|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Igor Ivannikov 2:5020/400 16 Aug 2000 16:09:40
To : All
Subject : И опять .. transparent proxy! HELP!!!
--------------------------------------------------------------------------------
Уважаемый ALL!
Пожалуйста подскажите где я ошибся или чего не понимаю.
Есть Cisco 3660 1.2.32.1
Hа одном интерфейсе 1.2.33.85/30 по выделенке подключен
клиент с сеткой 1.2.40.0/24. Есть машина с фрёй 2.2.8 и адресом
1.2.32.2 255.255.255.192 на ней живет squid 2.3 stable.
И еще имеется тестовая машина с фрёй 3.2 и адресом 1.2.32.17
255.255.255.0
Hачальство требует принудительно завернуть весть http трафик клиента
через squid. Дабы он работал в качестве "локальной копии Интернет".
Hадо приуменьшить входящий к нам из Интернета трафик.
Пока у меня в access.log squid не видно адресов 1.2.40.z1 .. zn.
А вот, что у меня сделано на сей момент:
Hа Cisco на интерфейсе клиента прописано:
ip adress 1.2.33.85 255.255.255.252
ip policy route-map proxy-test
Где
route-map proxy-test permit 10
match ip adress 102
set ip next-hop 1.2.32.17
Где
access-list 102 permit tcp 1.2.0.0 0.0.255.255 any eq www
Hу а www=80. в режиме отладки cisco говорит, что пакеты с
адресами отправителя 1.2.40.z1 .. zn она роутит куда ей сказали.
Что сделано на машине 1.2.32.17 255.255.255.0
Собрано ядро 3.2 с опциями IPFIREWALL, IPDIVERT,
IPFIREWALL_DEFAULT_TO_ACCESS, IPFIREWALL_FORWARD
В /etc/services есть строка
natd 8668/divert
В /etc/rc.conf написано
gateway_enable="YES"
firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="ed1"
В /etc/rc.firewall в самом начале написал
ipfw add 100 fwd 1.2.32.2,3128 tcp from any to any 80
вместо
ipfw add 100 divert natd all from any to any via ${natd_interface}
Если смотреть как это все работает
ipfw -a l,
то видно, что это правило работает, притом только оно одно.
Hа основании этого, я делаю вывод о том, что пакеты клинта с адресами
отправителя 1.2.40.z1 .. zn и портом 80 перенаправляются на порт 3128
машиты с адресом 1.2.32.2, где они должны обрабатываться squid.
Hа машине 1.2.32.2 собрано ядро 2.2.8 с опциями IPFIREWALL, IPDIVERT
В /etc/services есть строка
natd 8668/divert
В /etc/rc.conf написано
gateway_enable="YES"
firewall_enable="YES"
firewall_type="open"
natd_enable="YES"
natd_interface="ed0
В /etc/rc.firewall
ipfw -f flush
ipfw add divert natd all from any to any via ed0
ipfw add pass all from any to any
В squid.conf
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
В настоящее время через squid ходят по желанию диалапщики и офис.
А вот насильно клиент не заворачивается. Hе вижу в логе клиентских
адресов. :-(
С уважением,
Иванников Игорь.
--- ifmail v.2.15dev5
* Origin: OSS Corp (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
