URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3138
[ Назад ]

Исходное сообщение
"Нужно заставить всех пользователей в Нет ходить только через..."

Отправлено devictor , 21-Апр-05 12:54 
Народ помогите!!!
Нужно насроить принудительное проксирование.
Немного почитал написал такие правила:
add 200 fwd 192.168.1.1 tcp from any to any http in via xl0
add 201 pass all from any to any
add 202 fwd 192.168.1.1,3128 tcp from not 192.168.0.2 to any http in via xl0
add 202 fwd 127.0.1.1,3128 tcp from any to any http in via xl0
add 203 pass all from any to any
add 100 divert natd ip from any to any via fxp0
add 500 allow all from any to any

в squid.conf
http_port 192.168.1.1:3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Чего добился, так это того, что теперь, если кто-то пытается ломиться мимо прокси он попадает на страницу сайта (моего тоесть его перебрасывает не на прокси а на http:\\192.168.1.1\).

Помогите кто чем может, где я ошибся. Кстати нужно чтобы еще 192.168.1.2 мог ходить в Нет мимо прокси сервера.


Содержание

Сообщения в этом обсуждении
"Нужно заставить всех пользователей в Нет ходить только через..."
Отправлено Dmitry U. Karpov , 22-Апр-05 11:12 
> add 200 fwd 192.168.1.1 tcp from any to any http in via xl0
> add 201 pass all from any to any
> add 202 fwd 192.168.1.1,3128 tcp from not 192.168.0.2 to any http in via xl0
> add 202 fwd 127.0.1.1,3128 tcp from any to any http in via xl0
> add 203 pass all from any to any
> add 100 divert natd ip from any to any via fxp0
> add 500 allow all from any to any

IMHO, в правиле 200 надо указывать порт, на который будешь форвардить запросы.

После правила 201 все последующие правила (202, 203, 500) работать не будут.

Делать два правила с номером 202 - дурной тон.

Помещать правила надо по возрастанию номеров - меньше шансов самомУ запутаться (это я про правило с номером 100).

После правила 100 пакеты дивертятяся и {маскарадятся, если запущен natd}. Я не уверен, что после такого Squid сможет нормально работать.

Ты бы ifconfig показал, а то непонятно, как роутинг разложен по xl0 и fxp0. И вообще, система работает эффективнее в том случае, когда в ней используются одинаковые сетевухи.


PS: Я делал так:
add 400 allow tcp from 192.168.1.2 to any http    # это ты сам просил ниже
add 410 allow tcp from any to me http    # местный сайт можно читать всем
add 420 deny tcp from 192.168.0.0/16 to any http
и юзеры сами прописывали в настройках координаты Proxy-сервера. А ещё я выдавал координаты Proxy-сервера по ISC-DHCP.


"Нужно заставить всех пользователей в Нет ходить только через..."
Отправлено devictor , 29-Апр-05 14:21 
>PS: Я делал так:
>add 400 allow tcp from 192.168.1.2 to any http # это ты
>сам просил ниже
>add 410 allow tcp from any to me http # местный сайт
>можно читать всем
>add 420 deny tcp from 192.168.0.0/16 to any http
>и юзеры сами прописывали в настройках координаты Proxy-сервера. А ещё я выдавал
>координаты Proxy-сервера по ISC-DHCP.


Ну хорошо, а как сделать так чтобы были исключения из правил чтобы некоторые машины могли ходить в нет на прямую, не через прокси?