* [Sysadmins] Вопрос по Squid + PPTP туннель.
@ 2008-03-05 9:59 Vyacheslav A. Brunev
2008-03-05 18:01 ` Gosha
2008-03-06 8:20 ` Vyacheslav A. Brunev
0 siblings, 2 replies; 9+ messages in thread
From: Vyacheslav A. Brunev @ 2008-03-05 9:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток уважаемые!
Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
выпускать авторизовавшихся клиентов через другой IP (ppp0).
Есть сервер с двумя интерфейсами и PPTP туннелем:
eth0 - 82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка" закрыта)
gw eth0=82.110.110.1
eth1 - 172.27.1.0/24 (LAN т.е. "фэйковая" сеть);
ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6 раз
медленней).
На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи получают
настройки сети автоматически (DHCP).
Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой
возможности) из LAN продолжали работать через шлюз eth0.
Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
медленней чем через eth0 и работать тем кому по долгу службы не
нужна "внешка" становиться совсем невозможно.
Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же
ICQ :)
Вывод ifconfig:
eth0 Link encap:Ethernet HWaddr 00:0D:45:47:3F:66
inet addr:82.110.110.110 Bcast:82.110.110.255 Mask:255.255.255.0
inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:819168296 (781.2 Mb) TX bytes:2675702125 (2551.7 Mb)
Interrupt:11 Base address:0xa000
eth1 Link encap:Ethernet HWaddr 00:03:21:9B:3C:76
inet addr:172.27.1.1 Bcast:172.27.1.255 Mask:255.255.255.0
inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2647241331 (2524.6 Mb) TX bytes:2823498391 (2692.6 Mb)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1688 (1.6 Kb) TX bytes:1688 (1.6 Kb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.10.10.210 P-t-P:10.0.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1440 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:42 (42.0 b) TX bytes:48 (48.0 b)
Вывод route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref UseIface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
202.29.88.250 82.110.110.1 255.255.255.255 UGH 0 0 0 eth0
172.27.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
82.110.110.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 82.110.110.1 0.0.0.0 UG 0 0 0 eth0
P.S. Пробовал в конфиге Squid-а указывать:
#/etc/squid/squid.conf
http_port 82.110.110.110:3128
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users
http_access allow proxy_users
http_access deny all
....
Авторизация проходит нормально, но интернета нет никакого даже при полностью
выключенном iptables :(
--
С уважением, Вячеслав.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev
@ 2008-03-05 18:01 ` Gosha
2008-03-06 2:28 ` Vyacheslav A. Brunev
2008-03-06 8:20 ` Vyacheslav A. Brunev
1 sibling, 1 reply; 9+ messages in thread
From: Gosha @ 2008-03-05 18:01 UTC (permalink / raw)
To: bv, ALT Linux sysadmin discuss
Hi!
Vyacheslav A. Brunev пишет:
> Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
> выпускать авторизовавшихся клиентов через другой IP (ppp0).
....
> P.S. Пробовал в конфиге Squid-а указывать:
>
> #/etc/squid/squid.conf
>
> http_port 82.110.110.110:3128
> ....
> ....
> acl proxy_users proxy_auth REQUIRED
> tcp_outgoing_address 10.10.10.210 proxy_users
> http_access allow proxy_users
> http_access deny all
> ....
>
> Авторизация проходит нормально, но интернета нет никакого даже при полностью
> выключенном iptables :(
а если так:
acl WORLD dst 0.0.0.0/0.0.0.0
acl proxy_users proxy_auth REQUIRED
http_access allow proxy_users
http_access deny all
tcp_outgoing_address 10.10.10.210 WORLD
;-)
--
Best regards!
Gosha
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-05 18:01 ` Gosha
@ 2008-03-06 2:28 ` Vyacheslav A. Brunev
0 siblings, 0 replies; 9+ messages in thread
From: Vyacheslav A. Brunev @ 2008-03-06 2:28 UTC (permalink / raw)
To: Gosha, ALT Linux sysadmin discuss
В сообщении от Thursday 06 March 2008 00:01:32 вы написали:
> Hi!
>
> Vyacheslav A. Brunev пишет:
> > Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP,
> > а выпускать авторизовавшихся клиентов через другой IP (ppp0).
>
> ....
>
> > P.S. Пробовал в конфиге Squid-а указывать:
> >
> > #/etc/squid/squid.conf
> >
> > http_port 82.110.110.110:3128
> > ....
> > ....
> > acl proxy_users proxy_auth REQUIRED
> > tcp_outgoing_address 10.10.10.210 proxy_users
> > http_access allow proxy_users
> > http_access deny all
> > ....
> >
> > Авторизация проходит нормально, но интернета нет никакого даже при
> > полностью выключенном iptables :(
>
> а если так:
>
> acl WORLD dst 0.0.0.0/0.0.0.0
> acl proxy_users proxy_auth REQUIRED
>
> http_access allow proxy_users
> http_access deny all
>
> tcp_outgoing_address 10.10.10.210 WORLD
>
> ;-)
Ровным счетом ничего не меняется, тут проблема как мне видится в том, что шлюз
(default gw) не меняется, если я его сменю, то LAN пользователи тутже без
всякой прокси полезут в "глобальный" интернет, но со значительон низкой
скоростью. Этого я допустить не могу. Честно говоря я не большой знаток всех
премудростей команды "route" может есть способ прописания "запасного"
маршрута "по умолчанию"?
