать на уровне сквида? iptables не помогут? 06.08.03 08:03
Автор: cybervlad <cybervlad> Статус: Elderman
|
|
Да. Машина со сквидом - с одной платой, стоит в локальной сети. Для нее на циске разрешен NAT, всем остальным все закрыто.
|
|
напиши поподробнее, плз 05.08.03 17:12
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 05.08.03 17:19 Количество правок: 3
|
> Есть squid, через который юзеры ходят в инет. Однако их
> запросы к локальному серверу в интрасети должны идти
> напрямую (там есть завязка на src ip). Можно ли средствами
> сквида сделать что-то типа port redirect?
> Т.е. типа если сквиду приходит запрос GET http://intranet,
> то он его не выполняет, а как-то перенаправляет соединение
> от юзера напрямую. Очевидное решение обойти все машинки и
> прописать там "не использовать прокси для адресов
> 192.168.1.*" невыполнимо ввиду их большого количества и
> шаловливости ручек отдельных юзеров...
Где находится локальный веб-сервер и локальный днс-сервер. Оба на сквидовой тачке? Или как-то по другому? На какой ОС сквид? На какой ОС нат и раутер?
На вскидку - сквид должен работать в режиме акселератора:
httpd_accel_host <ип_локального_веб_сервера>
...
Еще советую принудительно заворачивать пакеты в свой проксик, не зависимо от того, что указано в настройках пользователей.
для ipfw это звучит так:
ipfw add fwd <ип_сквида>, <порт_сквида> tcp from <твоя_сеть> to any 80, 8080, 3128...
Ну, а для избранных делай натом...
Все делается только настройками ipfw+natd, если ты под никсами, конечно.
|
| |
напиши поподробнее, плз 06.08.03 08:09
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Где находится локальный веб-сервер и локальный днс-сервер.
> Оба на сквидовой тачке? Или как-то по другому? На какой ОС
> сквид? На какой ОС нат и раутер?
сквид, локальный веб и ДНС находятся в локальной сети, на разных машинах. для машины со сквидом на циске разрешен NAT, для остальных все закрыто.
> На вскидку - сквид должен работать в режиме акселератора:
> httpd_accel_host <ип_локального_веб_сервера>
но при этом для локального сервера src ip будет ip сквида, а надо реальный.
опцайка always_direct не канает.
> Еще советую принудительно заворачивать пакеты в свой
> проксик, не зависимо от того, что указано в настройках
> пользователей.
> для ipfw это звучит так:
> ipfw add fwd <ип_сквида>, <порт_сквида> tcp
это для решения обратной задачи - transparent proxy, чтобы юзерам ничего не настраивать вообще.
> Ну, а для избранных делай натом...
только через мой труп будет нат для рабочих станций ;)
> Все делается только настройками ipfw+natd, если ты под
> никсами, конечно.
нет, мы под цисками ;)
а сквиды под юниксами
|
|
|
подробно о проекте
Анализ криптографических сетевых...
