URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 63950
[ Назад ]
Исходное сообщение
"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 06-Фев-06 22:54 
Привет, народ, дело такое:
Поставил билинг FreeNIBS все работает, запустил, было пару оплошностей, но их все я обошел...  Работает одним словом и хорошо! Но надо прикрутить к этому всему кеширующий прокси  для ускорения работы и просто для статистики, ато сам НИБС не может выдавать куда, когда и на какие сайты...        
    За прокси был выбран Squid  из понятных соображений. Но  вот проблема, не могу его правильно настроить под параметры своей сети, может специалисты помогут, не позвольте умереть ламером!  
Проблема в следующем: Как заворачивать нужный трафик на Squid и обратно? Сам прокси должен работать не на весь трафик а кешировать лишь запросы страничек http тоесть то что на 80-том порту( я так понял)...
У меня для работы интернета на сервере используеться natd и ipfw,  который такими правилами заворачивает и пропускает весь трафик:
#==============================================
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any
#==============================================
10.1.4.0/24   -   сеть в которой работают VPN-юзеры.
10.1.4.1     - адресс ВПН-сервера( работающего на МПД)
10.1.4.2-254  -    адресса клиентов по ВПН.
192.168.0.0/24   -   адресса локальной сети.
  dc0   -   интерфейс смотрящий в сторону провайдера на сервере.

Я знаю что правила кривые и ненадежные, но это не первый раз для того что бы все запустилось....    Что в эти правила(IPFW)  добавить( или изменить все)  что бы заработал кеширующий прокси?    
Надо ли его делать прозрачным( в данном случае)?

Содержание
Сообщения в этом обсуждении
"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено satelit , 07-Фев-06 05:15 
Насчет фри точно не могу сказать, но думаю не намного отличается от линуха.
Сквид запускается так, что-бы слушал все интерфейсы, т.к. в линухе они динамически появляются и исчезают, а файром разруливаешь пакеты.
Сам сквид настраиваешь так же как в любой доке в режиме транспаранта, за одним исключением, в ACL сквида прописываешь разрешение на доступ только для тех адресов, которые у тебя внутри VPN, для тебя 10.1.4.2-254, и все.
"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 07-Фев-06 21:53 
>Насчет фри точно не могу сказать, но думаю не намного отличается от
>линуха.
>Сквид запускается так, что-бы слушал все интерфейсы, т.к. в линухе они динамически
>появляются и исчезают, а файром разруливаешь пакеты.
>Сам сквид настраиваешь так же как в любой доке в режиме транспаранта,
>за одним исключением, в ACL сквида прописываешь разрешение на доступ только
>для тех адресов, которые у тебя внутри VPN, для тебя 10.1.4.2-254,
>и все.

Это понял, а как именно это сделать в фаере? как разослать пакеты в нужные места? Каким методом это сделать Forward   or   Diver?  если можно, то можно вот эти правила в примерах...  Очень прошу! Я сам не сильно разбираюсь в этих файрволах, а сделать очень надо! как говориться "на вчера"!

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено nbok , 07-Фев-06 22:37 
перед дивертом:
ipfw add fwd me,8080 tcp from $my_clients/mask to not me 80 via ng\* in

squid.conf:
http_accel_host virtual
http_accel_port 80
http_accel_with_proxy on
http_accel_uses_host_header on

и асл само собой

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 08-Фев-06 00:15 
>перед дивертом:
>ipfw add fwd me,8080 tcp from $my_clients/mask to not me 80 via
>ng\* in
>
>squid.conf:
>http_accel_host virtual
>http_accel_port 80
>http_accel_with_proxy on
>http_accel_uses_host_header on
>
>и асл само собой


Спасибо!   Спасибо огромное! ЗАвтра буду пробовать...   Форум и сам сайт ОпенНЕТ - руллез!  Вы самые лучшие!

ПиСи.  я так понял что "8080"  это адресс на котором запускаеться и слушает сквид? так?  У меня он по умолчанию будет 3128.


"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено grq , 08-Фев-06 06:47 
конечно
и ng\* = интерфейсы mpd.
"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 08-Фев-06 20:55 
>конечно
>и ng\* = интерфейсы mpd.


Я с синтаксисом этого фаера совсем не дружу... как это записать по человечески? в конечной форме?

add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\* in
               или
add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\0-254 in
               или
add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng0 in
..................................................................
add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng254 in

как првильно?
Я уже пробовал и вот как раз не могу разобраться с этим правилом...   оно у меня не работает, на сквид не заворачивает запросы.  А при самом старте и прописовании правил в файр оно ругаеться и говорит  что ОСТОРОЖНО "ng\0" не существует! это при попытке запустить вот такое правило выбивает: add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\* in

Если пускать изначально первое: то сначало пишет что неизвестный хост "me"   а потом что неизвестный хост "$my_clients/mask"(синтаксис может быть неправильный тут)
Как правильно?

