форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по 'Связка FreeNIBS + кеширующий Squid'"

Сообщение от Scorpiy (??) on 06-Фев-06, 22:54

Привет, народ, дело такое: Поставил билинг FreeNIBS все работает, запустил, было пару оплошностей, но их все я обошел...  Работает одним словом и хорошо! Но надо прикрутить к этому всему кеширующий прокси  для ускорения работы и просто для статистики, ато сам НИБС не может выдавать куда, когда и на какие сайты...             За прокси был выбран Squid  из понятных соображений. Но  вот проблема, не могу его правильно настроить под параметры своей сети, может специалисты помогут, не позвольте умереть ламером!   Проблема в следующем: Как заворачивать нужный трафик на Squid и обратно? Сам прокси должен работать не на весь трафик а кешировать лишь запросы страничек http тоесть то что на 80-том порту( я так понял)... У меня для работы интернета на сервере используеться natd и ipfw,  который такими правилами заворачивает и пропускает весь трафик: #============================================== add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0 add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0 add 65000 allow all from any to any #============================================== 10.1.4.0/24   -   сеть в которой работают VPN-юзеры. 10.1.4.1     - адресс ВПН-сервера( работающего на МПД) 10.1.4.2-254  -    адресса клиентов по ВПН. 192.168.0.0/24   -   адресса локальной сети.   dc0   -   интерфейс смотрящий в сторону провайдера на сервере. Я знаю что правила кривые и ненадежные, но это не первый раз для того что бы все запустилось....    Что в эти правила(IPFW)  добавить( или изменить все)  что бы заработал кеширующий прокси?     Надо ли его делать прозрачным( в данном случае)?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"

