Меню

Настройка squid с одним интерфейсом

Настройка squid с одним интерфейсом

freebsd+squid просто включен в локалку, через свитч, внего же(в свитч) воткнут модем.
Возможно ли перенаправлять пакеты на squid(прозрачн) с одним сет. интерфейсом, без настройки прокси в браузере пользователя. Помогите, плз. бьюсь уже. забыл, когда начал

>freebsd+squid просто включен в локалку, через свитч, внего же(в свитч) воткнут модем.
>
>Возможно ли перенаправлять пакеты на squid(прозрачн) с одним сет. интерфейсом, без настройки
>прокси в браузере пользователя. Помогите, плз. бьюсь уже. забыл, когда начал
>

Положи руки на свитч и очень четка в голове представь путь пакетов.

1. «squid один интерфейс»
Сообщение от Soudmaker on 23-Мрт-09, 08:25
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. «squid один интерфейс»
Сообщение от Vad (??) on 23-Мрт-09, 11:37

>
>Положи руки на свитч и очень четка в голове представь путь пакетов.
>

))))Спасиб,но с такими способностями ни squid ни роутер не нужен), я просто спрашивал возможно ли это.
Все-таки,два как миним надо интерфейса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. «squid один интерфейс»
Сообщение от Soundmaker (ok) on 23-Мрт-09, 12:13

>>
>>Положи руки на свитч и очень четка в голове представь путь пакетов.
>>
>
>))))Спасиб,но с такими способностями ни squid ни роутер не нужен), я
>просто спрашивал возможно ли это.
>Все-таки,два как миним надо интерфейса.

Можно конечно прикупить свитч с мозгами, но по моему проще вторую сетевую воткнуть и проблема отпадет сама-собой!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. «squid один интерфейс»
Сообщение от wertik (ok) on 23-Мрт-09, 12:29

>>
>>Положи руки на свитч и очень четка в голове представь путь пакетов.
>>
>
>))))Спасиб,но с такими способностями ни squid ни роутер не нужен), я
>просто спрашивал возможно ли это.
>Все-таки,два как миним надо интерфейса.

Кто сказал что надо два?
Достаточно и одного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. «squid один интерфейс»
Сообщение от mazzay on 23-Мрт-09, 12:32

можно поднять альяс на интерфейсе.
у меня так в тестовом режиме работало

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. «squid один интерфейс»
Сообщение от wertik (ok) on 23-Мрт-09, 12:40

>можно поднять альяс на интерфейсе.
>у меня так в тестовом режиме работало

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. «squid один интерфейс»
Сообщение от Vad (??) on 23-Мрт-09, 12:53

Народ! НУ НЕ ПОЛУЧИТСЯ с одной сетевой прозрачный прокси без настройки браузеров у клиентов. Кто будет трафик заворачивать на прокси? Свич? Он может конечно, если у него мозги есть, но это другая тема.

>
>Народ! НУ НЕ ПОЛУЧИТСЯ с одной сетевой прозрачный прокси без настройки браузеров
>у клиентов. Кто будет трафик заворачивать на прокси? Свич? Он может
>конечно, если у него мозги есть, но это другая тема.

В этой схеме нужно запретить пользователям менять сетевые настроки на своих машинках иначе хочу иду напрямую, а хочу через проксю. Из условия я например понял, что на стороне клиента ничего не трогаем. Иначе можно было б просто прописать прокси и все.

Источник

squid просзрачный прокси на 1 сетевом интерфейсе.

Есть сервак со squid, на нем только 1 сетевой интерфейс, реально ли сделать прозрачный прокси на 1 сетевом интерфейсе. Как не прозразрачный уже давно и хорошо работает, но вот уже достало везде прописывать настройка прокси.

Либо на шлюзе напишите правило, перенаправляющее запросы с 80 порта на ip адрес ПК с прозрачным прокси.

Топология такая. стоит DFL как шлюз выхода в инет ip 192.168.0.254. Есть сервак на котором поднят squid ip 192.168.0.251. У пользователей по DHCP раздается как шлюз 192.168.0.251. У сервера со squid шлюз 192.168.0.254. Сейчас во всех программах приходится прописывать прокси сервер в ручную. Хочется автоматизировать данный аспект работы сети.

