Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Szanowni forumowicze,
posiadam Squida v.2.7 stable. Serwer proxy pracuje w sieci 10.0.0.0/24 i ma jedną kartę sieciową eth0
i ruch www jest przekierowywany na niego regułką:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
i zapisane:
iptables-save
Squid skonfigurowany jest następująco:
acl all src all acl gopher proto gopher acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl lan src 10.0.0.0/24 # internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost # http_access allow lan http_access deny gopher http_access deny all # http_port 3128 transparent access_log /var/log/squid/access.log squid visible_hostname INTPROXY cache_dir ufs /var/spool/squid 800 16 256 cache_mem 512 MB
Jeśli w przeglądarka będzie skonfigurowana, żeby używała tegoż proxy to pojawiają się logi
gdy wydam komendę:
tail -f /var/log/squid/access.log
A jeśli przeglądarka nie używa proxy to w logach nic się nie zapisuje co wydaje się
że transparentne proxy nie działa.
Bardzo prosiłbym o jakieś wskazówki - co mogę jeszcze zrobić,
żeby transparentne proxy działało.
Pozdrawiam
Offline
[quote=pietrucha]Szanowni forumowicze,
posiadam Squida v.2.7 stable. Serwer proxy pracuje w sieci 10.0.0.0/24 i ma jedną kartę sieciową eth0
i ruch www jest przekierowywany na niego regułką:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
[/quote]
To znaczy że serwer proxy jest jednocześnie routerem? Jeśli tak, to regułka jest prawidłowa...
Jeśli nie - przeczytanie mana do iptables zanim się człowiek do roboty zabierze i zacznie głowę ludziom zawracać bywa dobrym pomysłem.
Offline
A masz port 3128 otwarty dla sieci wewnętrznej?
Offline
port 3128 jest otwarty.
gdy przegladarka ma ustawiane ten serwer jako proxy to zapisywane sa logi
z taka konfigurtacja squida jaka podalem.
Natomiast gdy przeladarka ma ustawione zeby nie korzystala z proxy, to mimo
skonfigurowania go jako transparentny logi nie sa zapisywane - czyli jak juz wsponialem w moim zapytaniu
transparentne proxy nie dziala.
serwer proxy pracuje w sieci 10.0.0.0/24 i ma adres 10.0.0.2 i nie jest routerem.
Moim zamyslem jest zeby ten serwer rejestrowal tylko strony jakie odwiedzaja pracownicy podczas gdy pracuja (ich stacje robocze tez sa w sieci 10.0.0.0/24).
Co do pomyslu przeczytania manuala iptables to wlasnie sobie go sciagnalem z netu i poczytam.
Ostatnio edytowany przez pietrucha (2010-08-04 22:17:31)
Offline
Skoro to nie jest router to IMO bez proxy ustawionego zapytania komputerów roboczych w ogóle nie docierają do serwera proxy. Bo i po co? One idą do o bramki komputera, routera czy czegoś innego udotępniającego internet
Offline
Thalcave,
Dzięki za podpowiedź.
Z tego co napisałeś wynika, że serwer proxy musi być także routerem aby zadziałało
proxy transparentne. Pierwszy raz stawiam proxy i opierałem się na gotowych rozwiązaniach z netu
modyfikując je do swoich potrzeb. Aby stacje robocze były pod kontrolą squida z włączoną opcją transparency
należy należy umieścić je w podsieci, dla której bramą byłby serwer proxy - takiego rozwiązania chciałem uniknąć.
Jeszcze raz dziękuję za pomoc i pozdrawiam.
Offline
[quote=pietrucha]Thalcave,
Dzięki za podpowiedź.
Z tego co napisałeś wynika, że serwer proxy musi być także routerem aby zadziałało...[/quote]
Nie musi byś ale na routerze musi być przekierowanie na proxy a nie na samym serwerze proxy.
Offline
Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.
Ale jest to cenna uwaga na przyszłość.
Ponieważ mam wolny router (nasz) wobec tego spróbuję go skonfigurować tak jak
mi podpowiedziałeś czyli przekierowanie na routerze na proxy.
Jeszcze raz dziękuję i pozdrawiam
Offline
[quote=pietrucha]Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.[/quote]
A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?
Naprawdę, man nie gryzie, a akurat ten od iptables jest bardzo czytelnie napisany i wszystko co trzeba w nim znajdziesz. A wystarczy zmienić tę regułkę na prawidłową (DNAT o ile pamiętam) aby ładnie przekierować cały ruch na proxy stojący na innej maszynie.
Zresztą - przeznaczenie oddzielnej maszyny (fizycznej) na serwer proxy jest chyba dobrym pomysłem. Można squidowi przydzielić ramu tyle ile trzeba (pamiętaj aby instalować 64-bitowy system, bo 32-bitowy squid i tak nie zobaczy więcej niż 2 GB). Można bawić się w tanie dyski na cache (w końcu cache to nie sa jakieś ważne dane, i w razie awarii nawet skasowanie całej zawartości nie jest specjalnie bolesne). Mozna skonfigurować cały system optymalnie pod squida - bo to będzie przecież praktycznie jedyna działająca aplikacja...
Offline
[quote=ethanak][quote=pietrucha]Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.[/quote]
A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?
Naprawdę, man nie gryzie, a akurat ten od iptables jest bardzo czytelnie napisany i wszystko co trzeba w nim znajdziesz. A wystarczy zmienić tę regułkę na prawidłową (DNAT o ile pamiętam) aby ładnie przekierować cały ruch na proxy stojący na innej maszynie.
Zresztą - przeznaczenie oddzielnej maszyny (fizycznej) na serwer proxy jest chyba dobrym pomysłem. Można squidowi przydzielić ramu tyle ile trzeba (pamiętaj aby instalować 64-bitowy system, bo 32-bitowy squid i tak nie zobaczy więcej niż 2 GB). Można bawić się w tanie dyski na cache (w końcu cache to nie sa jakieś ważne dane, i w razie awarii nawet skasowanie całej zawartości nie jest specjalnie bolesne). Mozna skonfigurować cały system optymalnie pod squida - bo to będzie przecież praktycznie jedyna działająca aplikacja...[/quote]
Ta magiczna regułka jest na serwerze PROXY a żeby zrobić całkowite transparentne proxy należy taką sztuczkę zrobić na routerze.
Opis przypadku jest wyżej.
Offline
[quote=djjanek][quote=ethanak][quote=pietrucha]Dzięki Dijanek,
niestety router nie jest naszą własnością - nie mamy możliwości administrowania nim.[/quote]
A ta magiczna (nieprawidłowa) linijka to się sama do routera dopisała?[/quote]
Ta magiczna regułka jest na serwerze PROXY a żeby zrobić całkowite transparentne proxy należy taką sztuczkę zrobić na routerze.[/quote]
A nie pomyślałeś o tym, że mogłeś równie dobrze napisać to na papierze toaletowym i wywiesić sołtysowi w oknie? Działałoby dokładnie tak samo...
Offline
Dziękuję wszystkim za udział w dyskusji.
Wszelkie uwagi uwzględniłem .
Na ich podstawie i na podstawie manuala skonfigurowałem sobie transparentne proxy
plus reguły iptables
także wszystko mi działa jak należy.
Jeszcze raz serdeczne dzięki. Temat uważam za zamknięty.
Pozdrawiam wszystkich uczestników dyskusji
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00136 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.113.79' WHERE u.id=1 |
0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.113.79', 1732596400) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1732596100 |
0.00036 | SELECT topic_id FROM punbb_posts WHERE id=153592 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=17355 ORDER BY posted |
0.00046 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17355 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00086 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17355 ORDER BY p.id LIMIT 0,25 |
0.00080 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17355 |
Total query time: 0.0053 s |