ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] squid
@ 2003-12-19 10:09 Alexey Morsov
  2003-12-19 10:13 ` Lee Oleg V.
  2003-12-19 10:15 ` [Comm] squid Mike Lykov
  0 siblings, 2 replies; 11+ messages in thread
From: Alexey Morsov @ 2003-12-19 10:09 UTC (permalink / raw)
  To: community

Привет,

Воросик такой есть - если проксирование через сквид настроено 
непрозрачно (т.е. указано напрямую) то пакеты через сквид 
прошедшие имеют где-то в себе (в ip адресах скажем) указание на 
то  чято они прошли через сквид.

Просто хочеться настроить маршрутизатор так чтобы http, ftp 
траффик не прошедший сквид обрубался...


^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 10:09 [Comm] squid Alexey Morsov
@ 2003-12-19 10:13 ` Lee Oleg V.
  2003-12-19 10:53   ` [Comm] squid Vitaly Ostanin
  2003-12-19 10:15 ` [Comm] squid Mike Lykov
  1 sibling, 1 reply; 11+ messages in thread
From: Lee Oleg V. @ 2003-12-19 10:13 UTC (permalink / raw)
  To: community

On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote:
> Привет,
> 
> Воросик такой есть - если проксирование через сквид настроено 
> непрозрачно (т.е. указано напрямую) то пакеты через сквид 
> прошедшие имеют где-то в себе (в ip адресах скажем) указание на 
> то  чято они прошли через сквид.

нет, насколько я знаю, сквид не умеет метить пакеты - если хотите
ставить на них метки, воспользуйтесь iptables MARK


> Просто хочеться настроить маршрутизатор так чтобы http, ftp 
> траффик не прошедший сквид обрубался...

а как этот трафик может получиться? Что то не совсем понятно, если людям
жестко указано, ходить через такой то порт, такого то хоста, как в сети
может появиться какой либо трафик, идущий мимо сквида? Сформулируйте
более подробно

> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 10:09 [Comm] squid Alexey Morsov
  2003-12-19 10:13 ` Lee Oleg V.
@ 2003-12-19 10:15 ` Mike Lykov
  2003-12-19 11:13   ` Alexey Morsov
  1 sibling, 1 reply; 11+ messages in thread
From: Mike Lykov @ 2003-12-19 10:15 UTC (permalink / raw)
  To: community

В сообщении от Пятница 19 Декабрь 2003 14:09 Alexey Morsov написал:

> Воросик такой есть - если проксирование через сквид настроено
> непрозрачно (т.е. указано напрямую) то пакеты через сквид
> прошедшие имеют где-то в себе (в ip адресах скажем) указание на
> то  чято они прошли через сквид.

не в ip-пакетах, а в заголовках http

x-forwarding-for & via

> Просто хочеться настроить маршрутизатор так чтобы http, ftp
> траффик не прошедший сквид обрубался...

не понятно

-- 
Mike


^ permalink raw reply	[flat|nested] 11+ messages in thread
* [Comm] Re: squid
  2003-12-19 10:13 ` Lee Oleg V.
@ 2003-12-19 10:53   ` Vitaly Ostanin
  2003-12-19 11:12     ` Mike Lykov
  2003-12-19 20:32     ` Dmitry Lebkov
  0 siblings, 2 replies; 11+ messages in thread
From: Vitaly Ostanin @ 2003-12-19 10:53 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1400 bytes --]

On Fri, 19 Dec 2003 13:13:32 +0300
"Lee Oleg V." <olgerd@dezcom.mephi.ru> wrote:

> On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote:
> > Привет,
> > 
> > Воросик такой есть - если проксирование через сквид настроено
> > непрозрачно (т.е. указано напрямую) то пакеты через сквид 
> > прошедшие имеют где-то в себе (в ip адресах скажем) указание
> > на то  чято они прошли через сквид.
> 
> нет, насколько я знаю, сквид не умеет метить пакеты - если
> хотите ставить на них метки, воспользуйтесь iptables MARK
> 
> 
> > Просто хочеться настроить маршрутизатор так чтобы http, ftp 
> > траффик не прошедший сквид обрубался...
> 
> а как этот трафик может получиться? Что то не совсем понятно,
> если людям жестко указано, ходить через такой то порт, такого
> то хоста, как в сети может появиться какой либо трафик, идущий
> мимо сквида? Сформулируйте более подробно

Допустим, пользователи получают доступ на модемный пул cisco,
пользуются pop3, imap, icq, http, ftp и т.п. через маскарад на
шлюзе.