Этот компьютер и есть прокси для остальных.

Не забудьте в конфиге squid`а указать, что он транспарент.

Не захотел iptables принимать команду, ругнулся на «Bad argument `–dport’»

На счет того что бы указать что у меня squid теперь транспарент. У меня в конфиге стоит:

Кроме того 443 порт для работы https вам всё равно придётся пускать напрямую через шлюз.

Почитайте уже документацию.

https_port 3128 transparent key=/etc/squid/key.pm cert=/etc/squid/certificate.pm а про аутентификацию да, придется забыть

Сейчас во всех программах приходится прописывать прокси сервер в ручную. Хочется автоматизировать данный аспект работы сети.

Так это ж совсем другая задача!

Вот пример скрипта:

В общем, гугль Вам поможет с WPAD

P.S. Кавычки, конечно же должны быть обычные двойные, а не типографские, как форматирует LOR.

да, или определять прокси групповыми политиками. но оба эти варианта иногда не поддерживаются программами.

да, или определять прокси групповыми политиками

Это работает только в IE и ПО, которое использует IE. Соответсвенно, не поддерживаются «альтенативные» ОС и браузеры. Вообще не вариант. В то время как WPAD работает даже на смартах.

но оба эти варианта иногда не поддерживаются программами

Равно как и с прозрачным прокси можно наступить на грабли. Попадались банк-клиенты. Для этих годится либо ручная настройка, либо вообще исключение в файровлле, чтобы они ходили через NAT.

А Вы, я смотрю, сторонник прозрачных проксей, в т.ч. и для SSL. Как будете объясняться с пользователями, которых (по-умолчанию) приличный браузер не пустит в интернет-банк? А если вдруг у кого-нибудь из пользователей, которые рискнут проигнорировать предупреждение браузера по Вашей рекомендации, со счёта пропадут деньги и вовсе не по Вашей вине, докажете, что это не Вы пароль от банка увели?

Ну и про аутентификацию здесь уже упоминали.

P.S. Кавычки, конечно же должны быть обычные двойные, а не типографские, как форматирует LOR.

научитесь пользоваться тегом [code]

научитесь пользоваться тегом [code]

Вот после таких советчиков и пропадает желание помогать людям. 🙁

Источник

iptables, прозрачный squid и один интерфейс.

Появилась задача, но увы с iptables я знаком поверхностно.

На машине прокси с одним интерфейсом развернут прозрачный squid. Хочется весь трафик от клиентов по 80 и 443 порту пускать через него, а все что осталось отправлять прямиком на шлюз.

Вижу 2 варианта реализации:

1) На серверах статикой указан основным шлюзом 192.168.0.1, а клиенты в свою очередь получают DHCP с шлюзом 192.168.0.222 (sqid). Тем самым сервера минуют squid, а клиенты ходят к основному шлюзу через него.

На прокси необходимо пробросить входящий трафик 80/443 через кальмара, все остальное пропускаем дальше на шлюз

net.ipv4.ip_forward в sysctl включил

В данный момент пробовал так, но не удалось:

2) Второй вариант, на шлюзе пишется правило, что необходимо для диапазана 192.168.0.100-110 входящий трафик по 80/443 завернуть на 192.168.0.222:3128

Набросал что-то такое.

Сильно экспериментировать не могу, т.к. все находится в работе.

1. Речь идет про локальный комп на котором запущен сквид? Или вы еще кого-то другого из локалки отправить через него хотите?
2. Вы где все эти правила пишите? На роутере? На компе со сквидом?
Как обычно дайте больше золота, что бы только по правилам не догадываться что у вас там за схема.

Обычно делается ровно наоборот. Клиентам из 192.168.0.0/24 выставляется шлюз 192.168.0.1.

На 192.168.0.1 в свою очередь, всё что идёт «наружу» по 80/443 порту, заворачивается на 192.168.0.222 (т.е. прокси). Естественно, кроме адреса самого прокси, чтобы избежать петли. Способы могут быть разные: DNAT или что-то более продвинутое вроде WCCP.

