* [Comm] squid @ 2003-12-19 10:09 Alexey Morsov 2003-12-19 10:13 ` Lee Oleg V. 2003-12-19 10:15 ` [Comm] squid Mike Lykov 0 siblings, 2 replies; 11+ messages in thread From: Alexey Morsov @ 2003-12-19 10:09 UTC (permalink / raw) To: community Привет, Воросик такой есть - если проксирование через сквид настроено непрозрачно (т.е. указано напрямую) то пакеты через сквид прошедшие имеют где-то в себе (в ip адресах скажем) указание на то чято они прошли через сквид. Просто хочеться настроить маршрутизатор так чтобы http, ftp траффик не прошедший сквид обрубался... ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 10:09 [Comm] squid Alexey Morsov @ 2003-12-19 10:13 ` Lee Oleg V. 2003-12-19 10:53 ` [Comm] squid Vitaly Ostanin 2003-12-19 10:15 ` [Comm] squid Mike Lykov 1 sibling, 1 reply; 11+ messages in thread From: Lee Oleg V. @ 2003-12-19 10:13 UTC (permalink / raw) To: community On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote: > Привет, > > Воросик такой есть - если проксирование через сквид настроено > непрозрачно (т.е. указано напрямую) то пакеты через сквид > прошедшие имеют где-то в себе (в ip адресах скажем) указание на > то чято они прошли через сквид. нет, насколько я знаю, сквид не умеет метить пакеты - если хотите ставить на них метки, воспользуйтесь iptables MARK > Просто хочеться настроить маршрутизатор так чтобы http, ftp > траффик не прошедший сквид обрубался... а как этот трафик может получиться? Что то не совсем понятно, если людям жестко указано, ходить через такой то порт, такого то хоста, как в сети может появиться какой либо трафик, идущий мимо сквида? Сформулируйте более подробно > _______________________________________________ > Community mailing list > Community@altlinux.ru > http://www.altlinux.ru/mailman/listinfo/community ^ permalink raw reply [flat|nested] 11+ messages in thread
* [Comm] Re: squid 2003-12-19 10:13 ` Lee Oleg V. @ 2003-12-19 10:53 ` Vitaly Ostanin 2003-12-19 11:12 ` Mike Lykov 2003-12-19 20:32 ` Dmitry Lebkov 0 siblings, 2 replies; 11+ messages in thread From: Vitaly Ostanin @ 2003-12-19 10:53 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1400 bytes --] On Fri, 19 Dec 2003 13:13:32 +0300 "Lee Oleg V." <olgerd@dezcom.mephi.ru> wrote: > On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote: > > Привет, > > > > Воросик такой есть - если проксирование через сквид настроено > > непрозрачно (т.е. указано напрямую) то пакеты через сквид > > прошедшие имеют где-то в себе (в ip адресах скажем) указание > > на то чято они прошли через сквид. > > нет, насколько я знаю, сквид не умеет метить пакеты - если > хотите ставить на них метки, воспользуйтесь iptables MARK > > > > Просто хочеться настроить маршрутизатор так чтобы http, ftp > > траффик не прошедший сквид обрубался... > > а как этот трафик может получиться? Что то не совсем понятно, > если людям жестко указано, ходить через такой то порт, такого > то хоста, как в сети может появиться какой либо трафик, идущий > мимо сквида? Сформулируйте более подробно Допустим, пользователи получают доступ на модемный пул cisco, пользуются pop3, imap, icq, http, ftp и т.п. через маскарад на шлюзе. При этом http и ftp можно пользоваться через squid на шлюзе. Вопрос, видимо, такой: Как принудительно заставить пользоваться http/ftp через squid, а не через маскарадинг, не занимаясь эвристикой с отрезанием портов в iptables ? Пока формулировал, понял, что скорее всего никак :) <skipped/> -- Regards, Vyt mailto: vyt@vzljot.ru JID: vyt@vzljot.ru [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Re: squid 2003-12-19 10:53 ` [Comm] squid Vitaly Ostanin @ 2003-12-19 11:12 ` Mike Lykov 2003-12-19 20:32 ` Dmitry Lebkov 1 sibling, 0 replies; 11+ messages in thread From: Mike Lykov @ 2003-12-19 11:12 UTC (permalink / raw) To: community В сообщении от Пятница 19 Декабрь 2003 14:53 Vitaly Ostanin написал: > Как принудительно заставить пользоваться http/ftp через squid, а > не через маскарадинг, не занимаясь эвристикой с отрезанием портов > в iptables ? > Пока формулировал, понял, что скорее всего никак :) скорее это надо сделать, как раз занимаясь эвристикой -- Mike ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] Re: squid 2003-12-19 10:53 ` [Comm] squid Vitaly Ostanin 2003-12-19 11:12 ` Mike Lykov @ 2003-12-19 20:32 ` Dmitry Lebkov 1 sibling, 0 replies; 11+ messages in thread From: Dmitry Lebkov @ 2003-12-19 20:32 UTC (permalink / raw) To: community On Fri, 19 Dec 2003 13:53:01 +0300 Vitaly Ostanin <vyt@vzljot.ru> wrote: > On Fri, 19 Dec 2003 13:13:32 +0300 > "Lee Oleg V." <olgerd@dezcom.mephi.ru> wrote: > > > On Птн, 2003-12-19 at 13:09, Alexey Morsov wrote: > > > Привет, > > > > > > Воросик такой есть - если проксирование через сквид настроено > > > непрозрачно (т.