При этом http и ftp можно пользоваться через squid на шлюзе.

Вопрос, видимо, такой:

Как принудительно заставить пользоваться http/ftp через squid, а
не через маскарадинг, не занимаясь эвристикой с отрезанием портов
в iptables ?

Пока формулировал, понял, что скорее всего никак :)

<skipped/>

-- 
Regards, Vyt
mailto:  vyt@vzljot.ru
JID:     vyt@vzljot.ru

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] Re: squid
  2003-12-19 10:53   ` [Comm] squid Vitaly Ostanin
@ 2003-12-19 11:12     ` Mike Lykov
  2003-12-19 20:32     ` Dmitry Lebkov
  1 sibling, 0 replies; 11+ messages in thread
From: Mike Lykov @ 2003-12-19 11:12 UTC (permalink / raw)
  To: community

В сообщении от Пятница 19 Декабрь 2003 14:53 Vitaly Ostanin написал:

> Как принудительно заставить пользоваться http/ftp через squid, а
> не через маскарадинг, не занимаясь эвристикой с отрезанием портов
> в iptables ?
> Пока формулировал, понял, что скорее всего никак :)

скорее это надо сделать, как раз занимаясь эвристикой

-- 
Mike


^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 10:15 ` [Comm] squid Mike Lykov
@ 2003-12-19 11:13   ` Alexey Morsov
  2003-12-19 11:18     ` Lee Oleg V.
  2003-12-19 11:55     ` Maxim.Savrilov
  0 siblings, 2 replies; 11+ messages in thread
From: Alexey Morsov @ 2003-12-19 11:13 UTC (permalink / raw)
  To: community



Mike Lykov wrote:

> В сообщении от Пятница 19 Декабрь 2003 14:09 Alexey Morsov написал:
> 
> 
>>Воросик такой есть - если проксирование через сквид настроено
>>непрозрачно (т.е. указано напрямую) то пакеты через сквид
>>прошедшие имеют где-то в себе (в ip адресах скажем) указание на
>>то  чято они прошли через сквид.
> 
> 
> не в ip-пакетах, а в заголовках http
> 
> x-forwarding-for & via
> 
> 
>>Просто хочеться настроить маршрутизатор так чтобы http, ftp
>>траффик не прошедший сквид обрубался...
> 
> 
> не понятно
> 

Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 
2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в 
инет тока через сквид)

Насколько я понимаю, на одной машинке это реализовать нельзя? Или 
можно? И вообще тут где-то проскакивало что на маршрутизаторе не 
стоит ставить ничего кроме собственно системы


^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 11:13   ` Alexey Morsov
@ 2003-12-19 11:18     ` Lee Oleg V.
  2003-12-19 11:29       ` Alexey Morsov
  2003-12-19 11:55     ` Maxim.Savrilov
  1 sibling, 1 reply; 11+ messages in thread
From: Lee Oleg V. @ 2003-12-19 11:18 UTC (permalink / raw)
  To: community

On Птн, 2003-12-19 at 14:13, Alexey Morsov wrote:

> Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 
> 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в 
> инет тока через сквид)

А опчему транспарент прокси не подходит?


> Насколько я понимаю, на одной машинке это реализовать нельзя? 

