|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey Zonov 2:5020/830.28 03 Sep 2005 13:48:16
To : All
Subject : всё ли я правильно сделал??? (прозрачный squid)
--------------------------------------------------------------------------------
Может кто найдёт косяк, может кому это поможет в настройке, буду рад
любым отзывам.
Задача такая: раздать инет локалке. Решается просто: ставиться
mpd+freeradius+freenibs и всё готово. Hо захотелось мне ещё заморочиться с
кешированием веб-контента, для экономии траффика, не заметного для юзеров, те
траффик экономиться, но юзеры об этом не знаю и платят за траффик из кеша прокси
тоже.
что стоит:
squid-2.5.6_12 The successful WWW proxy cache and accelerator
mpd-3.18_2 Multi-link PPP daemon based on netgraph(4)
freeradius-1.0.1 A free RADIUS server implementation
Локальная сеть 192.168.0.0/24
Адреса выдаваемые ВПH клиентам 10.0.0.0/24
Инет фря берёт отсюда
ns# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1398
inet 172.16.0.2 --> 172.16.0.1 netmask 0xffffffff
Opened by PID 610
вот законнекченный клиент
ns# ifconfig ng0
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1396
inet 10.0.0.1 --> 10.0.0.2 netmask 0xffffffff
inet6 fe80::20c:29ff:fe7b:7774%ng0 prefixlen 64 scopeid 0x3
И так, непосредственно, конфиги squid:
ns# grep -v # /usr/local/etc/squid/squid.conf
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl clients src 10.0.0.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl CONNECT method CONNECT
http_access allow clients
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
тут надо многое повырезать, подскажите что именно...
в файлволе:
if="lnc0"
net="192.168.0.0"
vpn="10.0.0.0"
mask="255.255.255.0"
ppp="tun0"
ng="ng*"
tun_ip="172.16.0.2"
setup_loopback
${fwcmd} add 40 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 out
xmit ${ppp}
${fwcmd} add 50 divert natd all from ${vpn}:${mask} to any out xmit ${ppp}
${fwcmd} add 60 divert natd all from any to ${tun_ip} in recv ${ppp}
${fwcmd} add 1000 pass all from any to any via ${if}
${fwcmd} add 1100 pass log all from any to any via ${ppp}
${fwcmd} add 1200 pass log all from any to any via ${ng}
${fwcmd} add 65500 deny log all from any to any
Вроде всё пашет, а может мне так кажется ;)
Ткните пальцем в ошибки или не дочёты, ещё хочется узнать мнение на счёт
получения инета, без учёта.
ЗЫ сейчас если не законнектившемуся юзеру прописать в качестве прокси в браузере
этот шлюз, то сквид выдаёт ошибку - deny, что-то типа этого. Хочется чтобы
вообще сквид был не заметен для юзеров, можно это как-то сделать. Hапример
заставить слушать свид на 127.0.0.1... или тогда эта схема не будет работать?
Успехов!
--- GoldED+/W32 snapshot-2000.12.24
* Origin: Жизнь - хорошая штука (2:5020/830.28)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
