From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 17 Nov 2003 16:24:30 +0400 From: Andrew Fefilov To: community@altlinux.ru Message-ID: <20031117122430.GL3339@faa.lan.blok-caf.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit Subject: [Comm] =?koi8-r?b?zsXQz87R1MvJINPP?= squid X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 17 Nov 2003 12:25:58 -0000 Archived-At: List-Archive: List-Post: Добрый день, уважаемые. Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня вопросы, которые сам разрешить не смог и которых не было во времена М2.0. Squid настраивается на гейтовом ящике, который одним концом смотрит в инет, а другим во внутренню локалку. Настраивается на обслуживание запросов только из локальной сети. Короче дело вот в этих строке из squid.conf : udp_incoming_address 0.0.0.0 В коментариях конфига написано, что : # udp_incoming_address is used for the ICP socket receiving packets from other caches. Так. Мне это не нужно. Поэтому устанавливаю: icp_port 0 отрывая тем самым, как мне кажется, вообще возможность общаться по ICP. Запускаю squid, затем netstat -pan --inet, вижу вот это: udp 0 0 0.0.0.0:1027 0.0.0.0:* 1527/(squid) Непонятно. Ладно, правлю squid.conf вот так: udp_incoming_address 192.168.1.40 Т.е. заставляю слушать udp на внутреннем интерфейсе локалки. Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный резолвинг для squid, что делает его фактически неработоспособным. Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address 0.0.0.0" с точки зрения безопасности? И почему, собственно, для того, чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт? -- С уважением, Фефилов Андрей.