ну почему же нельзя

> Или 
> можно? И вообще тут где-то проскакивало что на маршрутизаторе не 
> стоит ставить ничего кроме собственно системы

вопрос вкуса. При грамотно настроенном iptables ничего страшного не
будет. (Если конечно через сквид не будут лезть одновременно 50000
пользователей)

> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 11:18     ` Lee Oleg V.
@ 2003-12-19 11:29       ` Alexey Morsov
  0 siblings, 0 replies; 11+ messages in thread
From: Alexey Morsov @ 2003-12-19 11:29 UTC (permalink / raw)
  To: community



Lee Oleg V. wrote:

> On Птн, 2003-12-19 at 14:13, Alexey Morsov wrote:
> 
> 
>>Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 
>>2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в 
>>инет тока через сквид)
> 
> 
> А опчему транспарент прокси не подходит?
потомучто на сколько я знаю transparent кэширует в другую сторону
> 
> 
> 
>>Насколько я понимаю, на одной машинке это реализовать нельзя? 
> 
> 
> ну почему же нельзя
> 
> 
>>Или 
>>можно? И вообще тут где-то проскакивало что на маршрутизаторе не 
>>стоит ставить ничего кроме собственно системы
> 
> 
> вопрос вкуса. При грамотно настроенном iptables ничего страшного не
> будет. (Если конечно через сквид не будут лезть одновременно 50000
> пользователей)
> 
> 
>>_______________________________________________
>>Community mailing list
>>Community@altlinux.ru
>>http://www.altlinux.ru/mailman/listinfo/community
>>
>>
>>------------------------------------------------------------------------
>>
>>_______________________________________________
>>Community mailing list
>>Community@altlinux.ru
>>http://www.altlinux.ru/mailman/listinfo/community


^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 11:13   ` Alexey Morsov
  2003-12-19 11:18     ` Lee Oleg V.
@ 2003-12-19 11:55     ` Maxim.Savrilov
  2003-12-19 12:18       ` Kolya Grechukh
  1 sibling, 1 reply; 11+ messages in thread
From: Maxim.Savrilov @ 2003-12-19 11:55 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1067 bytes --]

On Fri, 19 Dec 2003 14:13:20 +0300
Alexey Morsov <samurai@ricom.ru> wrote:

> 
> Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 
> 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в 
> инет тока через сквид)
> 
> Насколько я понимаю, на одной машинке это реализовать нельзя? Или 
> можно? И вообще тут где-то проскакивало что на маршрутизаторе не 
> стоит ставить ничего кроме собственно системы

Нельзя, но если хочется, то можно. Предположим, что кроме http все отрубается.
Если на одной машине и шлюз и прокси, то рубим все порты, открываем только прокси для внутр. сетки
и http с нее наружу
Если разные, то
1. прокси внутри - не рекомендуется, рубим на шлюзе весь http кроме того, что идет с прокси
придется защищаться от подмены ip/arp
2. прокси в ДМЗ. На шлюзе рубим все, кроме запросов на прокси по "проксячьему" порту

пардон за сумбурность, мотаю на выходные!
Всем удачно отдохнуть и подготовиться к решительному штурму предпраздничной недели!!!

-- 
Немой мальчик жестами объяснил, что его зовут Хуан.

[-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --]

^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] squid
  2003-12-19 11:55     ` Maxim.Savrilov
@ 2003-12-19 12:18       ` Kolya Grechukh
  0 siblings, 0 replies; 11+ messages in thread
From: Kolya Grechukh @ 2003-12-19 12:18 UTC (permalink / raw)
  To: community

at Пятница 19 Декабрь 2003 13:55 Maxim.Savrilov@socenter.ru wrote:
> On Fri, 19 Dec 2003 14:13:20 +0300
>
> Alexey Morsov <samurai@ricom.ru> wrote:
> > Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy
> > 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в
> > инет тока через сквид)
> >
> > Насколько я понимаю, на одной машинке это реализовать нельзя? Или
> > можно? И вообще тут где-то проскакивало что на маршрутизаторе не
> > стоит ставить ничего кроме собственно системы
>
> Нельзя, но если хочется, то можно. Предположим, что кроме http все
> отрубается. Если на одной машине и шлюз и прокси, то рубим все порты,
> открываем только прокси для внутр. сетки и http с нее наружу
> Если разные, то
> 1. прокси внутри - не рекомендуется, рубим на шлюзе весь http кроме того,
> что идет с прокси придется защищаться от подмены ip/arp
> 2. прокси в ДМЗ. На шлюзе рубим все, кроме запросов на прокси по
> "проксячьему" порту

что такое дмз?
я чего то не знаю?

