Всем доброго дня!
Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID 170.12.55.250:8080)
Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать запросы в интернет через первую сетевую с IP 163.12.55.1

Буду очень признателен за помощь

cache_peer 170.12.55.250 parent 8080 0 no-query default proxy-only
acl all src all
never_direct allow all
acl localhost src 127.0.0.1/32
http_port 163.12.55.1:8080
acl SSL_ports port 443
acl Safe_ports port 8080    # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow localhost
http_access deny all
http_access allow !Safe_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

• Настройка SQUID  с двумя интерфейсами,aaa, 19:58 , 22-Авг-12
  • Настройка SQUID  с двумя интерфейсами,PavelR, 21:06 , 22-Авг-12
    • Настройка SQUID  с двумя интерфейсами,write2net, 21:27 , 22-Авг-12
• Настройка SQUID  с двумя интерфейсами,write2net, 21:00 , 22-Авг-12
  • Настройка SQUID  с двумя интерфейсами,PavelR, 21:08 , 22-Авг-12
    • Настройка SQUID  с двумя интерфейсами,write2net, 21:22 , 22-Авг-12
  • Настройка SQUID  с двумя интерфейсами,Medvedi, 22:33 , 22-Авг-12
    • Настройка SQUID  с двумя интерфейсами,write2net, 23:27 , 22-Авг-12
      • Настройка SQUID  с двумя интерфейсами,Medvedi, 23:34 , 22-Авг-12
      • Настройка SQUID  с двумя интерфейсами,Medvedi, 09:36 , 23-Авг-12
        • Настройка SQUID  с двумя интерфейсами,write2net, 09:54 , 23-Авг-12
          • Настройка SQUID  с двумя интерфейсами,Medvedi, 10:49 , 23-Авг-12
            • Настройка SQUID  с двумя интерфейсами,write2net, 11:51 , 23-Авг-12
              • Настройка SQUID  с двумя интерфейсами,Medvedi, 12:26 , 23-Авг-12
                • Настройка SQUID  с двумя интерфейсами,write2net, 12:55 , 23-Авг-12
    • Настройка SQUID  с двумя интерфейсами,кегна, 23:57 , 22-Авг-12
      • Настройка SQUID  с двумя интерфейсами,Medvedi, 07:54 , 23-Авг-12
        • Настройка SQUID  с двумя интерфейсами,write2net, 08:34 , 23-Авг-12
          • Настройка SQUID  с двумя интерфейсами,Medvedi, 09:39 , 23-Авг-12
            • Настройка SQUID  с двумя интерфейсами,write2net, 09:55 , 23-Авг-12
• Настройка SQUID  с двумя интерфейсами,Medvedi, 15:04 , 12-Ноя-12

>[оверквотинг удален]
> acl Safe_ports port 488  # gss-http
> acl Safe_ports port 591  # filemaker
> acl Safe_ports port 777  # multiling http
> acl CONNECT method CONNECT
> http_access allow localhost
> http_access deny all
> http_access allow !Safe_ports
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny all

скорее всего с маршрутизациее косяк.
либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ

>[оверквотинг удален]
>> acl Safe_ports port 777  # multiling http
>> acl CONNECT method CONNECT
>> http_access allow localhost
>> http_access deny all
>> http_access allow !Safe_ports
>> http_access deny !Safe_ports
>> http_access deny CONNECT !SSL_ports
>> http_access deny all
> скорее всего с маршрутизациее косяк.
> либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ

ага. на виндовс икспи сп3.

отличное чуйство юмора

>> либо используйте директиву tcp_outgoing_address ХХХ.ХХХ.ХХХ.ХХХ
> ага. на виндовс икспи сп3.
> отличное чуйство юмора

а разве эта директива под windows не работает?

> Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами
> c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID
> 170.12.55.250:8080)
> Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и
> отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
> запросы в интернет через первую сетевую с IP 163.12.55.1

нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

>> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
>> запросы в интернет через первую сетевую с IP 163.12.55.1

Сам по себе сквид про сетевые ничего не знает.
Маршрутизацией занимается система.

> нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

чушь.

Всего-лишь нужно чтобы _маршрут_ к вышестоящему прокси был через нужную сетевую.

> чушь.
> Всего-лишь нужно чтобы _маршрут_ к вышестоящему прокси был через нужную сетевую.

нуда. можно в консоли с помощью route -p прописать маршрут к 170.12.55.250 через узел из сети узла 150.12.55.6.

>> Настраиваю Squid NT 2.7 (OS Windows XP SP3)на компьютерами с двумя интерфейсами
>> c IP 163.12.55.1(локальной сети)и 150.12.55.6 (с доступом к старшему прокси SQUID
>> 170.12.55.250:8080)
>> Пожалуйста приведите пример конфига что-бы он принимал запросы из сети 163.12.55.0/24 и
>> отправлял их на проксик 170.12.55.250:8080 через вторую сетевую 150.12.55.6.
>> Ниже привожу часть своего конфига... но, он не работает... SQUID пытаться делать
>> запросы в интернет через первую сетевую с IP 163.12.55.1
> нужно, чтобы шлюз по умолчанию был в сети где узел 150.12.55.6

Первое что мне пришло в голову... но не помогло((

>>нуда. можно в консоли с помощью route -p прописать маршрут к 170.12.55.250 через узел из сети узла 150.12.55.6.

