The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка SQUID  с двумя интерфейсами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от Medvedi email(ok) on 22-Авг-12, 18:13 
Всем доброго дня!
Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID 170.12.55.250:8080)
Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать запросы в интернет через первую сетевую с IP 163.12.55.1

Буду очень признателен за помощь


cache_peer 170.12.55.250 parent 8080 0 no-query default proxy-only
acl all src all
never_direct allow all
acl localhost src 127.0.0.1/32
http_port 163.12.55.1:8080
acl SSL_ports port 443
acl Safe_ports port 8080    # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access deny all
http_access allow !Safe_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка SQUID  с двумя интерфейсами"  –1 +/
Сообщение от aaa (??) on 22-Авг-12, 19:58 
>[оверквотинг удален]
> acl Safe_ports port 488  # gss-http
> acl Safe_ports port 591  # filemaker
> acl Safe_ports port 777  # multiling http
> acl CONNECT method CONNECT
> http_access allow localhost
> http_access deny all
> http_access allow !Safe_ports
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny all

скорее всего с маршрутизациее косяк.
либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от PavelR (??) on 22-Авг-12, 21:06 
>[оверквотинг удален]
>> acl Safe_ports port 777  # multiling http
>> acl CONNECT method CONNECT
>> http_access allow localhost
>> http_access deny all
>> http_access allow !Safe_ports
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> http_access deny all
> скорее всего с маршрутизациее косяк.
> либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ

ага. на виндовс икспи сп3.

отличное чуйство юмора

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от write2net (ok) on 22-Авг-12, 21:27 
>> либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ
> ага. на виндовс икспи сп3.
> отличное чуйство юмора

а разве эта директива под windows не работает?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Настройка SQUID  с двумя интерфейсами"  –1 +/
Сообщение от write2net (ok) on 22-Авг-12, 21:00 
> Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами
> c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID
> 170.12.55.250:8080)
> Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и
> отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
> запросы в интернет через первую сетевую с IP 163.12.55.1

нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от PavelR (??) on 22-Авг-12, 21:08 
>> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
>> запросы в интернет через первую сетевую с IP 163.12.55.1

Сам по себе сквид про сетевые ничего не знает.
Маршрутизацией занимается система.

> нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

чушь.

Всего-лишь нужно чтобы _маршрут_ к вышестоящему прокси был через нужную сетевую.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от write2net (ok) on 22-Авг-12, 21:22 
> чушь.
> Всего-лишь нужно чтобы _маршрут_ к вышестоящему прокси был через нужную сетевую.

нуда. можно в консоли с помощью route -p прописать маршрут к 170.12.55.250 через узел из сети узла 150.12.55.6.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi (ok) on 22-Авг-12, 22:33 
>> Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами
>> c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID
>> 170.12.55.250:8080)
>> Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и
>> отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
>> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
>> запросы в интернет через первую сетевую с IP 163.12.55.1
> нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

Первое что мне пришло в голову... но не помогло((

>>нуда. можно в консоли с помощью route -p прописать маршрут к 170.12.55.250 через узел из сети узла 150.12.55.6.

А как это поможет? Ведь если я не ошибаюсь маршрут хоть и будет прописан в таблице, но сам Squid не поймет куда смотреть.... Ведь так???? Поправьте меня плз если я ошибаюсь.

На крайний случяй думаю попробовать ProxyCAP поставить, что бы он сам перехватывал запросы от Squid и маршрутизировал.....Но это уже совсем изврат, надеюсь есть более правильные методы. Да и ProxyCAP боюсь может стать узким местом.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от write2net (ok) on 22-Авг-12, 23:27 
> А как это поможет? Ведь если я не ошибаюсь маршрут хоть и
> будет прописан в таблице, но сам Squid не поймет куда смотреть....
> Ведь так???? Поправьте меня плз если я ошибаюсь.

выше уже писали, про то, что маршрутизацией занимается система.
а сквид - прикладной сервис.

покажите настройки интерфейсов и таблицу маршрутизации.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi (ok) on 22-Авг-12, 23:34 
>> А как это поможет? Ведь если я не ошибаюсь маршрут хоть и
>> будет прописан в таблице, но сам Squid не поймет куда смотреть....
>> Ведь так???? Поправьте меня плз если я ошибаюсь.
> выше уже писали, про то, что маршрутизацией занимается система.
> а сквид - прикладной сервис.
> покажите настройки интерфейсов и таблицу маршрутизации.