> пардон за сумбурность, мотаю на выходные!
> Всем удачно отдохнуть и подготовиться к решительному штурму предпраздничной
> недели!!!

-- 
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.

^ permalink raw reply	[flat|nested] 11+ messages in thread
* Re: [Comm] Re: squid
  2003-12-19 10:53   ` [Comm] squid Vitaly Ostanin
  2003-12-19 11:12     ` Mike Lykov
@ 2003-12-19 20:32     ` Dmitry Lebkov
  1 sibling, 0 replies; 11+ messages in thread
From: Dmitry Lebkov @ 2003-12-19 20:32 UTC (permalink / raw)
  To: community

On Fri, 19 Dec 2003 13:53:01 +0300
Vitaly Ostanin <vyt@vzljot.ru> wrote:

> On Fri, 19 Dec 2003 13:13:32 +0300
> "Lee Oleg V." <olgerd@dezcom.mephi.ru> wrote:
> 
> > On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote:
> > > Привет,
> > > 
> > > Воросик такой есть - если проксирование через сквид настроено
> > > непрозрачно (т.е. указано напрямую) то пакеты через сквид 
> > > прошедшие имеют где-то в себе (в ip адресах скажем) указание
> > > на то  чято они прошли через сквид.
> > 
> > нет, насколько я знаю, сквид не умеет метить пакеты - если
> > хотите ставить на них метки, воспользуйтесь iptables MARK
> > 
> > 
> > > Просто хочеться настроить маршрутизатор так чтобы http, ftp 
> > > траффик не прошедший сквид обрубался...
> > 
> > а как этот трафик может получиться? Что то не совсем понятно,
> > если людям жестко указано, ходить через такой то порт, такого
> > то хоста, как в сети может появиться какой либо трафик, идущий
> > мимо сквида? Сформулируйте более подробно
> 
> Допустим, пользователи получают доступ на модемный пул cisco,
> пользуются pop3, imap, icq, http, ftp и т.п. через маскарад на
> шлюзе.
> 
> При этом http и ftp можно пользоваться через squid на шлюзе.
> 
> Вопрос, видимо, такой:
> 
> Как принудительно заставить пользоваться http/ftp через squid, а
> не через маскарадинг, не занимаясь эвристикой с отрезанием портов
> в iptables ?
> 
> Пока формулировал, понял, что скорее всего никак :)

Не, есть путь. Гуглить цискин сайт и сайи сквида на предмет
заветных слов WCCP и WCCP2. Второе сквид вроде не умел (хотя
возможно сейчас уже умеет), а вот Oops точно это умел делать ;)

--
WBR, Dmitry Lebkov


^ permalink raw reply	[flat|nested] 11+ messages in thread
end of thread, other threads:[~2003-12-19 20:32 UTC | newest]

Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-12-19 10:09 [Comm] squid Alexey Morsov
2003-12-19 10:13 ` Lee Oleg V.
2003-12-19 10:53   ` [Comm] squid Vitaly Ostanin
2003-12-19 11:12     ` Mike Lykov
2003-12-19 20:32     ` Dmitry Lebkov
2003-12-19 10:15 ` [Comm] squid Mike Lykov
2003-12-19 11:13   ` Alexey Morsov
2003-12-19 11:18     ` Lee Oleg V.
2003-12-19 11:29       ` Alexey Morsov
2003-12-19 11:55     ` Maxim.Savrilov
2003-12-19 12:18       ` Kolya Grechukh

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git