А как это поможет? Ведь если я не ошибаюсь маршрут хоть и будет прописан в таблице, но сам Squid не поймет куда смотреть.... Ведь так???? Поправьте меня плз если я ошибаюсь.

На крайний случяй думаю попробовать ProxyCAP поставить, что бы он сам перехватывал запросы от Squid и маршрутизировал.....Но это уже совсем изврат, надеюсь есть более правильные методы. Да и ProxyCAP боюсь может стать узким местом.

> А как это поможет? Ведь если я не ошибаюсь маршрут хоть и
> будет прописан в таблице, но сам Squid не поймет куда смотреть....
> Ведь так???? Поправьте меня плз если я ошибаюсь.

выше уже писали, про то, что маршрутизацией занимается система.
а сквид - прикладной сервис.

покажите настройки интерфейсов и таблицу маршрутизации.

>> А как это поможет? Ведь если я не ошибаюсь маршрут хоть и
>> будет прописан в таблице, но сам Squid не поймет куда смотреть....
>> Ведь так???? Поправьте меня плз если я ошибаюсь.
> выше уже писали, про то, что маршрутизацией занимается система.
> а сквид - прикладной сервис.
> покажите настройки интерфейсов и таблицу маршрутизации.

Спасибо за направление.....
Настройки интерфейсов и таблица маршрутов до завтра.... в 9:00 приду и первым делом отпишусь

`

> http_access allow localhost
> http_access deny all
> http_access allow !Safe_ports
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny all

млин, правила доступа-то выглядят так, что доступ к кзшу разрешен только локалхосту. впрочем, я не очень помню как работает never_direct.

попробуйте для начала так:
acl myclients src 163.12.55.0/24

а в http_access оставьте только

http_access allow localhost
http_access allow myclients
http_access deny all

У меня это разрешение уже есть, я просто только кусок конфига предоставил.
Ниже весь конфиг

cache_peer 170.12.55.250 parent 8080 0 no-query default proxy-only
acl all src all
never_direct allow all
acl localhost src 127.0.0.1/32
acl BESTITotdel src 163.12.55.1-163.12.55.3
acl ITotdel src  163.12.55.4-163.12.55.10
acl Nachalnik src  163.12.55.11-163.12.55.15
acl Ochered src 163.12.55.21-163.12.55.29
acl Obuch src 163.12.55.30-163.12.55.250
acl SSL_ports port 443
acl Safe_ports port 8080    # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
delay_pools 5 
delay_class 1 1
delay_access 1 allow BESTITotdel
delay_access 1 deny all
delay_parameters 1 -1/-1
delay_class 2 2
delay_access 2 allow ITotdel 
delay_access 2 deny all
delay_parameters 2 655360/655360  131072/10485760
delay_class 3 2
delay_access 3 allow Nachalnik 
delay_access 3 deny all
delay_parameters 3 65536/65536 32768/2097152 
delay_class 4 2
delay_access 4 allow Ochered 
delay_access 4 deny all
delay_parameters 4 65536/65536 32768/104857600 
delay_class 5 2
delay_access 5 allow Obuch 
delay_access 5 deny all
delay_parameters 5 131072/131072 16384/1048576 
http_access allow localhost
http_access allow BESTITotdel
http_access allow ITotdel
http_access allow Ochered
http_access allow Nachalnik
http_access allow Obuch
http_access deny all
http_access allow !Safe_ports
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_port 163.12.55.1:8080
hierarchy_stoplist cgi-bin ?
cache_mem 100 MB
fqdncache_size 10 MB
cache_dir ufs c:/squid/var/cache 100 16 256
store_dir_select_algorithm least-load
max_open_disk_fds 0
minimum_object_size 10 KB
maximum_object_size 40096 KB
cache_swap_low 90
cache_swap_high 95
update_headers on
access_log c:/squid/var/logs/access.log squid
logfile_daemon c:/squid/libexec/logfile-daemon.exe
cache_log c:/squid/var/logs/cache.log
cache_store_log c:/squid/var/logs/store.log
logfile_rotate 10
emulate_httpd_log off
log_ip_on_direct on
mime_table c:/squid/etc/mime.conf
log_mime_hdrs off
pid_filename c:/squid/var/logs/squid.pid
log_fqdn off
strip_query_terms on
buffered_logs off
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
visible_hostname defenderNOOB
coredump_dir c:/squid/var/cache

> У меня это разрешение уже есть, я просто только кусок конфига предоставил.

если тисипи_аутгоинг_аддрес не помогает, то моя говорить хез.

проблема в чем-то третьем.

