URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6080
[ Назад ]

Исходное сообщение
"transparent squid на centos 5.3"

Отправлено tremor , 25-Май-09 17:52 
Скажите а что делать в такой ситуации. Настроил сквид2.6 как прозрачный на отдельной машине. Фаервол запросы пользователей перенаправляет на прокси. А в access.log сквида пишется все только от имени фаервола  (запросы от всех компов определяются как запросы от фаервола). Как сделать чтоб фаер передавал ипы юзеров а не свой прокси серверу?
firewall [iptables]:
for i in $(grep ^ /etc/sysconfig/clients);do iptables -t nat -A PREROUTING -p tcp -s $i d 0/0 --dport 80 -j DNAT --to 192.168.140.1:3128;done #transparent s
quid for people
iptables -t nat -A POSTROUTING -s $POSAD_LAN -d 192.168.140.1 -j SNAT --to $POSAD_LOCAL_IP
iptables -A FORWARD -s $POSAD_LAN -d 192.168.140.1 -p tcp --dport 3128 -j ACCEPT

proxy [squid.conf]:
http_port 192.168.140.1:3128 transparent
http_port 127.0.0.1:3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
maximum_object_size_in_memory 16 KB
cache_dir ufs /var/squid/cache1 2000 4 256
cache_access_log /var/log/squid/access.log
....acls
icp_access allow all
cache_effective_user squid
cache_effective_group squid
visible_hostname posad-proxy
coredump_dir /var/squid/cache1

PS У меня есть возможность подключить еще один кеш. И я хотел бы сделать чтобы один кеш хранил в себе частопосещаемые сайты, а другой - весь остальной инет. Это возможно? (ACLs?)


Содержание

Сообщения в этом обсуждении
"transparent squid на centos 5.3"
Отправлено reader , 25-Май-09 18:02 
>[оверквотинг удален]
>....acls
>icp_access allow all
>cache_effective_user squid
>cache_effective_group squid
>visible_hostname posad-proxy
>coredump_dir /var/squid/cache1
>
>PS У меня есть возможность подключить еще один кеш. И я хотел
>бы сделать чтобы один кеш хранил в себе частопосещаемые сайты, а
>другой - весь остальной инет. Это возможно? (ACLs?)

http://www.opennet.me/openforum/vsluhforumID12/5749.html#6


"transparent squid на centos 5.3"
Отправлено tremor , 25-Май-09 21:29 

>http://www.opennet.me/openforum/vsluhforumID12/5749.html#6

неправильный ответ. правильный ответ я с мужиками нашел тут: http://forum.ixbt.com/topic.cgi?id=76:8868#7


"transparent squid на centos 5.3"
Отправлено reader , 26-Май-09 10:45 
>
>>http://www.opennet.me/openforum/vsluhforumID12/5749.html#6
>
>неправильный ответ. правильный ответ я с мужиками нашел тут: http://forum.ixbt.com/topic.cgi?id=76:8868#7

по моему примерно тоже самое только другим инструментом. не спорю, тоже рабочий вариант.
по какому пути пойдет запрос от клиента, который в подсети со squid, и как пойдет ответ?


"transparent squid на centos 5.3"
Отправлено tremor , 11-Июл-09 22:36 
>по какому пути пойдет запрос от клиента, который в подсети со squid,
>и как пойдет ответ?

Запрос идет на шлюз, шлюз отсеивает 80 порт и пускает его на сквид, сквид делает с пакетом что нужно и если запрос в инет таки необходим пускает его на шлюз, соответственно со своим исходящим адресом на нижних уровнях заголовков пакета. Ответ приходит сквиду же, а он отдает клиенту, по ИПу с верхних заголовков пакета. Вроде так )))

Фильтруется на шлюзе так что соединение по 80 порту с ним не устанавливается. Оно устанавливается сразу между клиентом и проксей.