URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 718
[ Назад ]
Исходное сообщение
"Не использовать прокси для локалки"
Отправлено Иван , 09-Апр-03 16:18 
Есть сеть (192.168.1.0/24) Есть сервак, на котором крутиться сквид, чтобы люди из локалки могли лазить по интернету. Все хорошо, но очень бы хотелось, чтобы если человек хотле зайти, например, на 192.168.1.1, то сквид обеспечивал прямое подключение (то есть не через себя), то есть, чтобы по сайтам, которые находятся в этой сети люди лазили НЕ использую сквид. Если такое возможно, объясните, пожалуйста, как это можно сделать.

Заранее большое спасибо.

Содержание
Сообщения в этом обсуждении
"Не использовать прокси для локалки"
Отправлено keepver , 09-Апр-03 16:29 
см. директиву always_direct
"Не использовать прокси для локалки"
Отправлено Иван , 09-Апр-03 17:28 
>см. директиву always_direct

Спасибо большое! Смотри, я в /etc/squid/squid.conf я прописал

acl localnet src 192.168.1.0/255.255.255.0
always_direct allow localnet

После этого пытаюсь влезть на 192.168.1.1 с машины, где в настройках браузера прописан прокси. В логи ссыпается следующее:

1049894006.403     97 192.168.1.2 TCP_REFRESH_HIT/304 204 GET http://192.168.1.1/ - DIRECT/192.168.1.1 -
1049894007.250     45 192.168.1.2 TCP_MISS/200 1290 GET http://192.168.1.1/index.html - DIRECT/192.168.1.1 text/html
1049894007.561     33 192.168.1.2 TCP_REFRESH_HIT/304 205 GET http://192.168.1.1/style.css - DIRECT/192.168.1.1 -

Я так понял, что слово DIRECT как раз и означает, что я вроде бы сделал все правильно, но есть одно большое НО: на сайте, который расположен на 192.168.1.1 есть скрипты, которые обрабатывают с какого ip-шника зашел человер на страничку. Ну так вот: эти скрипты говорят, что я захожу с машины где расположен сквид, а не с той нашины, где у меня действительно открывается эта страница в браузере.... =((( Может быть можно что-нить сделать???

Еще раз большое спасибо за ответ!


"Не использовать прокси для локалки"
Отправлено Dr. Nebula , 09-Апр-03 17:37 
А настройки браузера не смотрел? Есть там такая штука, как "не использовать прокси для след. адресов"
"Не использовать прокси для локалки"
Отправлено Иван , 09-Апр-03 19:30 
>А настройки браузера не смотрел? Есть там такая штука, как "не использовать
>прокси для след. адресов"

К сожалению такой вариант не подходит, так как прокси включена для всех клиентов принудительно (реализованно это с помощью iptables - все запросы на порты 80, 8080, 3128 перенаправляются на порт 3128 локальной машины).

То есть в настройка IE вообще никакой прокси не прописан.

"Не использовать прокси для локалки"
Отправлено keepver , 09-Апр-03 18:17 
анализируй скриптом заголовок X-Forwarded-For, либо - совет внизу
"Не использовать прокси для локалки"
Отправлено Иван , 09-Апр-03 19:31 
>анализируй скриптом заголовок X-Forwarded-For, либо - совет внизу

Извини, вообще ничего не понял... Что за заголовок, нафуфа его анализировать...

"Не использовать прокси для локалки"
Отправлено Boytronic , 09-Апр-03 19:23 

>acl localnet src 192.168.1.0/255.255.255.0
>always_direct allow localnet

такое же src как я балерина :))))) надо писать так
acl localnet dst 192.168.1.0/24
и все пучком будет
:))))
(маску можешь писать как тебе удобно....)

"Не использовать прокси для локалки"
Отправлено Иван , 09-Апр-03 19:41 
>>acl localnet src 192.168.1.0/255.255.255.0
>>always_direct allow localnet
>такое же src как я балерина :))))) надо писать так
>acl localnet dst 192.168.1.0/24
>и все пучком будет
>:))))
>(маску можешь писать как тебе удобно....)

Спасибо большое за ответ. Но ничего не изменилось... Скрипты на сервере с завидным упрорством говорят, что человек зашел с машины со сквидом, а не машины, на которой реально стоит сквида...