Спасибо за направление.....
Настройки интерфейсов и таблица маршрутов до завтра.... в 9:00 приду и первым делом отпишусь

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi email(ok) on 23-Авг-12, 09:36 
`
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от write2net (ok) on 23-Авг-12, 09:54 
> http_access allow localhost
> http_access deny all
> http_access allow !Safe_ports
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny all

млин, правила доступа-то выглядят так, что доступ к кзшу разрешен только локалхосту. впрочем, я не очень помню как работает never_direct.

попробуйте для начала так:
acl myclients src 163.12.55.0/24

а в http_access оставьте только

http_access allow localhost
http_access allow myclients
http_access deny all


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi email(ok) on 23-Авг-12, 10:49 
У меня это разрешение уже есть, я просто только кусок конфига предоставил.
Ниже весь конфиг

cache_peer 170.12.55.250 parent 8080 0 no-query default proxy-only
acl all src all
never_direct allow all
acl localhost src 127.0.0.1/32
acl BESTITotdel src 163.12.55.1-163.12.55.3
acl ITotdel src  163.12.55.4-163.12.55.10
acl Nachalnik src  163.12.55.11-163.12.55.15
acl Ochered src 163.12.55.21-163.12.55.29
acl Obuch src 163.12.55.30-163.12.55.250
acl SSL_ports port 443
acl Safe_ports port 8080    # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
delay_pools 5
delay_class 1 1
delay_access 1 allow BESTITotdel
delay_access 1 deny all
delay_parameters 1 -1/-1
delay_class 2 2
delay_access 2 allow ITotdel
delay_access 2 deny all
delay_parameters 2 655360/655360  131072/10485760
delay_class 3 2
delay_access 3 allow Nachalnik
delay_access 3 deny all
delay_parameters 3 65536/65536 32768/2097152
delay_class 4 2
delay_access 4 allow Ochered
delay_access 4 deny all
delay_parameters 4 65536/65536 32768/104857600
delay_class 5 2
delay_access 5 allow Obuch
delay_access 5 deny all
delay_parameters 5 131072/131072 16384/1048576
http_access allow localhost
http_access allow BESTITotdel
http_access allow ITotdel
http_access allow Ochered
http_access allow Nachalnik
http_access allow Obuch
http_access deny all
http_access allow !Safe_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_port 163.12.55.1:8080
hierarchy_stoplist cgi-bin ?
cache_mem 100 MB
fqdncache_size 10 MB
cache_dir ufs c:/squid/var/cache 100 16 256
store_dir_select_algorithm least-load
max_open_disk_fds 0
minimum_object_size 10 KB
maximum_object_size 40096 KB
cache_swap_low 90
cache_swap_high 95
update_headers on
access_log c:/squid/var/logs/access.log squid
logfile_daemon c:/squid/libexec/logfile-daemon.exe
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
logfile_rotate 10
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
log_fqdn off
strip_query_terms on
buffered_logs off
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname defenderNOOB
coredump_dir c:/squid/var/cache

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от write2net (ok) on 23-Авг-12, 11:51 
> У меня это разрешение уже есть, я просто только кусок конфига предоставил.

если тисипи_аутгоинг_аддрес не помогает, то моя говорить хез.

проблема в чем-то третьем.

я подобную фишку делал без проблем. правда, там не было делай пулов и мастдай был серверный. неужели у хрюши такой кривой сетевой стек.

на вашем месте, чтобы узнать кто виноват сквид или хрюша, я б, если был бы так упрям, упростил конфиг сквида до нельзя и проверил или работает. если работает, то добавлял бы одну за одной опции в конфиг и смотрел бы на чем обломается.


> http_access allow !Safe_ports
> http_access deny !Safe_ports

это к делу вроде не относится, но смысл этих строк какой-то скользкий.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi email(ok) on 23-Авг-12, 12:26 
Так это не на FreeBSD в на Windows XP, так что тисипи_аутгоинг_аддрес не поможет.
Данный конфиг работает пробовал в сети с другим проксиком но там только один интерфейс задействован.... то-есть запросы приходят на один интерфейс и с него уходят к местному проксику....
Но в моем случае необходимо что бы запросы приходили с одного интерфейса и проходя через проксик уходили в другую сеть и обратно.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от write2net (ok) on 23-Авг-12, 12:55 
> Так это не на FreeBSD в на Windows XP, так что тисипи_аутгоинг_аддрес
> не поможет.

