URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6083
[ Назад ]

Исходное сообщение
"SQID без трансляции адресов"

Отправлено masters , 29-Май-09 12:27 
Нужна помощь в настройке прокси сервера.
Хочется использовать Сквид как URL-фильтр и все (т.е. больше ничего в нем не настраивать), чтоб остальным занимался биллинг на основе ipfw. Но проблема в том что у сервера несколько каналов в Мир (4), это все учложняет задачу.

Пришел в голову такой вариант. Если в Сквиде установить tcp_outgoing_address равным IP пользователя. Т.е. можно как нибудь сделать, чтобы на выходе со Сквида у каждого пользователя оставался свой IP, а потом уже на основе их файрвол рулил (без правки конфигов Сквида кждый раз)?

Или какие еще есть варианты решения такой проблемы???


Содержание

Сообщения в этом обсуждении
"SQID без трансляции адресов"
Отправлено reader , 29-Май-09 12:54 
>[оверквотинг удален]
>не настраивать), чтоб остальным занимался биллинг на основе ipfw. Но проблема
>в том что у сервера несколько каналов в Мир (4), это
>все учложняет задачу.
>
>Пришел в голову такой вариант. Если в Сквиде установить tcp_outgoing_address равным IP
>пользователя. Т.е. можно как нибудь сделать, чтобы на выходе со Сквида
>у каждого пользователя оставался свой IP, а потом уже на основе
>их файрвол рулил (без правки конфигов Сквида кждый раз)?
>
>Или какие еще есть варианты решения такой проблемы???

бред какой то, но переписав squid ( ибо это нарушает всю логику работы прокси ), вы это сможете реализовать и за одно сразу думайте как будите ответы обратно в свой псевдопроски
запихивать


"SQID без трансляции адресов"
Отправлено masters , 29-Май-09 13:14 
>бред какой то, но переписав squid ( ибо это нарушает всю логику
>работы прокси ), вы это сможете реализовать и за одно сразу
>думайте как будите ответы обратно в свой псевдопроски
>запихивать

Как тогда реализовать такой вариант???

Может запустить несколько копий SQID'a, по копии на каждый канал. Такое возможно?

И тогда уже просто чтоб биллинг раскидывал кого на какой порт.


"SQID без трансляции адресов"
Отправлено reader , 29-Май-09 13:44 
>[оверквотинг удален]
>>работы прокси ), вы это сможете реализовать и за одно сразу
>>думайте как будите ответы обратно в свой псевдопроски
>>запихивать
>
>Как тогда реализовать такой вариант???
>
>Может запустить несколько копий SQID'a, по копии на каждый канал. Такое возможно?
>
>
>И тогда уже просто чтоб биллинг раскидывал кого на какой порт.

запустить можете сколько хотите и настроить их чтобы слушали одновременно несколько портов, адресов, но отправлять пакеты он будет с адресом машины на которой запущен, а не клиента


"SQID без трансляции адресов"
Отправлено masters , 29-Май-09 13:44 
>И тогда уже просто чтоб биллинг раскидывал кого на какой порт.

Еще вариант.

Можно ACL брать из отдельного файла в Сквиде?

Например дописать Биллинг, чтоб при добавлении юзера он прописывал его IP в файл.

А в настройках сквида сделать ACL, только чтоб свое содержиое он брал из этого файла. реально?


"SQID без трансляции адресов"
Отправлено reader , 29-Май-09 13:52 
>[оверквотинг удален]
>
>Еще вариант.
>
>Можно ACL брать из отдельного файла в Сквиде?
>
>Например дописать Биллинг, чтоб при добавлении юзера он прописывал его IP в
>файл.
>
>А в настройках сквида сделать ACL, только чтоб свое содержиое он брал
>из этого файла. реально?

acl Bad dstdomain -i "/var/squid/bad.acl"
только потребуется reload при изменении файла