я подобную фишку делал без проблем. правда, там не было делай пулов и мастдай был серверный. неужели у хрюши такой кривой сетевой стек.

на вашем месте, чтобы узнать кто виноват сквид или хрюша, я б, если был бы так упрям, упростил конфиг сквида до нельзя и проверил или работает. если работает, то добавлял бы одну за одной опции в конфиг и смотрел бы на чем обломается.

> http_access allow !Safe_ports
> http_access deny !Safe_ports

это к делу вроде не относится, но смысл этих строк какой-то скользкий.

Так это не на FreeBSD в на Windows XP, так что тисипи_аутгоинг_аддрес не поможет.
Данный конфиг работает пробовал в сети с другим проксиком но там только один интерфейс задействован.... то-есть запросы приходят на один интерфейс и с него уходят к местному проксику....
Но в моем случае необходимо что бы запросы приходили с одного интерфейса и проходя через проксик уходили в другую сеть и обратно.

> Так это не на FreeBSD в на Windows XP, так что тисипи_аутгоинг_аддрес
> не поможет.

а вы пробовали?
http://www.opennet.me/openforum/vsluhforumID12/6767.html

> На крайний случяй думаю попробовать ProxyCAP поставить, что бы он сам перехватывал
> запросы от Squid и маршрутизировал.....Но это уже совсем изврат, надеюсь есть
> более правильные методы. Да и ProxyCAP боюсь может стать узким местом.

Ага, а винхп с squid место вапще шЫрокое )))))))

> Ага, а винхп с squid место вапще шЫрокое )))))))

Да я понимаю что SQUID по определению должен на FreeBSD стоять, но начальство поставило задачу, а так как сроки короткие то пока буду разбираться с FreeBSD уже поставлю SQUID NT..
В дальнейшем SQUID будет под FreeBSD стоять.

И я считаю ProxyCAP более узкое место в данной связке..

> Да я понимаю что SQUID по определению должен на FreeBSD стоять, но
> начальство поставило задачу, а так как сроки короткие то пока буду
> разбираться с FreeBSD уже поставлю SQUID NT..
> В дальнейшем SQUID будет под FreeBSD стоять.

сквид неплохо себя чувствует и на линуксе, обслуживание которого понятнее bsd.
если же так тянет к фряхе, то можно посмотреть в сторону pfsense.
устанавливается с полтыка и базовые настройки можно выполнить без специальных знаний
с помощью вебинтерфейса.

> И я считаю ProxyCAP более узкое место в данной связке..

для этой тривиальной задачи не нужно ничего кроме сквида.
по крайней мере, в вашей трактовке.

> покажите настройки интерфейсов и таблицу маршрутизации.

А вот и настройки интерфейсов

Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 163.12.55.1
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . :

Подключение по локальной сети 2 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 150.12.55.6
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 150.12.55.20

И таблица маршрутов=====>>>

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     150.12.55.20     150.12.55.6       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      150.12.55.0    255.255.255.0      150.12.55.6     150.12.55.6       20
      150.12.55.6  255.255.255.255        127.0.0.1       127.0.0.1       20
   150.12.255.255  255.255.255.255      150.12.55.6     150.12.55.6       20
      163.12.34.0    255.255.255.0      163.12.55.1     163.12.55.1       20
      163.12.55.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   163.12.255.255  255.255.255.255      163.12.55.1     163.12.55.1       20
        224.0.0.0        240.0.0.0      150.12.55.6     150.12.55.6       20
        224.0.0.0        240.0.0.0      163.12.55.1     163.12.55.1       20
  255.255.255.255  255.255.255.255      150.12.55.6     150.12.55.6       1
  255.255.255.255  255.255.255.255      163.12.55.1     163.12.55.1       1
Основной шлюз:        150.12.55.20
===========================================================================
Постоянные маршруты:
  Отсутствует

>> покажите настройки интерфейсов и таблицу маршрутизации.
> А вот и настройки интерфейсов

см. выше про acl

Забыл отписаться.
Все заработало, всем спасибо.
Ответы на свои вопросы нашел в англоязычных манах...
Осталась только одна нерешенная проблема.
Если одной группе ACL необходимо открыть доступ на несколько сайтов с доменным именем и с IP именем пример http://82.138.8.115 то если первым в http_access стоит запрет на доменные имена а потом на IP имена то доступ в первым осуществляется мгновенно а ко вторым (то есть IP) очень медленно по 3-5 минут. Если поменять местами http_access правила то уже IP-адреса открываются быстро а с доменными именами 3-5 минут.
Ниже привожу пример куска правил
acl sitesGOOD dstdomain "c:\sitesGOOD.txt"
acl ipGOOD dst "c:\ipGOOD.txt"
http_access allow Obuch sitesGOOD
http_access allow Obuch ipGOOD
http_access deny all

Если кто сталкивался огромная просьба помогите, уже совсем выбился из сил в поисках ответа...
PS
В отчаянье стали посещать мысли о поднятии второго SQUID-а, в одном разрешить только на ip а на втором по доменным адресам