URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6341
[ Назад ]

Исходное сообщение
"Redirector bypass, непонятки."

Отправлено GlooM , 16-Мрт-10 21:54 
Приветствую. Хотел бы задать следующий вопрос:

В конфиге сквида есть следующие опции:
url_rewrite_children 10
redirector_bypass on

По идее, данная настройка означает, что максимальное количество процессов редиректора (сквидгарда) 10, и если количество процессов переходит эту грань, то сайты пропускаются в обход редиректора (байпасс). Насколько я понимаю, процесс редиректора запускается в момент обращения к любому сайту (чтоб сопоставить его адрес с запрещенными адресами). Если адрес не является совпадением со словом из банлиста - сайт грузится сквидом, если банлист, то сквидгард выдает редирект ссылку. Допустим, на редиректе висит ссылка на .jpg картинку, где нарисован "доступ закрыт", значит, пока эта картинка грузится юзеру, процесс редиректора занят. Или редиректор передает команду сквиду прогружать ссылку, висящую у него в конфиге?
Просто я почему задался вопросом... подумал об одной вещи:
Что если юзер возьмет и себе на комп поставит какой-нибудь софтовый траффик шейпер, чтоб резал скорость, скажем до 1 кбит. Получается, что эта картинка будет грузится минуты 2, а значит процесс будет занят всё это время... За эти 2 минуты он наоткрывает 10 окон "запретных" адресов на своем 1 кбите и, получается, "запрёт" все 10 процессов редиректора? И что, таким образом вся локаль это время будет шляться по запрещёнке в обход сквидгарда? Или процесс сквидгарда не занят при передаче картинки-затычки?
P.S. Что будет при redirector_bypass off ?


Содержание

Сообщения в этом обсуждении
"Redirector bypass, непонятки."
Отправлено reader , 17-Мрт-10 11:36 
>[оверквотинг удален]
>команду сквиду прогружать ссылку, висящую у него в конфиге?
>Просто я почему задался вопросом... подумал об одной вещи:
>Что если юзер возьмет и себе на комп поставит какой-нибудь софтовый траффик
>шейпер, чтоб резал скорость, скажем до 1 кбит. Получается, что эта
>картинка будет грузится минуты 2, а значит процесс будет занят всё
>это время... За эти 2 минуты он наоткрывает 10 окон "запретных"
>адресов на своем 1 кбите и, получается, "запрёт" все 10 процессов
>редиректора? И что, таким образом вся локаль это время будет шляться
>по запрещёнке в обход сквидгарда? Или процесс сквидгарда не занят при
>передаче картинки-затычки?

моему squidGuard работает с url (принял , проверил по списку, вернул) и сам ни чего не грузит, а уж сколько времени потом squid будет обрабатывать этот url ему все равно.

>P.S. Что будет при redirector_bypass off ?

судя по описанию при нехватке процессов, squid вырубится с ошибкой.


"Redirector bypass, непонятки."
Отправлено GlooM , 17-Мрт-10 19:45 
>
>судя по описанию при нехватке процессов, squid вырубится с ошибкой.

Хотелось бы поинтересоваться, каким образом эту нехватку можно вызвать? Т.е. могут ли юзеры каким-либо образом вальнуть специально сквид, в случае такой настройки?


"Redirector bypass, непонятки."
Отправлено reader , 17-Мрт-10 20:50 
теоретически можно, нужно генерить обращения по куче url и возможно ( не знаю что раньше отрабатывает dns или rewrite, при прописанном прокси ) по ip что бы не упереться в производительность dns. при этом то что будут получать наверно будут выбрасывать ибо обрабатывать полученное времени не будет.

врятли это будет браузер.

на это случай можно попробовать acl aclname maxconn number или через firewall ограничить число обращений.

понятно что это лично мое мнение и возможно ошибочное :) .


"Redirector bypass, непонятки."
Отправлено oleg_tern , 19-Июн-10 06:23 
Приветствую. Хотел бы задать следующий вопрос:

В конфиге сквида есть следующие опции:
url_rewrite_children 10
redirector_bypass on

По идее, данная настройка означает, что максимальное количество процессов редиректора (сквидгарда) 10, и если количество процессов переходит эту грань, то сайты пропускаются в обход редиректора (байпасс). Насколько я понимаю, процесс редиректора запускается в момент обращения к любому сайту (чтоб сопоставить его адрес с запрещенными адресами). Если адрес не является совпадением со словом из банлиста - сайт грузится сквидом, если банлист, то сквидгард выдает редирект ссылку. Допустим, на редиректе висит ссылка на .jpg картинку, где нарисован "доступ закрыт", значит, пока эта картинка грузится юзеру, процесс редиректора занят. Или редиректор передает команду сквиду прогружать ссылку, висящую у него в конфиге?
Просто я почему задался вопросом... подумал об одной вещи:
Что если юзер возьмет и себе на комп поставит какой-нибудь софтовый траффик шейпер, чтоб резал скорость, скажем до 1 кбит. Получается, что эта картинка будет грузится минуты 2, а значит процесс будет занят всё это время... За эти 2 минуты он наоткрывает 10 окон "запретных" адресов на своем 1 кбите и, получается, "запрёт" все 10 процессов редиректора? И что, таким образом вся локаль это время будет шляться по запрещёнке в обход сквидгарда? Или процесс сквидгарда не занят при передаче картинки-затычки?
P.S. Что будет при redirector_bypass off ?