"SQID без трансляции адресов"
Отправлено ононизмус , 29-Май-09 14:50 

squid -k reconfigure будет вполне достаточно

"SQID без трансляции адресов"
Отправлено masters , 29-Май-09 19:48 
>squid -k reconfigure будет вполне достаточно

Поставил сквид, вроде все работает (только HTTPS зараза не поддерживает в прозрачном режиме). Но почему-то не режется скорость аплоада :(

В файрволе стоит:

pipe 21 ip from "table(13)" to not "table(10)" in via ${ifi}

${ifi} - внутренний интерфейс
table(13) - пользователи
table(10) - это внутренний IP сервера и VPN-сеть (для них скорость не нужно резать)

прернаправление идет на 127.0.0.1 3128 (прокси не виден снаружи). Так что я так понял к внутреннему IP сервера не нужно резать (172.25.254.254)

Но вот почему скорость не режется ???


"SQID без трансляции адресов"
Отправлено reader , 29-Май-09 20:21 
>[оверквотинг удален]
>
>${ifi} - внутренний интерфейс
>table(13) - пользователи
>table(10) - это внутренний IP сервера и VPN-сеть (для них скорость не
>нужно резать)
>
>прернаправление идет на 127.0.0.1 3128 (прокси не виден снаружи). Так что я
>так понял к внутреннему IP сервера не нужно резать (172.25.254.254)
>
>Но вот почему скорость не режется ???

хз, в какой момент происходит у вас резка, до изменении адресов или после, до маршрутизации или после, может это или такое перенаправление влияет, попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею сеть смотрит) и попробуйте с прописанным прокси в браузере


"SQID без трансляции адресов"
Отправлено masters , 29-Май-09 21:51 
>хз, в какой момент происходит у вас резка, до изменении адресов или
>после, до маршрутизации или после, может это или такое перенаправление влияет,

Сам не пойму. Получается не режется только тот траффик, который заворачиваю на прокси. А остальной траффик (по другим портам) режется нормально.
Вроде бы на внутреннем ИФ режу, ничего не должно было поменяться. Может при заворачивании он как-то пакеты маркирует, что они не попадают под стандартные правила ???

Может правило для заворачивания кинуть ниже пайпов по порядку в ipfw ? Хотя я всегда думал, что пайпы создаются в самом начале ...

>попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею
>сеть смотрит) и попробуйте с прописанным прокси в браузере

Смысл? На внутренний если заворачивать - точно не будет резать, у меня ж в правилах не резать на внутренний интерфейс стоит.
Прописывать прокси в браузере - довольно накладно: очень много машин, и разбросаны территориально достаточно далеко (до 50км).


"SQID без трансляции адресов"
Отправлено Pahanivo , 30-Май-09 18:20 
>[оверквотинг удален]
>Хотя я всегда думал, что пайпы создаются в самом начале ...
>
>
>>попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею
>>сеть смотрит) и попробуйте с прописанным прокси в браузере
>
>Смысл? На внутренний если заворачивать - точно не будет резать, у меня
>ж в правилах не резать на внутренний интерфейс стоит.
>Прописывать прокси в браузере - довольно накладно: очень много машин, и разбросаны
>территориально достаточно далеко (до 50км).

хватит нести ахинею про пайпы
покажи ipfw -a list
       ipfw pipe show


"SQID без трансляции адресов"
Отправлено masters , 01-Июн-09 10:16 
>покажи ipfw -a list