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено nbok , 08-Фев-06 21:18 
add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in

про ng\* забудь пока

надеюсь, squid слушает 127.0.0.1:3128 ?

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 08-Фев-06 21:29 
>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in
>
>про ng\* забудь пока
>
>надеюсь, squid слушает 127.0.0.1:3128 ?

ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе и порте, так что там все ОК. Я пробовал его просто сделать как прокси. все работает  с локальной сети все идет, но вот через ВПН не хотел...  

А какая проблема с ng\* ???   Это очень неплохо поправило бы безопасность с системе, а так представь:  Пользователь меняет АйПи вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду не через ВПН а по локалке и сливает Гб  информации   безболезненно для него и очень болезненно для меня...   как же тут?

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено nbok , 08-Фев-06 22:51 
>>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in
>>
>>про ng\* забудь пока
>>
>>надеюсь, squid слушает 127.0.0.1:3128 ?
>
>
>
>ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе
>и порте, так что там все ОК. Я пробовал его просто
>сделать как прокси. все работает  с локальной сети все идет,
>но вот через ВПН не хотел...
>
>А какая проблема с ng\* ???   Это очень неплохо поправило
>бы безопасность с системе, а так представь:  Пользователь меняет АйПи
>вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду
>не через ВПН а по локалке и сливает Гб  информации
>  безболезненно для него и очень болезненно для меня...  
> как же тут?


ifconfig -a показывает хоть один ngX ?
или какие ифейсы мпд поднимает?

ng\* можно заменить "ng/*"

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 09-Фев-06 01:18 
>>>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in
>>>
>>>про ng\* забудь пока
>>>
>>>надеюсь, squid слушает 127.0.0.1:3128 ?
>>
>>
>>
>>ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе
>>и порте, так что там все ОК. Я пробовал его просто
>>сделать как прокси. все работает  с локальной сети все идет,
>>но вот через ВПН не хотел...
>>
>>А какая проблема с ng\* ???   Это очень неплохо поправило
>>бы безопасность с системе, а так представь:  Пользователь меняет АйПи
>>вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду
>>не через ВПН а по локалке и сливает Гб  информации
>>  безболезненно для него и очень болезненно для меня...  
>> как же тут?
>
>
>ifconfig -a показывает хоть один ngX ?
>или какие ифейсы мпд поднимает?
>
>ng\* можно заменить "ng/*"

Пробовал, менял  местами слэш - не помагало...    Когда на старте загружаються правила, то естественно еще нету интерфейсов, они же создаються тогда когда юзер конектиться к МПД, а сам МПД  поднимаеться уже после запуска фаера с соответствующими правилами...
вот что поднимает mpd :ng01-ng99 .  Но это гогда он запущен уже, а правило создаеться раньше...

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено ьш7 , 09-Фев-06 09:38 
тогда остаётся последний вариант: включить голову:

ну и скажи при загрузке, чтобы разрешалось всем интерфейсам, кроме локальных..

хватит уже учиться, уже всё пережёвано, в форумах обсосано, при первоупомянутом случае всё запускается - ну нельзя же по каждой малюсенькой ошибочке звонить другу!!! напряги извилины хоть немного.

ВСЁ.

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
Отправлено Scorpiy , 09-Фев-06 15:58 
>тогда остаётся последний вариант: включить голову:
>
>ну и скажи при загрузке, чтобы разрешалось всем интерфейсам, кроме локальных..
>
>хватит уже учиться, уже всё пережёвано, в форумах обсосано, при первоупомянутом случае
>всё запускается - ну нельзя же по каждой малюсенькой ошибочке звонить
>другу!!! напряги извилины хоть немного.
>
>ВСЁ.


Неужели от того что тут будет такая ветка форума кому-то будет хуже?!! Тут же не заставляют отвечать на вопросы или просматривать все ветки...   Тот кто проходит мимо, посмотрит на название ветки и зайдет или не зайдет... прочитает и решит отвечать ему или нет.  Может у кого-то был подобный опыт по такой проблеме или\и ее устранению. Я считаю что чем больше вопросов и ответов на форуме, чем больше веток, тем он и богаче, тем и лучше!
ПиСи.  Нигде, нигде! Реально не описана система безопасности данной билингвовой системы, хотя бы в азах! Ну не находил я такого! Все статьи заканчиваються словами "Билинг установлен и работает, давайте же набьем его юзерами и пакетами..." и  дальше только EOF...

ВСЕ!