| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Patric
Зарегистрирован: 05.02.2004
Сообщения: 30
|
 Добавлено: Пт Июн 25 2004 12:03 Заголовок сообщения: Squid |
 |
|
Решил со Squid разобраться, но как обычно самрстоятельно ничего не получается.
В общем сделано вроде все как написано в теории, и вроде то поверхностно Squid на шлюзе работает, но дальше не понимаю.
Клиент через шлюз к Internet подключение имеют, но реального наполнения кеша не вижу (если я правильно рассуждаю, то это /usr/local/squid/cache), дальше, хочу увидеть работу правил,но это тоже не работает (acl all src 0.0.0.0/0.0.0.0
http_access deny all), то есть клиент как входил в сеть, так и продолжает.
Вот вроде и все. |
|
| Вернуться к началу |
|
 |
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Сб Июн 26 2004 13:54 Заголовок сообщения: |
|
|
А шлюз у тебя в инет клиентов по всем портам пускает?
Если да, то значит типа FireWall не настроил - и броузер твой ходит в инет по умолчанию , то есть как положено - сначала udp/53, затем tcp/80.
Ты бы запретил на шлюзе все что не является портом за номером 3128 или 8080 в зависимости от того на каком порту слушает твой прокси-сервер. А на клиенте прописал бы ip/порт твоего прокси-сервера.
Ты меня понимаешь?
| Patric писал(а): | | ...и вроде то поверхностно Squid на шлюзе работает... |
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вс Июн 27 2004 01:32 Заголовок сообщения: Re: Squid |
|
|
Сначала надо настроить браузер для работы со Squid. IE: Св-ва обосревателя, Подключение, настройка LAN, Proxy.
Лично я запрещаю раб.станциям доступ наружу по всем портам, кроме POP3 и IMAP4, а к моему серверу разрешаю по всем портам (он у меня и как шлюз с маскарадингом, и как сервер).
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вс Июн 27 2004 11:08 Заголовок сообщения: |
|
|
2D.K
У меня тож самое если под сервером ты имеешь ввиду прокси-сервер.
А Samba стоит на нем?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Вс Июн 27 2004 13:59 Заголовок сообщения: |
|
|
| TechNoir писал(а): | | А Samba стоит на нем? |
Да, конечно - должны же юзеры заливать HTML-страницы на сайт. Но порты 136-139 на внешнем интерфейсе прикрыты правилами ipfw.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
Patric
Зарегистрирован: 05.02.2004
Сообщения: 30
|
| Добавлено: Пн Июн 28 2004 07:16 Заголовок сообщения: |
|
|
| И правда, на клиенте Proxy настроен не был, но теперь браузер пишет, что в доступе отказано. Может это с VPN связано, правда стоит не на тестируемом шлюзе |
|
| Вернуться к началу |
|
|
Гость
|
| Добавлено: Пн Июн 28 2004 07:57 Заголовок сообщения: |
|
|
Все, большое спасибо разобрался  |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Июн 28 2004 09:53 Заголовок сообщения: |
|
|
| Dmitry.Karpov писал(а): |
Да, конечно - должны же юзеры заливать HTML-страницы на сайт. Но порты 136-139 на внешнем интерфейсе прикрыты правилами ipfw. |
Я думал это обычно делают по ftp.
Так что, на шлюзе/прокси еще и web-сервер имеется? Не тяжко машине?
У меня настолько непробиваем сервак снаружи (перестраховался) что все порты закрыты, подумываю даже icmp прикрыть. Мнительный очень 
Так говоришь по Samb'е заливаешь. Буду думать эту мысль!
P.S. Мне кажется что ты чаще тусуешься на других форумах. Ты куда пропадаешь?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Patric
Зарегистрирован: 05.02.2004
Сообщения: 30
|
| Добавлено: Пн Июн 28 2004 10:47 Заголовок сообщения: |
|
|
Вернусь все-таки к выше сказанному, но теперь проблема стоит по другому. В proxy есть листы доступа - ACL. Я могу с помощью этих правил одним разрешить доступ в интернет, другим запретить, если я правильно рассуждаю, то кроме обычного минимума, который есть в squid.conf довавляем 1 acl chainik src 192.168.1.7 (это предположим клиент, который хочет пользоваться Proxy и интернетом, то есть я  ) и второе правило : 2 http_access deny chainik. Если все правильно, то клиент под адресом 192.168.1.7 не может выйти в интернет, но почему он выходит? |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Июн 28 2004 11:03 Заголовок сообщения: |
|
|
Тут важна последовательность. Если у тебя раньше стояло разрешить всем все , то до твоего запрета дело не дойдет
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Пн Июн 28 2004 13:10 Заголовок сообщения: |
|
|
| TechNoir писал(а): | Я думал, это обычно делают по ftp.
Так говоришь по Samb'е заливаешь. Буду думать эту мысль! |
Исток всех проблем - в прокладке между стулом и клавиатурой. :)
Если ты приучил юзеров работать с FTP - ничего не меняй. А наши привыкли использовать сетевые shares как собственные - я не возражаю.
| TechNoir писал(а): | | Так что, на шлюзе/прокси еще и web-сервер имеется? Не тяжко машине? |
При таком количестве запросов не м.б. тяжко.
| TechNoir писал(а): | | P.S. Мне кажется что ты чаще тусуешься на других форумах. Ты куда пропадаешь? :) |
http://www.opennet.ru
http://forum.exler.ru
Локальный районный форум VeerNet, доступный только изнутри районной сетИ.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Июн 28 2004 15:17 Заголовок сообщения: |
|
|
Cпасибо за разъяснения.
IMHO - по FTP - это универсальный вариант. Типа если сайт и клиент на удалении друг от друга.
У тебя все локалке. Ну и OK!
P.S. D.K,а ты пиво пьешь?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