00100    37576     5129988 allow ip from any to any via lo0
00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any
00900   998976   143112962 fwd 127.0.0.1,3128 tcp from 172.25.254.0/24 to any dst-port 80
01000  2197476   236967923 divert 8778 ip from table(1) to not table(10) not dst-port 80
01100        0           0 divert 8778 icmp from table(1) to not table(10)
01200  2440783  2026499384 divert 8778 ip from not table(10) to 192.168.33.7
01300    63132    10280264 divert 8668 ip from table(2) to not table(10) not dst-port 80
01400        0           0 divert 8668 icmp from table(2) to not table(10)
01500   259663    45504939 fwd 192.168.34.1 ip from 192.168.34.7 to not table(10)
01600   337717   345139186 divert 8668 ip from not table(10) to 192.168.34.7
01700    52837     2628887 divert 8558 ip from table(11) to not table(10) not dst-port 80
01800        0           0 divert 8558 icmp from table(11) to not table(10)
01900   165153    19759955 fwd 91.210.xx.33 ip from 91.210.xx.51 to not table(10)
02000   184278   188163193 divert 8558 ip from not table(10) to 91.210.97.51
02100 48628504 66933026866 divert 8558 ip from table(8) to 10.0.0.0/8
02200 24314106 33466438391 fwd 91.210.xx.33 ip from 91.210.xx.51 to 10.0.0.0/8
02200  2077239  2026473349 pipe 3 ip from not table(10) to table(1) out via rl1
02300 12346929   514950748 divert 8558 ip from 10.0.0.0/8 to 91.210.xx.51
02300  1105778   119466285 pipe 4 ip from table(1) to not table(10) in via rl1
02400   240845   270521660 pipe 5 ip from not table(10) to table(3) out via rl1
02500     4648     2976711 pipe 6 ip from table(3) to not table(10) in via rl1
02600    95296    94730462 pipe 7 ip from not table(10) to table(4) out via rl1
02700     7832      553453 pipe 8 ip from table(4) to not table(10) in via rl1
02800   328175   277483089 pipe 9 ip from not table(10) to table(5) out via rl1
02900    50784     3719986 pipe 10 ip from table(5) to not table(10) in via rl1
03000  1696770  1730505906 pipe 11 ip from not table(10) to table(6) out via rl1
03100  1007037   111212617 pipe 10 ip from table(6) to not table(10) in via rl1
03200    22602     4827962 pipe 12 ip from not table(10) to table(7) out via rl1
03300    26644     3026464 pipe 10 ip from table(7) to not table(10) in via rl1
03400     4463     1012778 pipe 15 ip from not table(10) to table(9) out via rl1
03500     2437      332865 pipe 10 ip from table(9) to not table(10) in via rl1
03600    25229    12643614 pipe 13 ip from not table(10) to table(8) out via rl1
03700    18876     1174353 pipe 14 ip from table(8) to not table(10) in via rl1
03800   282432   277374235 pipe 16 ip from not table(10) to table(11) out via rl1
03900    26777     1362716 pipe 17 ip from table(11) to not table(10) in via rl1
04000        0           0 pipe 18 ip from not table(10) to table(12) out via rl1
04100        0           0 pipe 19 ip from table(12) to not table(10) in via rl1
04200        0           0 pipe 20 ip from not table(10) to table(13) out via rl1
04300        0           0 pipe 21 ip from table(13) to not table(10) in via rl1
04400   247138   245563523 pipe 22 ip from not table(10) to table(14) out via rl1
04500    23427     1043412 pipe 21 ip from table(14) to not table(10) in via rl1
04600    35259    31768700 pipe 23 ip from not table(10) to table(15) out via rl1
04700     3350      319304 pipe 21 ip from table(15) to not table(10) in via rl1
05000   234065    25122746 allow ip from 172.25.254.0/24 to 172.25.254.254
05100   467569    84011030 allow ip from 172.25.254.254 to 172.25.254.0/24
05200   633594   176299786 allow ip from 172.25.254.0/24 to 192.168.254.0/24
05300   420832    25602544 allow ip from 192.168.254.0/24 to 172.25.254.0/24
05400  2283369   304843898 allow ip from 192.168.33.7 to any out via vlan2
05500  1113624   782684445 allow ip from any to 192.168.33.7 in via vlan2
05600        0           0 allow ip from 192.168.34.7 to any out via vlan3
05700   317559   334873374 allow ip from any to 192.168.34.7 in via vlan3
05800        0           0 allow ip from 91.210.97.51 to any out via vlan4
05810      136        6528 deny tcp from any to 91.210.xx.51 dst-port 135,137,138,139,369,445,520,5000,5555,5556 in via vlan4
05820        0           0 deny udp from any to 91.210.xx.51 dst-port 135,137,138,139,369,445,520,5000,5555,5556 in via vlan4
05830       10         552 deny tcp from any to 91.210.xx.51 dst-port 20,21,22,25,8088 in via vlan4
05900   140212   132112413 allow ip from any to 91.210.xx.51 in via vlan4
06000    50799     3720712 allow ip from table(5) to any
06100   340850   279382048 allow ip from any to table(5)
06200  1007063   111216523 allow ip from table(6) to any
06300  2855420  2870608243 allow ip from any to table(6)
06400    26644     3026464 allow ip from table(7) to any
06500    44789     9435771 allow ip from any to table(7)
06600 24332963 33467611528 allow ip from table(8) to any
06700 24732023  1046526489 allow ip from any to table(8)
07000    32223     5266851 allow ip from table(2) to any
07050        0           0 allow icmp from table(2) to any
07100   359408   376647046 allow ip from any to table(2)
08000        0           0 allow ip from table(9) to any dst-port 5190
08100        0           0 allow ip from table(9) to any dst-port 25
08200        0           0 allow ip from table(9) to any dst-port 110
08300     4463     1012778 allow ip from any to table(9)
08400    26777     1362716 allow ip from table(11) to any
08450        0           0 allow icmp from table(11) to any
08500   326117   333042810 allow ip from any to table(11)
65000    33233     3954913 deny ip from any to any
65535        3         178 deny ip from any to any