Сообщение от satelit on 07-Фев-06, 05:15

Насчет фри точно не могу сказать, но думаю не намного отличается от линуха. Сквид запускается так, что-бы слушал все интерфейсы, т.к. в линухе они динамически появляются и исчезают, а файром разруливаешь пакеты. Сам сквид настраиваешь так же как в любой доке в режиме транспаранта, за одним исключением, в ACL сквида прописываешь разрешение на доступ только для тех адресов, которые у тебя внутри VPN, для тебя 10.1.4.2-254, и все.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 07-Фев-06, 21:53
	>Насчет фри точно не могу сказать, но думаю не намного отличается от >линуха. >Сквид запускается так, что-бы слушал все интерфейсы, т.к. в линухе они динамически >появляются и исчезают, а файром разруливаешь пакеты. >Сам сквид настраиваешь так же как в любой доке в режиме транспаранта, >за одним исключением, в ACL сквида прописываешь разрешение на доступ только >для тех адресов, которые у тебя внутри VPN, для тебя 10.1.4.2-254, >и все. Это понял, а как именно это сделать в фаере? как разослать пакеты в нужные места? Каким методом это сделать Forward   or   Diver?  если можно, то можно вот эти правила в примерах...  Очень прошу! Я сам не сильно разбираюсь в этих файрволах, а сделать очень надо! как говориться "на вчера"!
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от nbok on 07-Фев-06, 22:37
	перед дивертом: ipfw add fwd me,8080 tcp from $my_clients/mask to not me 80 via ng\* in squid.conf: http_accel_host virtual http_accel_port 80 http_accel_with_proxy on http_accel_uses_host_header on и асл само собой
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 08-Фев-06, 00:15
	>перед дивертом: >ipfw add fwd me,8080 tcp from $my_clients/mask to not me 80 via >ng\* in > >squid.conf: >http_accel_host virtual >http_accel_port 80 >http_accel_with_proxy on >http_accel_uses_host_header on > >и асл само собой Спасибо!   Спасибо огромное! ЗАвтра буду пробовать...   Форум и сам сайт ОпенНЕТ - руллез!  Вы самые лучшие! ПиСи.  я так понял что "8080"  это адресс на котором запускаеться и слушает сквид? так?  У меня он по умолчанию будет 3128.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от grq on 08-Фев-06, 06:47
	конечно и ng\* = интерфейсы mpd.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 08-Фев-06, 20:55
	>конечно >и ng\* = интерфейсы mpd. Я с синтаксисом этого фаера совсем не дружу... как это записать по человечески? в конечной форме? add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\* in                или add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\0-254 in                или add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng0 in .................................................................. add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng254 in как првильно? Я уже пробовал и вот как раз не могу разобраться с этим правилом...   оно у меня не работает, на сквид не заворачивает запросы.  А при самом старте и прописовании правил в файр оно ругаеться и говорит  что ОСТОРОЖНО "ng\0" не существует! это при попытке запустить вот такое правило выбивает: add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 via ng\* in Если пускать изначально первое: то сначало пишет что неизвестный хост "me"   а потом что неизвестный хост "$my_clients/mask"(синтаксис может быть неправильный тут) Как правильно?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от nbok on 08-Фев-06, 21:18
	add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in про ng\* забудь пока надеюсь, squid слушает 127.0.0.1:3128 ?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	8. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 08-Фев-06, 21:29
	>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in > >про ng\* забудь пока > >надеюсь, squid слушает 127.0.0.1:3128 ? ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе и порте, так что там все ОК. Я пробовал его просто сделать как прокси. все работает  с локальной сети все идет, но вот через ВПН не хотел...   А какая проблема с ng\* ???   Это очень неплохо поправило бы безопасность с системе, а так представь:  Пользователь меняет АйПи вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду не через ВПН а по локалке и сливает Гб  информации   безболезненно для него и очень болезненно для меня...   как же тут?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от nbok on 08-Фев-06, 22:51
	>>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in >> >>про ng\* забудь пока >> >>надеюсь, squid слушает 127.0.0.1:3128 ? > > > >ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе >и порте, так что там все ОК. Я пробовал его просто >сделать как прокси. все работает  с локальной сети все идет, >но вот через ВПН не хотел... > >А какая проблема с ng\* ???   Это очень неплохо поправило >бы безопасность с системе, а так представь:  Пользователь меняет АйПи >вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду >не через ВПН а по локалке и сливает Гб  информации >  безболезненно для него и очень болезненно для меня...   > как же тут? ifconfig -a показывает хоть один ngX ? или какие ифейсы мпд поднимает? ng\* можно заменить "ng/*"
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 09-Фев-06, 01:18
	>>>add fwd 127.0.01,3128 tcp from 10.1.4.0/24 to not me 80 in >>> >>>про ng\* забудь пока >>> >>>надеюсь, squid слушает 127.0.0.1:3128 ? >> >> >> >>ДА,  сам по себе Сквид работает  по-умолчанию на этом адрессе >>и порте, так что там все ОК. Я пробовал его просто >>сделать как прокси. все работает  с локальной сети все идет, >>но вот через ВПН не хотел... >> >>А какая проблема с ng\* ???   Это очень неплохо поправило >>бы безопасность с системе, а так представь:  Пользователь меняет АйПи >>вместо 192,168,0,7  на 10,1,4,1  и конектиться  к Сквиду >>не через ВПН а по локалке и сливает Гб  информации >>  безболезненно для него и очень болезненно для меня...   >> как же тут? > > >ifconfig -a показывает хоть один ngX ? >или какие ифейсы мпд поднимает? > >ng\* можно заменить "ng/*" Пробовал, менял  местами слэш - не помагало...    Когда на старте загружаються правила, то естественно еще нету интерфейсов, они же создаються тогда когда юзер конектиться к МПД, а сам МПД  поднимаеться уже после запуска фаера с соответствующими правилами... вот что поднимает mpd :ng01-ng99 .  Но это гогда он запущен уже, а правило создаеться раньше...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	11. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от ьш7 on 09-Фев-06, 09:38
	тогда остаётся последний вариант: включить голову: ну и скажи при загрузке, чтобы разрешалось всем интерфейсам, кроме локальных.. хватит уже учиться, уже всё пережёвано, в форумах обсосано, при первоупомянутом случае всё запускается - ну нельзя же по каждой малюсенькой ошибочке звонить другу!!! напряги извилины хоть немного. ВСЁ.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "Вопрос по 'Связка FreeNIBS + кеширующий Squid'"
	Сообщение от Scorpiy (??) on 09-Фев-06, 15:58
	>тогда остаётся последний вариант: включить голову: > >ну и скажи при загрузке, чтобы разрешалось всем интерфейсам, кроме локальных.. > >хватит уже учиться, уже всё пережёвано, в форумах обсосано, при первоупомянутом случае >всё запускается - ну нельзя же по каждой малюсенькой ошибочке звонить >другу!!! напряги извилины хоть немного. > >ВСЁ. Неужели от того что тут будет такая ветка форума кому-то будет хуже?!! Тут же не заставляют отвечать на вопросы или просматривать все ветки...   Тот кто проходит мимо, посмотрит на название ветки и зайдет или не зайдет... прочитает и решит отвечать ему или нет.  Может у кого-то был подобный опыт по такой проблеме или\и ее устранению. Я считаю что чем больше вопросов и ответов на форуме, чем больше веток, тем он и богаче, тем и лучше! ПиСи.  Нигде, нигде! Реально не описана система безопасности данной билингвовой системы, хотя бы в азах! Ну не находил я такого! Все статьи заканчиваються словами "Билинг установлен и работает, давайте же набьем его юзерами и пакетами..." и  дальше только EOF... ВСЕ!
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]