е. указано напрямую) то пакеты через сквид > > > прошедшие имеют где-то в себе (в ip адресах скажем) указание > > > на то чято они прошли через сквид. > > > > нет, насколько я знаю, сквид не умеет метить пакеты - если > > хотите ставить на них метки, воспользуйтесь iptables MARK > > > > > > > Просто хочеться настроить маршрутизатор так чтобы http, ftp > > > траффик не прошедший сквид обрубался... > > > > а как этот трафик может получиться? Что то не совсем понятно, > > если людям жестко указано, ходить через такой то порт, такого > > то хоста, как в сети может появиться какой либо трафик, идущий > > мимо сквида? Сформулируйте более подробно > > Допустим, пользователи получают доступ на модемный пул cisco, > пользуются pop3, imap, icq, http, ftp и т.п. через маскарад на > шлюзе. > > При этом http и ftp можно пользоваться через squid на шлюзе. > > Вопрос, видимо, такой: > > Как принудительно заставить пользоваться http/ftp через squid, а > не через маскарадинг, не занимаясь эвристикой с отрезанием портов > в iptables ? > > Пока формулировал, понял, что скорее всего никак :) Не, есть путь. Гуглить цискин сайт и сайи сквида на предмет заветных слов WCCP и WCCP2. Второе сквид вроде не умел (хотя возможно сейчас уже умеет), а вот Oops точно это умел делать ;) -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 10:09 [Comm] squid Alexey Morsov 2003-12-19 10:13 ` Lee Oleg V. @ 2003-12-19 10:15 ` Mike Lykov 2003-12-19 11:13 ` Alexey Morsov 1 sibling, 1 reply; 11+ messages in thread From: Mike Lykov @ 2003-12-19 10:15 UTC (permalink / raw) To: community В сообщении от Пятница 19 Декабрь 2003 14:09 Alexey Morsov написал: > Воросик такой есть - если проксирование через сквид настроено > непрозрачно (т.е. указано напрямую) то пакеты через сквид > прошедшие имеют где-то в себе (в ip адресах скажем) указание на > то чято они прошли через сквид. не в ip-пакетах, а в заголовках http x-forwarding-for & via > Просто хочеться настроить маршрутизатор так чтобы http, ftp > траффик не прошедший сквид обрубался... не понятно -- Mike ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 10:15 ` [Comm] squid Mike Lykov @ 2003-12-19 11:13 ` Alexey Morsov 2003-12-19 11:18 ` Lee Oleg V. 2003-12-19 11:55 ` Maxim.Savrilov 0 siblings, 2 replies; 11+ messages in thread From: Alexey Morsov @ 2003-12-19 11:13 UTC (permalink / raw) To: community Mike Lykov wrote: > В сообщении от Пятница 19 Декабрь 2003 14:09 Alexey Morsov написал: > > >>Воросик такой есть - если проксирование через сквид настроено >>непрозрачно (т.е. указано напрямую) то пакеты через сквид >>прошедшие имеют где-то в себе (в ip адресах скажем) указание на >>то чято они прошли через сквид. > > > не в ip-пакетах, а в заголовках http > > x-forwarding-for & via > > >>Просто хочеться настроить маршрутизатор так чтобы http, ftp >>траффик не прошедший сквид обрубался... > > > не понятно > Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в инет тока через сквид) Насколько я понимаю, на одной машинке это реализовать нельзя? Или можно? И вообще тут где-то проскакивало что на маршрутизаторе не стоит ставить ничего кроме собственно системы ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 11:13 ` Alexey Morsov @ 2003-12-19 11:18 ` Lee Oleg V. 2003-12-19 11:29 ` Alexey Morsov 2003-12-19 11:55 ` Maxim.Savrilov 1 sibling, 1 reply; 11+ messages in thread From: Lee Oleg V. @ 2003-12-19 11:18 UTC (permalink / raw) To: community On Птн, 2003-12-19 at 14:13, Alexey Morsov wrote: > Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy > 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в > инет тока через сквид) А опчему транспарент прокси не подходит? > Насколько я понимаю, на одной машинке это реализовать нельзя? ну почему же нельзя > Или > можно? И вообще тут где-то проскакивало что на маршрутизаторе не > стоит ставить ничего кроме собственно системы вопрос вкуса. При грамотно настроенном iptables ничего страшного не будет. (Если конечно через сквид не будут лезть одновременно 50000 пользователей) > _______________________________________________ > Community mailing list > Community@altlinux.ru > http://www.altlinux.ru/mailman/listinfo/community ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 11:18 ` Lee Oleg V. @ 2003-12-19 11:29 ` Alexey Morsov 0 siblings, 0 replies; 11+ messages in thread From: Alexey Morsov @ 2003-12-19 11:29 UTC (permalink / raw) To: community Lee Oleg V. wrote: > On Птн, 2003-12-19 at 14:13, Alexey Morsov wrote: > > >>Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy >>2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в >>инет тока через сквид) > > > А опчему транспарент прокси не подходит? потомучто на сколько я знаю transparent кэширует в другую сторону > > > >>Насколько я понимаю, на одной машинке это реализовать нельзя? > > > ну почему же нельзя > > >>Или >>можно? И вообще тут где-то проскакивало что на маршрутизаторе не >>стоит ставить ничего кроме собственно системы > > > вопрос вкуса. При грамотно настроенном iptables ничего страшного не > будет. (Если конечно через сквид не будут лезть одновременно 50000 > пользователей) > > >>_______________________________________________ >>Community mailing list >>Community@altlinux.ru >>http://www.altlinux.ru/mailman/listinfo/community >> >> >>------------------------------------------------------------------------ >> >>_______________________________________________ >>Community mailing list >>Community@altlinux.ru >>http://www.altlinux.ru/mailman/listinfo/community ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 11:13 ` Alexey Morsov 2003-12-19 11:18 ` Lee Oleg V. @ 2003-12-19 11:55 ` Maxim.Savrilov 2003-12-19 12:18 ` Kolya Grechukh 1 sibling, 1 reply; 11+ messages in thread From: Maxim.Savrilov @ 2003-12-19 11:55 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1067 bytes --] On Fri, 19 Dec 2003 14:13:20 +0300 Alexey Morsov <samurai@ricom.ru> wrote: > > Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy > 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в > инет тока через сквид) > > Насколько я понимаю, на одной машинке это реализовать нельзя? Или > можно? И вообще тут где-то проскакивало что на маршрутизаторе не > стоит ставить ничего кроме собственно системы Нельзя, но если хочется, то можно. Предположим, что кроме http все отрубается. Если на одной машине и шлюз и прокси, то рубим все порты, открываем только прокси для внутр. сетки и http с нее наружу Если разные, то 1. прокси внутри - не рекомендуется, рубим на шлюзе весь http кроме того, что идет с прокси придется защищаться от подмены ip/arp 2. прокси в ДМЗ. На шлюзе рубим все, кроме запросов на прокси по "проксячьему" порту пардон за сумбурность, мотаю на выходные! Всем удачно отдохнуть и подготовиться к решительному штурму предпраздничной недели!!! -- Немой мальчик жестами объяснил, что его зовут Хуан. [-- Attachment #2: Type: application/pgp-signature, Size: 307 bytes --] ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Comm] squid 2003-12-19 11:55 ` Maxim.Savrilov @ 2003-12-19 12:18 ` Kolya Grechukh 0 siblings, 0 replies; 11+ messages in thread From: Kolya Grechukh @ 2003-12-19 12:18 UTC (permalink / raw) To: community at Пятница 19 Декабрь 2003 13:55 Maxim.Savrilov@socenter.ru wrote: > On Fri, 19 Dec 2003 14:13:20 +0300 > > Alexey Morsov <samurai@ricom.ru> wrote: > > Да смысл вообщем-то в том, чтобы 1) не делать transparent proxy > > 2) ограничить трафик сквидом (т.е. чтоб народ из сетки шлялся в > > инет тока через сквид) > > > > Насколько я понимаю, на одной машинке это реализовать нельзя? Или > > можно? И вообще тут где-то проскакивало что на маршрутизаторе не > > стоит ставить ничего кроме собственно системы > > Нельзя, но если хочется, то можно. Предположим, что кроме http все > отрубается. Если на одной машине и шлюз и прокси, то рубим все порты, > открываем только прокси для внутр. сетки и http с нее наружу > Если разные, то > 1. прокси внутри - не рекомендуется, рубим на шлюзе весь http кроме того, > что идет с прокси придется защищаться от подмены ip/arp > 2. прокси в ДМЗ. На шлюзе рубим все, кроме запросов на прокси по > "проксячьему" порту что такое дмз? я чего то не знаю? > пардон за сумбурность, мотаю на выходные! > Всем удачно отдохнуть и подготовиться к решительному штурму предпраздничной > недели!!! -- -------- Nick S. Grechukh kolyag@mail.ru Refractory Trading House, network administrator. ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2003-12-19 20:32 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-12-19 10:09 [Comm] squid Alexey Morsov 2003-12-19 10:13 ` Lee Oleg V. 2003-12-19 10:53 ` [Comm] squid Vitaly Ostanin 2003-12-19 11:12 ` Mike Lykov 2003-12-19 20:32 ` Dmitry Lebkov 2003-12-19 10:15 ` [Comm] squid Mike Lykov 2003-12-19 11:13 ` Alexey Morsov 2003-12-19 11:18 ` Lee Oleg V. 2003-12-19 11:29 ` Alexey Morsov 2003-12-19 11:55 ` Maxim.Savrilov 2003-12-19 12:18 ` Kolya Grechukh
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git