судя по ip-ам в правилах у него сейчас: хост 192.168.0.222 на котором висит сквид, за шлюзом 192.168.0.1. Короче он с локального компа все хочет перенаправить на прокси.

В обоих случаях сам squid должен быть настроен в transparent-mode

и в инете море статей по этому поводу.

В таком случае в статистике сквида будет, как будто весь трафик уходит с шлюза. вот еще есть такой вариант:

А не проще в правиле MASQ интерфейс указать? Чем такой изврат

Сильно экспериментировать не могу, т.к. все находится в работе.

На лор пришел все же получить пару дельных, между строк таки можно приглядеть хороший совет.

Сейчас все работает, проблема была не тривиальной, dns_nameservers 8.8.8.8 стоял, сменил на адрес шлюза, все заработало. Остановился на первом варианте.

Вот еще задумал сделать на шлюзе проверку доступности кальмара, вдруг умрет, чтоб DHCP настройки обновились и новый шлюз клиентам выдало.

Решение достойно жизни?

Сейчас все работает, проблема была не тривиальной, dns_nameservers 8.8.8.8 стоял, сменил на адрес шлюза, все заработало. Остановился на первом варианте.

Я бы второй взял, вроде проще по исполнению. Но тестировать надо.
Не понятно как помешал внешний dns, скорее еще какие-то правила в iptables толи на шлюзе толи на кальмаре. Вобщем много но.

Вот еще задумал сделать на шлюзе проверку доступности кальмара, вдруг умрет, чтоб DHCP настройки обновились и новый шлюз клиентам выдало.

Я то написал правило (-s) для hairpin nat (оно же и остальной nat в инет делает). Тут действительно есть минус в том, что src-addr клиента подменится адресом шлюза и стаистики не будет видно.

Как я понимаю, совет anc подразумевает следуещее:

ps: лишним не будет:

pps: вот сам сижу и думаю, применим ли, кстати, в такой ситуации hairpin вообще или нет. но из расуждений тут: http://macrodmin.ru/2011/08/osobennosti-prozrachnogo-proksi следует, что хотя бы работает.

ppps: тут я имел ввиду вариант №2

Я бы второй взял, вроде проще по исполнению.

И, кстати, тогда вариант №1 (когда клиентам раздаем squid в качестве gw) решает проблему со статистикой, запрос будет отправлен client-src-ip

вы бы лучше выложили итоговые правила iptables на шлюзе и на squid-host-е. А по первому сообщению вообще не понятно, чего вы хотели добиться от iptables

Я бы вот так сделал.

Да, все правильно для srcnat наружу.

Но это правило не сделает подмену адреса пакетам идущим на прокси. С одной стороны оно и не надо (что бы в статистике отображался адрес клиента), с другой стороны, какой src_ip будет в ответе прокси клиенту.

pps: вот сам сижу и думаю, применим ли, кстати, в такой ситуации hairpin вообще или нет. но из расуждений тут: http://macrodmin.ru/2011/08/osobennosti-prozrachnogo-proksi следует, что хотя бы работает.

Ну честно говоря я и сам оттолкнулся от этой статьи, ведь вся проблема описанная в ней только в том что masq на все интерфейсы действовал, так что исправление в виде интерфейса сделает то же самое только проще. Но опять-таки надо тестировать, а то одно дело теория/написано другое самому попробовать 🙂

с другой стороны, какой src_ip будет в ответе прокси клиенту.

А разве есть какая-то разница между тем если бы кальмар работал например на том же шлюзе и этим вариантом? Клиент отправляет пакет на 8.8.8.8 получает ответ от 8.8.8.8. Мы же про прозрачный прокси говорим. Или я вас не понял?

Похоже что так и есть. Наверное сквид в прозрачном режиме и проделает все эти действия.

Действительно, он же работает, если просто на шлюзе.

PS: squid прозрачный очень давно настраивал. Помню, что ему в конфиге надо прописать этот режим и редирект на него сделать

Источник

Читайте также:  Инстаграм настройки сохранить первоначальный