"Не использовать прокси для локалки"
Отправлено Boytronic , 10-Апр-03 14:05 
>завидным упрорством говорят, что человек зашел с машины со сквидом, а
>не машины, на которой реально стоит сквида...
Дак а как по другомуто ???? да действительно человек идет через проксю...
но она не кеширует, просто прокидывает через себя....
если надо чтобы вообше через проксю не ходили то только настройки браузеров править.... решает то клиент как ему ходить а не прокси...
ты как себе представляешь эту ситуацию ???
клиент точно знает что в И-нет надо идти через проксю, идет на твой локальный сервер, прокся такая раз и говорит клиенту а на локальную ипку иди сам... умный браузер заворачивает на локальный сервер минуя проксю....
Да дядя Билл удавиться от такого... Эксплорер от такой умственно йнагрузки свернет всю систему с корнями :)))

"Не использовать прокси для локалки"
Отправлено Иван , 10-Апр-03 16:19 
>>завидным упрорством говорят, что человек зашел с машины со сквидом, а
>>не машины, на которой реально стоит сквида...
>Дак а как по другомуто ???? да действительно человек идет через проксю...
>
>но она не кеширует, просто прокидывает через себя....
>если надо чтобы вообше через проксю не ходили то только настройки браузеров
>править.... решает то клиент как ему ходить а не прокси...
>ты как себе представляешь эту ситуацию ???
>клиент точно знает что в И-нет надо идти через проксю, идет на
>твой локальный сервер, прокся такая раз и говорит клиенту а на
>локальную ипку иди сам... умный браузер заворачивает на локальный сервер минуя
>проксю....

=))) Все понял. Пытаюсь посыпаю голову пеплом от собственной глупости. Спасибо большое!
>Да дядя Билл удавиться от такого... Эксплорер от такой умственно йнагрузки свернет
>всю систему с корнями :)))


"Не использовать прокси для локалки"
Отправлено Michael , 10-Апр-03 14:15 
>>>acl localnet src 192.168.1.0/255.255.255.0
>>>always_direct allow localnet
>>такое же src как я балерина :))))) надо писать так
>>acl localnet dst 192.168.1.0/24
>>и все пучком будет
>>:))))
>>(маску можешь писать как тебе удобно....)
>
>Спасибо большое за ответ. Но ничего не изменилось... Скрипты на сервере с
>завидным упрорством говорят, что человек зашел с машины со сквидом, а
>не машины, на которой реально стоит сквида...
логично! :)
попробуй так - через iptables на прокси прокидывай не все запросы подряд, а только те у которых -destination не входит в локальную подсеть.
и еще - каким образом клиентские браузеры, если у них не настроен прокси, вообще попадают на сквид при обращении к адресам своей подсети??? насколько я это все понимаю, на шлюз они должны идти только в случае если адрес назначения не находится в локальной подсети.
или у тебя локальные сервера и локальные клиенты в разных подсетях?

"Не использовать прокси для локалки"
Отправлено Иван , 10-Апр-03 16:26 
>>Спасибо большое за ответ. Но ничего не изменилось... Скрипты на сервере с
>>завидным упрорством говорят, что человек зашел с машины со сквидом, а
>>не машины, на которой реально стоит сквида...
>логично! :)

>попробуй так - через iptables на прокси прокидывай не все запросы подряд, >а только те у которых -destination не входит в локальную подсеть.

Гениально! Супер! Спасибо большое! Так и буду пытаться сделать...

>и еще - каким образом клиентские браузеры, если у них не настроен
>прокси, вообще попадают на сквид при обращении к адресам своей >подсети??? насколько я это все понимаю, на шлюз они должны идти только
>в случае если адрес назначения не находится в локальной подсети.
>или у тебя локальные сервера и локальные клиенты в разных подсетях?

Прости, пожалуйста - глупость сморозил... =( Все сервера конечно находятся в одной сети. И, соответственно, на них люди заходят минуя прокси.

Еще раз спасибо большое! Теперь я знаю как это можно победить. (пошел доканывать людей своими глупыми вопросами, но теперь уже по iptables...)
Спасибо!