>       ipfw pipe show

00017: 512.000 Kbit/s    0 ms  100 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp    172.25.254.33/3096   209.85.137.125/443   26979  1373201  0    0   0
00016: 640.000 Kbit/s    0 ms  100 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp   209.85.137.125/443     172.25.254.33/3096  282671 277428659  0    0  35
00019: 128.000 Kbit/s    0 ms  100 sl. 0 queues (64 buckets) droptail
00018: 128.000 Kbit/s    0 ms  100 sl. 0 queues (64 buckets) droptail
00003:   1.800 Mbit/s    0 ms  100 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp    83.237.166.31/80      172.25.254.32/2277  2090371 2040398200  0    0   0
00021: 200.000 Kbit/s    0 ms  100 sl. 2 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  1 ip     172.25.254.12/0             0.0.0.0/0     23445  1044550  0    0   0
27 ip     172.25.254.33/0             0.0.0.0/0     3534   328651  0    0   0
00004: 600.000 Kbit/s    0 ms  100 sl. 1 queues (1 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 tcp   172.25.254.235/1418  167.140.185.228/28796 1120982 120342459  0    0   0
00020: 256.000 Kbit/s    0 ms  100 sl. 0 queues (64 buckets) droptail
00005: 128.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
40 ip           0.0.0.0/0      172.25.254.219/0     249462 277020157  0    0   0
00023: 512.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
18 ip           0.0.0.0/0       172.25.254.33/0     35479 31821145  0    0   0
00006: 128.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
47 ip    172.25.254.219/0             0.0.0.0/0     4815  2988224  0    0   0
00022: 384.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
63 ip           0.0.0.0/0       172.25.254.12/0     247157 245565502  0    0 349
00007: 200.000 Kbit/s    0 ms  100 sl. 4 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  7 ip           0.0.0.0/0      172.25.254.244/0     1702   529202  0    0   0
30 ip           0.0.0.0/0       172.25.254.45/0     6875  7835175  0    0   0
35 ip           0.0.0.0/0       172.25.254.80/0     42252 46002992  0    0  41
50 ip           0.0.0.0/0       172.25.254.65/0     46601 41946321  0    0   0
00008: 200.000 Kbit/s    0 ms  100 sl. 4 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  3 ip     172.25.254.45/0             0.0.0.0/0     3787   220973  0    0   0
27 ip     172.25.254.65/0             0.0.0.0/0     1741   155221  0    0   0
49 ip    172.25.254.244/0             0.0.0.0/0     1053    88487  0    0   0
57 ip     172.25.254.80/0             0.0.0.0/0     1387    96836  0    0   0
00009: 128.000 Kbit/s    0 ms  100 sl. 12 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  0 ip           0.0.0.0/0      172.25.254.115/0     3186  3053789  0    0   0
  1 ip           0.0.0.0/0       172.25.254.50/0     36109 24502940  0    0  27
  7 ip           0.0.0.0/0       172.25.254.52/0     114805 107398013  0    0 1284
10 ip           0.0.0.0/0       172.25.254.57/0       21     3125  0    0   0
16 ip           0.0.0.0/0       172.25.254.99/0     40332 43834507  0    0   0
