Архив форумов ЦИТФорума

Boris Korenev · Гость

Как сделать так, чтобы весь трафик шел только через прокси-сервер Squid?

xt

Boris Korenev · Гость

Да весь WWW-трафик через WWW-proxy сервер Squid. Заранее спасибо. Борис.

and3008

Идем на squid.opennet.ru
Ищем FAQ.
Ищем раздел про прозрачное кэширование.
Читаем.

Либо если у тебя Linux с ядром 2.4.Х, то читаем Advanced Routing How-To. Там написано как трафик заворачивать.

Boris Korenev · Гость

Прозрачное кэширование я не могу настроить, потомучто у меня настроена на авторизацию пользователей, которое не работает вместе с прозрачным кэшированием. Существует какой-нибудь другой вариант?
Заранее спасибо. Борис.

AlexanderK · Гость

на использование прокси.
Иначе - никак.

Настроить можно либо руками, либо запихать регедит с логин/логон скрипт, либо браузер настроить на автоопределение настроек прокси и сделать сервер, отдающий эти настройки (подробности - в техсаппорте Билли Г., там есть статья на эту тему, кажется, даже на туземном)

Boris Korenev · Гость

Понятно ,что я могу так сделать, но дело в том, что если броузер не настроен, ни на прокси ни на автоопредеоение, то он все равно заходит в инет и я не смогу отследить тарфик,
и все вытекающие отсюда последствия. У меня squid установлен на маршрутизаторе под FreeBSD 4.4. Заранее спасибо. Борис.

AlexanderK · Гость

на маршрутизаторе напиши правило файерволла, запрещающее ходить наружу на порты 80, 8080, 8081.... ну и т.д.., какие в голову придут.
А лучше на все вообще Smile

И люди к тебе потянутся! Smile

Boris Korenev · Гость

Я попробовал сделать как вы сказали, но почему-то squid перестал запускаться.
Может я что-то не так делаю? Не могли бы Вы написть эти правила фраервала?
Заранее спасибо. Борис.

AlexanderK · Гость

Дано:
для определенности считаем, что карточки у нас fxp. fxp0 - внешняя, fxp1 - внутренняя
у внешней адрес x.x.x.2/32, у внутренней y.y.y.1/24

далее, методом sockstat смотришь, на каком интерфейсе фивет сквид. Пусть на внутреннем. Если не нравится, где он поселился, можешь переопределить это строкой
tcp_outgoing_address ip.add.re.ss
в squid.conf
Сойдемся на внутреннем.
пишем (компилировано из /etc/rc.firewall и пр.)

# Suck in the configuration variables.
if [ -f /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
elif [ -f /etc/rc.conf ]; then
. /etc/rc.conf
fi
setup_loopback () {
############
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}

if [ -n "${1}" ]; then
firewall_type="${1}"
fi

############
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac

############
# Flush out the list before we begin.
#
${fwcmd} -f flush

############

############################
#
# Define your variables
#
oif="fxp0" #set to outside interface name
onwr="x.x.x.0/32" #set to outside network range
oip="x.x.x.2" #set to outside ip address

iif="fxp1" #set to internal interface name
inwr="y.y.y.0/24" #set to internal network range
iip="y.y.y.1" #set to internal ip address

${fwcmd} add permit tcp from $iip to any 80
${fwcmd} add permit tcp from any 80 to $iip established
${fwcmd} add permit tcp from $inwr to $iip 3128
${fwcmd} add permit tcp from $iip 3128 to $inwr established

подразумевается, что все остальное запрещено, ДНС сервер работает на самом рутере/прокси.
ну еще нужны дырки для того, чтобы bind ходил за запросами во внешний мир, получал ответы - но это уже к сквиду непосредственно не относится.

Вроде нигде не наврал, ну тут поправят, если что.

Boris Korenev · Гость

У меня на сервере FreeBSD 4.4 настроено так.

Конфигурация сети:

rl0 - внешний интерфейс
213.165.192.208/29 - внешняя сеть
213.165.192.211 - IP-адрес внешнего интерфейса

xl0 - внутренний интерфейс
192.168.1.0/24 - внутренняя сеть
192.168.1.202 - IP-адрес внутреннего интерфейса

Правило для Firewall:

---------------------------------
#!/bin/sh
# Firewall rules
#

fwcmd="/sbin/ipfw"

oif="rl0" #set to outside interface name
onwr="213.165.192.208/29" #set to outside network range
oip="213.165.192.211" #set to outside ip address

iif="xl0" #set to internal interface name
inwr="192.168.1.0/24" #set to internal network range
iip="192.168.1.202" #set to internal ip address

${fwcmd} -f flush

${fwcmd} add divert natd all from any to any via ${oif}

${fwcmd} add permit tcp from $iip to any 80
${fwcmd} add permit tcp from any 80 to $iip established

${fwcmd} add permit tcp from $inwr to $iip 3128
${fwcmd} add permit tcp from $iip 3128 to $inwr established

${fwcmd} add deny all from any to any
---------------------------------

После загрузки сервера выдается сообщение:

ns natd[117]: failed to write packet back (Permission denied)

Что я не так делаю?
Заранее спасибо. Борис.

	Список форумов Архив форумов ЦИТФорума -> Unix	Часовой пояс: GMT + 3
Страница 1 из 1