Архив форумов ЦИТФорума

[Valera]

Настраиваю прозрачный прокси на FreeBSD.
В сквиде пишу:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

И пишу правило для ipfw:
ipfw add 600 fwd 10.0.0.1,3128 tcp from 10.0.0.0/8 to any 80

И получается ерунда полная. В правило попадаю, попадаю в прокси, но попадаю не на те сайты, на которые я пишу урл-ы. Убиваю это правило, ставлю просто галочку "использовать прокси" в эксплорере и чудеса пропадают - я хожу на те сайты, на которые ввел урл.

Кто что скажет?

[Dmitry.Karpov http://www.]

Вроде, в Squid по умолчанию нет опций для поддержки прозрачного проксирования. Хотя я не уверен - смотри доки.

И еще: отменять правило, вроде, не надо - достаточно ставить галочку.

А как связаны запрашиваемый URL и получаемый сайт? Есть корреляции?

[Valera]

Может и стоит его переставить, не знаю. Уж больно он странно себя ведет.

Корреляция есть. Вот например, запрашиваю сайт uasport.net, а получаю korrespondent.net. Оба эти сайта - проекты однй компании. Аналогичная ситуация: forum.21.ru набираю, а получаю voices.ru. Эти оба проекта ведет один человек и хостятся они в одной компании - masterhost.ru

Но есть сайты, на которые мне _на русском_ выдает: "Эта страница не найдена", хотя на самом деле она при обычном (в эксплорере) включении прокси сервера находится успешно.

А вот насчет правил я ниччего не знаю, пытаюсь вычитывать по чуть-чуть. Если есть ссылки, где можно почитать - пожалуйста.

[Dmitry.Karpov http://www.]

Squid неправильно обрабатывает запросы к Name-based виртуальным сайтам. Проверь через ping, действительно ли сайты uasport.net и korrespondent.net живут на одном IP-адресе - если да, то проверь сайты rhk.ru autonavigator.ru ababasoft.com absolut.msk.ru ag.msk.ru antee.com bgates.ru biniton.ru cash-mn.com domains.com domains.ru easy-mn.com electric.msk.ru globalpanorama.ru investor.msk.ru kascad-radio.ru kuv.msk.su metall.msk.ru msk.msk.ru net3.org panoramaconsult.ru poseydonia.ru present.msk.ru putevoditel.msk.ru salebanners.ru semenatrav.org.ua - они все на одном IP-адресе.
Следующая итерация должна начаться с чтения док на http://squid.opennet.ru

[Valera]

uasport.net и korrespondent.net живут на одном IP-адресе

http://squid.opennet.ru/ у меня в избранном и я его частенько почитываю. Буду искать на предмет Name-based.
Если я правильно тебя понял..

[Dmitry.Karpov http://www.]

Как видишь, я угадал механизм возникновения проблемы (кстати, в следующий раз постарайся сам проанализировать проблему на коррелиции). Но из того, что проблема связана с Name-based сайтами, не следует, что описание устранения проблемы будет содержать слово "Name-based".

Есть еще одно соображение на эту тему:
существуют WWW-сатй, живущие на других портах (например, Тутубалин рекомендует порты :810x) - в этом плане явное прописывание Proxy-сервера в браузере будет работать эффективнее. Для этого достаточно через ipfw запретить дасуп наружу по порту :80 - юзеры сами пропишут Proxy-сервер, а кто не пропишет, тот сам себе злобный баклан!

[Valera]

Есть люди, которых не заставишь это сделать, а если запереть порт, то пожалуются шефу и будет очень не хорошо. Так, что это политический вопрос скорее..

А корректно все порты нельзя завернуть?

[Dmitry.Karpov http://www.]

На любом порту может жить любой сервис, так что прозрачный Proxy заведомо некорректен, но используется, т.к. эффективен. Но все-таки лучше приписать Proxy-сервер явно.

Что касается политики:
Объясни шефу, что работа через Proxy необходима ради безопасности - порносайты, вирусы и т.п., да и экономия трафика; против такого аргумента никто не решится возражать.
Еще можно не запирать порт, а организовать на нем delay pool средствами ipfw; а на жалобы юзеров объяснить, что через Proxy быстрее.