|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vassily Kiryanov 2:5054/36 23 Feb 2008 16:30:07
To : All
Subject : прозрачный squid выёживается
--------------------------------------------------------------------------------
Делаю потихоньку новый proxy-сервер, ждёт обычных соединений на двух сетевухах
на порту 3128 и на 127.0.0.1:8080 ждёт "прозрачных" соединений.
http_port int-ip:3128
http_port ext-ip:3128
http_port localhost:8080 transparent
Hу, там описал в конфиге что аутентификацией squid_radius_auth занимается,
тестового пользователя в радиусе завёл - всё работает, в логи имя тестового
пользователя ложится, в браузере - запрос на имя+пароль и дальше только успевай
странички глядеть.
Хуже обстоит дело с работой прозрачного прокси, написал в файрволе следующее:
# перехват запросов на внутренней сетевухе
1095 fwd 127.0.0.1,8080 tcp from 10.0.0.0/8 to not me dst-port 80 in recv fxp1
# перехват запросов на внешней сетевухе
1096 fwd 127.0.0.1,8080 tcp from x.y.z2.0/28 to not me dst-port 80 in recv fxp0
# сквид генерит ответы от адреса реальных серверов
01097 allow tcp from any 80 to 10.0.0.0/8 uid squid out xmit fxp1
01098 allow tcp from any 80 to x.y.z2.0/28 uid squid out xmit fxp0
при попытке работать через прозрачный прокси счётчики у соответствующей пары
правил растут, но в браузере ничего не видно, а в cache.log появляется куча
строк вида: "2008/02/23 13:57:39| commBind: Cannot bind socket FD 25 to
64.12.58.54:0: (49) Can't assign requested address", а потом squid вылетает по
сигналу 11. IP адрес в этой строке принадлежит тому серверу, для которого
предназначался прозрачный запрос.
Вопрос традиционный: "Как забороть?".
Hа всякий случай вот мои строки конфига, касающиеся ACL и access.
# "серые" адреса внутренней сети
acl gray10src src 10.0.0.0/255.0.0.0
# реальные адреса, на которых сидят наши сервера
acl mynet0src src x.y.z2.0/255.255.255.240
# прочие реальные адреса
acl mynet1src src x.y.z2.0/255.255.255.0
acl mynet2src src x.y.z3.0/255.255.255.0
# моя машина
acl kvasOS2src src x.y.z2.7/255.255.255.255
# сюда будет лазить "Консультант" за обновлениями баз
acl consultation dst a.b.c.d/255.255.255.255
acl consultator ident consultant
# сюда можно будет ходить не аутентифицируясь, без ограничения объёма
acl fepodomain dstdomain .fepo.ru
acl astest dst 81.211.38.36/255.255.255.255
# различалка "прозрачных" и аутентифицированых запросов
acl transparented myport 8080
acl authenticated proxy_auth REQUIRED
# обновления "консультанта"
http_access allow consultation consultator
http_access deny consultator
# куда можно ходить безлимитно
http_access allow fepodomain all
http_access allow CONNECT astest SSL_ports
# куда можно ходить в прозрачном режиме прокси
http_access allow fepodomain transparented
# а больше прозрачному прокси никуда нельзя
http_access deny all transparented
# на остальные адреса - только предъявив имя и пароль
http_access allow authenticated
# если не на разрешённые адреса и недействительные имя+пароль, то нельзя
http_access deny all
Всего хорошего. "За верную и прибыльную дружбу!" (c) Яго.
Vassily
---
* Origin: И бьется против геноцида Вася, и против Васи геноцид. (2:5054/36)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
