ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] непонятки со squid
@ 2003-11-17 12:24 Andrew Fefilov
  2003-11-18 11:02 ` Andrew Fefilov
  0 siblings, 1 reply; 7+ messages in thread
From: Andrew Fefilov @ 2003-11-17 12:24 UTC (permalink / raw)
  To: community

Добрый день, уважаемые.

Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
Squid настраивается на гейтовом ящике, который одним концом смотрит в
инет, а другим во внутренню локалку. Настраивается на обслуживание
запросов только из локальной сети.
Короче дело вот в этих строке из squid.conf :

udp_incoming_address 0.0.0.0

В коментариях конфига написано, что :

#    udp_incoming_address    is used for the ICP socket receiving
packets from other caches.

Так. Мне это не нужно. Поэтому устанавливаю:

icp_port 0

отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
Запускаю squid, затем netstat -pan --inet, вижу вот это:

udp        0      0 0.0.0.0:1027            0.0.0.0:*
1527/(squid)

Непонятно. Ладно, правлю squid.conf вот так:

udp_incoming_address 192.168.1.40

Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
резолвинг для squid, что делает его фактически неработоспособным.
Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?

-- 
С уважением,
Фефилов Андрей.


^ permalink raw reply	[flat|nested] 7+ messages in thread

end of thread, other threads:[~2003-11-24  8:33 UTC | newest]

Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-11-17 12:24 [Comm] непонятки со squid Andrew Fefilov
2003-11-18 11:02 ` Andrew Fefilov
2003-11-20  7:35   ` Shawkat Nizamov
2003-11-20  7:46     ` Shawkat Nizamov
2003-11-20 10:38     ` Andrew Fefilov
2003-11-22  7:44       ` Shawkat Nizamov
2003-11-24  8:33         ` Andrew Fefilov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git