17 ip           0.0.0.0/0       172.25.254.34/0     67303 43307311  0    0   0
23 ip           0.0.0.0/0       172.25.254.36/0     7323  7863251  0    0   0
24 ip           0.0.0.0/0      172.25.254.235/0     12162 10209940  0    0   0
26 ip           0.0.0.0/0      172.25.254.169/0     22776 14630934  0    0   0
32 ip           0.0.0.0/0       172.25.254.83/0     6377  3896507  0    0   0
47 ip           0.0.0.0/0       172.25.254.28/0      416    50521  0    0   0
58 ip           0.0.0.0/0       172.25.254.73/0      582   440983  0    0   0
00010: 128.000 Kbit/s    0 ms  100 sl. 16 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
  3 ip    172.25.254.205/0             0.0.0.0/0     978385 102841301  0    0   0
  5 ip     172.25.254.14/0             0.0.0.0/0      646   140149  0    0   0
11 ip    172.25.254.169/0             0.0.0.0/0      361    65347  0    0   0
15 ip    172.25.254.235/0             0.0.0.0/0     46076  2776703  0    0   0
17 ip    172.25.254.100/0             0.0.0.0/0      512    56255  0    0   0
19 ip    172.25.254.133/0             0.0.0.0/0     9352  6945339  0    0   0
25 ip     172.25.254.32/0             0.0.0.0/0     20418  1540001  0    0  21
29 ip     172.25.254.34/0             0.0.0.0/0     2532   252218  0    0   0
31 ip     172.25.254.99/0             0.0.0.0/0     1763   124963  0    0   0
33 ip     172.25.254.28/0             0.0.0.0/0       12      699  0    0   0
39 ip     172.25.254.31/0             0.0.0.0/0     1823   195425  0    0   0
43 ip     172.25.254.57/0             0.0.0.0/0       13     2509  0    0   0
47 ip    172.25.254.155/0             0.0.0.0/0       44     7883  0    0   0
49 ip     172.25.254.52/0             0.0.0.0/0     1801   225335  0    0   0
61 ip     172.25.254.50/0             0.0.0.0/0     1074    82740  0    0   0
63 ip    172.25.254.115/0             0.0.0.0/0       26     3423  0    0   0
00011: 256.000 Kbit/s    0 ms  100 sl. 4 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
19 ip           0.0.0.0/0       172.25.254.32/0     61618 23933341  0    0 18333
40 ip           0.0.0.0/0      172.25.254.155/0     5442  3991710  0    0   0
54 ip           0.0.0.0/0      172.25.254.133/0     302230 401011200  0    0 265
62 ip           0.0.0.0/0      172.25.254.205/0     1329655 1302368394  0    0 99558
00012: 512.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
23 ip           0.0.0.0/0      172.25.254.100/0     22663  4834538  0    0   0
00013:   1.500 Mbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
25 ip           0.0.0.0/0      172.25.254.170/0     34531 25317130  0    0   0
00014: 500.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0xffffffff/0x0000 -> 0x00000000/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
13 ip    172.25.254.170/0             0.0.0.0/0     23392  1367727  0    0   0
00015: 128.000 Kbit/s    0 ms  100 sl. 1 queues (64 buckets) droptail
    mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000
BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp
61 ip           0.0.0.0/0       172.25.254.14/0     4463  1012778  0    0   0