а вы пробовали?
https://www.opennet.ru/openforum/vsluhforumID12/6767.html

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

10. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от кегна on 22-Авг-12, 23:57 
> На крайний случяй думаю попробовать ProxyCAP поставить, что бы он сам перехватывал
> запросы от Squid и маршрутизировал.....Но это уже совсем изврат, надеюсь есть
> более правильные методы. Да и ProxyCAP боюсь может стать узким местом.

Ага, а винхп с squid место вапще шЫрокое )))))))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi (ok) on 23-Авг-12, 07:54 
> Ага, а винхп с squid место вапще шЫрокое )))))))

Да я понимаю что SQUID по определению должен на FreeBSD стоять, но начальство поставило задачу, а так как сроки короткие то пока буду разбираться с FreeBSD уже поставлю SQUID NT..
В дальнейшем SQUID будет под FreeBSD стоять.

И я считаю ProxyCAP более узкое место в данной связке..

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Настройка SQUID  с двумя интерфейсами"  +2 +/
Сообщение от write2net (ok) on 23-Авг-12, 08:34 
> Да я понимаю что SQUID по определению должен на FreeBSD стоять, но
> начальство поставило задачу, а так как сроки короткие то пока буду
> разбираться с FreeBSD уже поставлю SQUID NT..
> В дальнейшем SQUID будет под FreeBSD стоять.

сквид неплохо себя чувствует и на линуксе, обслуживание которого понятнее bsd.
если же так тянет к фряхе, то можно посмотреть в сторону pfsense.
устанавливается с полтыка и базовые настройки можно выполнить без специальных знаний
с помощью вебинтерфейса.

> И я считаю ProxyCAP более узкое место в данной связке..

для этой тривиальной задачи не нужно ничего кроме сквида.
по крайней мере, в вашей трактовке.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi email(ok) on 23-Авг-12, 09:39 

> покажите настройки интерфейсов и таблицу маршрутизации.

А вот и настройки интерфейсов

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 163.12.55.1
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . :

Подключение по локальной сети 2 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 150.12.55.6
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 150.12.55.20

И таблица маршрутов=====>>>

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     150.12.55.20     150.12.55.6       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      150.12.55.0    255.255.255.0      150.12.55.6     150.12.55.6       20
      150.12.55.6  255.255.255.255        127.0.0.1       127.0.0.1       20
   150.12.255.255  255.255.255.255      150.12.55.6     150.12.55.6       20
      163.12.34.0    255.255.255.0      163.12.55.1     163.12.55.1       20
      163.12.55.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   163.12.255.255  255.255.255.255      163.12.55.1     163.12.55.1       20
        224.0.0.0        240.0.0.0      150.12.55.6     150.12.55.6       20
        224.0.0.0        240.0.0.0      163.12.55.1     163.12.55.1       20
  255.255.255.255  255.255.255.255      150.12.55.6     150.12.55.6       1
  255.255.255.255  255.255.255.255      163.12.55.1     163.12.55.1       1
Основной шлюз:        150.12.55.20
===========================================================================
Постоянные маршруты:
  Отсутствует

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Настройка SQUID  с двумя интерфейсами"  +1 +/
Сообщение от write2net (ok) on 23-Авг-12, 09:55 
>> покажите настройки интерфейсов и таблицу маршрутизации.
> А вот и настройки интерфейсов

см. выше про acl

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Настройка SQUID  с двумя интерфейсами"  +/
Сообщение от Medvedi email(ok) on 12-Ноя-12, 15:04 
Забыл отписаться.
Все заработало, всем спасибо.
Ответы на свои вопросы нашел в англоязычных манах...
Осталась только одна нерешенная проблема.
Если одной группе ACL необходимо открыть доступ на несколько сайтов с доменным именем и с IP именем пример http://82.138.8.115 то если первым в http_access стоит запрет на доменные имена а потом на IP имена то доступ в первым осуществляется мгновенно а ко вторым (то есть IP) очень медленно по 3-5 минут. Если поменять местами http_access правила то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
Ниже привожу пример куска правил
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all

Если кто сталкивался огромная просьба помогите, уже совсем выбился из сил в поисках ответа...
PS
В отчаянье стали посещать мысли о поднятии второго SQUID-а, в одном разрешить только на ip а на втором по доменным адресам

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру