[Comm] непонятки со squid

[Comm] непонятки со squid

[Andrew Fefilov]

Добрый день, уважаемые.

Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
Squid настраивается на гейтовом ящике, который одним концом смотрит в
инет, а другим во внутренню локалку. Настраивается на обслуживание
запросов только из локальной сети.
Короче дело вот в этих строке из squid.conf :

udp_incoming_address 0.0.0.0

В коментариях конфига написано, что :

#    udp_incoming_address    is used for the ICP socket receiving
packets from other caches.

Так. Мне это не нужно. Поэтому устанавливаю:

icp_port 0

отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
Запускаю squid, затем netstat -pan --inet, вижу вот это:

udp        0      0 0.0.0.0:1027            0.0.0.0:*
1527/(squid)

Непонятно. Ладно, правлю squid.conf вот так:

udp_incoming_address 192.168.1.40

Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
резолвинг для squid, что делает его фактически неработоспособным.
Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?

-- 
С уважением,
Фефилов Андрей.

Re: [Comm] непонятки со squid

[Andrew Fefilov]

Прошу прощение за назойливость, но речь идет о безопасности гейта со
стороны гадкого и мерзкого интернета :)
Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это
мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться
сквидовых спецов, как они прикрывают этот udp порт (описано ниже).
Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что
за этим умеет следить сам сквид. Спасибо.

On Mon, Nov 17, 2003 at 04:24:30PM +0400, Andrew Fefilov wrote:
> Добрый день, уважаемые.
> 
> Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
> вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
> Squid настраивается на гейтовом ящике, который одним концом смотрит в
> инет, а другим во внутренню локалку. Настраивается на обслуживание
> запросов только из локальной сети.
> Короче дело вот в этих строке из squid.conf :
> 
> udp_incoming_address 0.0.0.0
> 
> В коментариях конфига написано, что :
> 
> #    udp_incoming_address    is used for the ICP socket receiving
> packets from other caches.
> 
> Так. Мне это не нужно. Поэтому устанавливаю:
> 
> icp_port 0
> 
> отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
> Запускаю squid, затем netstat -pan --inet, вижу вот это:
> 
> udp        0      0 0.0.0.0:1027            0.0.0.0:*
> 1527/(squid)
> 
> Непонятно. Ладно, правлю squid.conf вот так:
> 
> udp_incoming_address 192.168.1.40
> 
> Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
> Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
> резолвинг для squid, что делает его фактически неработоспособным.
> Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
> 0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
> чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?
> 
> -- 
> С уважением,
> Фефилов Андрей.
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

-- 
С уважением,
Фефилов Андрей.

Re: [Comm] непонятки со squid

[Shawkat Nizamov]

>
>
>Прошу прощение за назойливость, но речь идет о безопасности гейта со
>стороны гадкого и мерзкого интернета :)
>Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это
>мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться
>сквидовых спецов, как они прикрывают этот udp порт (описано ниже).
>Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что
>за этим умеет следить сам сквид. Спасибо.
>
>  
>
nmap -pU молчит как партизан насчет сквидового UDP. Может это исходящий 
UDP порт,
ведь он же не только принимает запросы от соседей но и выдает их ?

Re: [Comm] непонятки со squid

[Shawkat Nizamov]

> nmap -pU молчит как партизан насчет сквидового UDP. 


Упс

nmap -sU то есть

Re: [Comm] непонятки со squid

[Andrew Fefilov]

On Thu, Nov 20, 2003 at 12:35:27PM +0500, Shawkat Nizamov wrote:
> >
> >
> >Прошу прощение за назойливость, но речь идет о безопасности гейта со
> >стороны гадкого и мерзкого интернета :)
> >Я еще раз сегодня погуглил на эту тему, но ничего подобного не нашел. Это
> >мне говорит, что я чего то недопонимаю по сути. Еще раз прошу поделиться
> >сквидовых спецов, как они прикрывают этот udp порт (описано ниже).
> >Понятно, что можно закрыть iptables-ом, но, что-то мне подсказывает, что
> >за этим умеет следить сам сквид. Спасибо.
> >
> > 
> >
> nmap -pU молчит как партизан насчет сквидового UDP. Может это исходящий 
> UDP порт,
> ведь он же не только принимает запросы от соседей но и выдает их ?
Этот порт у меня висит именно на входящие пакетики. Это можно видеть из
приведенной мной строчке вывода netstat.
В описанной мной конфигурации нет соседей. Они мне не нужны. А вот, что у
Вас закрыт этот upd-порт, очень для меня интересно. Я так тоже хочу :)
Опишите, пожалуйста, вашу конфигурацию, т.е. Ваш squid стоит на гейтовом
серваке в инет, у которого один конец торчит в инет, а другой в Вашу
локалку? Это squid обслуживает только Вашу локалку? Используте ли для
Вашего squid dns-сервер провайдера или кэширующий, установленный у Вас?
(этот вопрос мне наиболее интересен).
Спасибо, за Ваш отклик.

-- 
С уважением,
Фефилов Андрей.

Re: [Comm] непонятки со squid

[Shawkat Nizamov]

>
>
>Этот порт у меня висит именно на входящие пакетики. Это можно видеть из
>приведенной мной строчке вывода netstat.
>
а что таки говорит nmap -sU ?

>В описанной мной конфигурации нет соседей. Они мне не нужны. 
>
У меня есть родительский прокси

>А вот, что у
>Вас закрыт этот upd-порт, очень для меня интересно. Я так тоже хочу :)
>Опишите, пожалуйста, вашу конфигурацию, т.е. Ваш squid стоит на гейтовом
>серваке в инет, у которого один конец торчит в инет, а другой в Вашу
>локалку?
>
Да. одна сетевуха в и-нет, другая в локалку

> Это squid обслуживает только Вашу локалку? 
>
Да.  В настройке сквида у меня стоит

http_port 172.16.0.2:3128

Таким образом на внешний интерфейс сквид даже не обращает внимания.

>Используте ли для
>Вашего squid dns-сервер провайдера или кэширующий, установленный у Вас?
>(этот вопрос мне наиболее интересен).
>
локальный кэширующий днс на 127.0.0.1

Re: [Comm] непонятки со squid

[Andrew Fefilov]

On Sat, Nov 22, 2003 at 12:44:14PM +0500, Shawkat Nizamov wrote:
> >
> >
> >Этот порт у меня висит именно на входящие пакетики. Это можно видеть из
> >приведенной мной строчке вывода netstat.
> >
> а что таки говорит nmap -sU ?
Тоже самое, что и netstat.
> 
> >В описанной мной конфигурации нет соседей. Они мне не нужны. 
> >
> У меня есть родительский прокси
У меня тоже, но это (как мне кажется фиолетово), ведь для родительского
прокси ребетенок выглядит обычным http-клиентом.
 
> >А вот, что у
> >Вас закрыт этот upd-порт, очень для меня интересно. Я так тоже хочу :)
> >Опишите, пожалуйста, вашу конфигурацию, т.е. Ваш squid стоит на гейтовом
> >серваке в инет, у которого один конец торчит в инет, а другой в Вашу
> >локалку?
> >
> Да. одна сетевуха в и-нет, другая в локалку
> 
> >Это squid обслуживает только Вашу локалку? 
> >
> Да.  В настройке сквида у меня стоит
> 
> http_port 172.16.0.2:3128
Тут также, не об этом речь.
 
> Таким образом на внешний интерфейс сквид даже не обращает внимания.
> 
> >Используте ли для
> >Вашего squid dns-сервер провайдера или кэширующий, установленный у Вас?
> >(этот вопрос мне наиболее интересен).
> >
> локальный кэширующий днс на 127.0.0.1
Вот это, мне кажется, может решить мою проблему. Но сейчас проверить не
могу. Потому как эта проблемная установка от меня сейчас далече. Но
разобраться все равно надо. Тем более, что в такой конфигурации на М2.0
работало так, как мне надо.

Не могли бы Вы уточнить свои дистрибутив, версию сквида (откуда поставлен)
и вот эти параметры из конфигурации сквида:
udp_incoming_address
icp_port

Спасибо.

-- 
С уважением,
Фефилов Андрей.