--
С уважением, Вячеслав.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev
2008-03-05 18:01 ` Gosha
@ 2008-03-06 8:20 ` Vyacheslav A. Brunev
2008-03-06 10:36 ` Dmitriy Shadrinov
1 sibling, 1 reply; 9+ messages in thread
From: Vyacheslav A. Brunev @ 2008-03-06 8:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev
написал(а):
> Доброго времени суток уважаемые!
>
> Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
> выпускать авторизовавшихся клиентов через другой IP (ppp0).
>
> Есть сервер с двумя интерфейсами и PPTP туннелем:
> eth0 - 82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка"
> закрыта) gw eth0=82.110.110.1
>
> eth1 - 172.27.1.0/24 (LAN т.е. "фэйковая" сеть);
>
> ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6
> раз медленней).
>
> На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> получают настройки сети автоматически (DHCP).
> Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
> ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой
> возможности) из LAN продолжали работать через шлюз eth0.
>
> Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
> помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
> медленней чем через eth0 и работать тем кому по долгу службы не
> нужна "внешка" становиться совсем невозможно.
>
> Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же
> ICQ :)
>
> Вывод ifconfig:
>
> eth0 Link encap:Ethernet HWaddr 00:0D:45:47:3F:66
> inet addr:82.110.110.110 Bcast:82.110.110.255
> Mask:255.255.255.0 inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
> TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:1000
> RX bytes:819168296 (781.2 Mb) TX bytes:2675702125 (2551.7 Mb)
> Interrupt:11 Base address:0xa000
>
> eth1 Link encap:Ethernet HWaddr 00:03:21:9B:3C:76
> inet addr:172.27.1.1 Bcast:172.27.1.255 Mask:255.255.255.0
> inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
> TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:1000
> RX bytes:2647241331 (2524.6 Mb) TX bytes:2823498391 (2692.6 Mb)
>
> lo Link encap:Local Loopback
> inet addr:127.0.0.1 Mask:255.0.0.0
> inet6 addr: ::1/128 Scope:Host
> UP LOOPBACK RUNNING MTU:16436 Metric:1
> RX packets:24 errors:0 dropped:0 overruns:0 frame:0
> TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:0
> RX bytes:1688 (1.6 Kb) TX bytes:1688 (1.6 Kb)
>
> ppp0 Link encap:Point-to-Point Protocol
> inet addr:10.10.10.210 P-t-P:10.0.0.1 Mask:255.255.255.255
> UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1440 Metric:1
> RX packets:3 errors:0 dropped:0 overruns:0 frame:0
> TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:3
> RX bytes:42 (42.0 b) TX bytes:48 (48.0 b)
>
> Вывод route -n:
>
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref
> UseIface 10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0
> 0 ppp0 202.29.88.250 82.110.110.1 255.255.255.255 UGH 0 0
> 0 eth0 172.27.1.0 0.0.0.0 255.255.255.0 U 0 0
> 0 eth1 82.110.110.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
> 0.0.0.0 82.110.110.1 0.0.0.0 UG 0 0 0 eth0
>
> P.S. Пробовал в конфиге Squid-а указывать:
>
> #/etc/squid/squid.conf
>
> http_port 82.110.110.110:3128
> ....
> ....
> acl proxy_users proxy_auth REQUIRED
> tcp_outgoing_address 10.10.10.210 proxy_users
> http_access allow proxy_users
> http_access deny all
> ....
>
> Авторизация проходит нормально, но интернета нет никакого даже при
> полностью выключенном iptables :(
Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре
окружающих либо все в "шокирующем" состоянии от постановки вопроса.
--
С уважением, Вячеслав.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-06 8:20 ` Vyacheslav A. Brunev
@ 2008-03-06 10:36 ` Dmitriy Shadrinov
2008-03-06 10:55 ` Dmitriy Shadrinov
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Shadrinov @ 2008-03-06 10:36 UTC (permalink / raw)
To: bv, ALT Linux sysadmin discuss
6 March 2008, Vyacheslav A. Brunev написал(а):
> В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev
>
> написал(а):
...
> > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > получают настройки сети автоматически (DHCP).
> > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
> > ppp0. Соответственно те кто не авторизировался (или вообще не знает о
> > такой возможности) из LAN продолжали работать через шлюз eth0.
> >
> > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
> > помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
> > медленней чем через eth0 и работать тем кому по долгу службы не
> > нужна "внешка" становиться совсем невозможно.
> >
> > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно
> > же ICQ :)
Если у вас 2 провайдера, то вам потребуются возможности (несколько
маршрутизационных таблиц), которые предоставляет утилитка ip из пакета
iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И
прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.
Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки и
не описали вашей ситуации достаточно детально. Что значит "работать на eth0":
принимать подключения или делать запросы через него???
Спрашиваейте корректно.
...
> Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре
> окружающих либо все в "шокирующем" состоянии от постановки вопроса.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-06 10:36 ` Dmitriy Shadrinov
@ 2008-03-06 10:55 ` Dmitriy Shadrinov
2008-03-07 3:25 ` Vyacheslav A. Brunev
0 siblings, 1 reply; 9+ messages in thread
From: Dmitriy Shadrinov @ 2008-03-06 10:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
6 March 2008, Dmitriy Shadrinov написал(а):
> > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > > получают настройки сети автоматически (DHCP).
> > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже
> > > через ppp0. Соответственно те кто не авторизировался (или вообще не
> > > знает о такой возможности) из LAN продолжали работать через шлюз eth0.
> > >
> > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех
> > > с помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6
> > > раз медленней чем через eth0 и работать тем кому по долгу службы не
> > > нужна "внешка" становиться совсем невозможно.
> > >
> > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и
> > > конечно же ICQ :)
>
> Если у вас 2 провайдера, то вам потребуются возможности (несколько
> маршрутизационных таблиц), которые предоставляет утилитка ip из пакета
> iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И
> прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.
>
> Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки
> и не описали вашей ситуации достаточно детально. Что значит "работать на
> eth0": принимать подключения или делать запросы через него???
С необходимостью ip я поторопился, но так или иначе они все равно были бы
полезны; route, ifconfig - это уже устаревшие утилиты.
Прежде всего:
Если внешка у вас доступна только через ppp0 то и настройте основной шлюз
через него. Определитесь с доступом через первого провайдера (какие подсети
через него доступны) и пропишите соответствующие маршруты.
Далее ограничте с помощью iptables хождение пакетов. Проверьте
net.ipv4.ip_forward: sysctl net.ipv4.ip_forward
Если это router, то оно должно быть 1.
Уже после этого можно приступать к Squid.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-06 10:55 ` Dmitriy Shadrinov
@ 2008-03-07 3:25 ` Vyacheslav A. Brunev
2008-03-07 6:53 ` Dmitriy Shadrinov
2008-03-07 7:04 ` Serg Rychka
0 siblings, 2 replies; 9+ messages in thread
From: Vyacheslav A. Brunev @ 2008-03-07 3:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Thursday 06 March 2008 16:55:09 Dmitriy Shadrinov написал(а):
> 6 March 2008, Dmitriy Shadrinov написал(а):
> > > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > > > получают настройки сети автоматически (DHCP).
> > > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже
> > > > через ppp0. Соответственно те кто не авторизировался (или вообще не
> > > > знает о такой возможности) из LAN продолжали работать через шлюз
> > > > eth0.
> > > >
> > > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать
> > > > всех с помощью самого Squid не подходит т.к. в туннеле PPTP скорость
> > > > в 4-6 раз медленней чем через eth0 и работать тем кому по долгу
> > > > службы не нужна "внешка" становиться совсем невозможно.
> > > >
> > > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и
> > > > конечно же ICQ :)
> >
> > Если у вас 2 провайдера, то вам потребуются возможности (несколько
> > маршрутизационных таблиц), которые предоставляет утилитка ip из пакета
> > iproute2 (соответственно, и настройку сети проврдить посредством etcnet).
> > И прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.
> >
> > Во-вторых, вы затронули вопрос достаточно ёмкий, который требует
> > проработки и не описали вашей ситуации достаточно детально. Что значит
> > "работать на eth0": принимать подключения или делать запросы через
> > него???
>
> С необходимостью ip я поторопился, но так или иначе они все равно были бы
> полезны; route, ifconfig - это уже устаревшие утилиты.
>
> Прежде всего:
> Если внешка у вас доступна только через ppp0 то и настройте основной шлюз
> через него. Определитесь с доступом через первого провайдера (какие подсети
> через него доступны) и пропишите соответствующие маршруты.
>
А вот здесь много (для меня) минусов:
1) При таком варианте нужно писать какой-то скрипт, который бы ходил на сайт
провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для route
формат команды, прописывал их и хотя бы раз в месяц запускался.
2) Я в таком случае не представляю как мне нужно извернуться, чтобы клиентам
без Сквида был недоступен глобальный интернет. Пока на ум приходит только
это:
iptables -A OUTPUT -p ALL -i ppp0 -j DROP
iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
127.0.0.1/8 -j ACCEPT
iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
172.27.1.0/24 -j ACCEPT
А в сквиде стоит:
http_port 82.110.110.110:3128 # IP интерфейса eth0
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users # IP интерфейса ppp0
http_access allow proxy_users
http_access deny all
....
Зуб не дам, что будет работать, но по другому не знаю как. Подскажите.
> Далее ограничте с помощью iptables хождение пакетов. Проверьте
> net.ipv4.ip_forward: sysctl net.ipv4.ip_forward
>
> Если это router, то оно должно быть 1.
>
Это Router и это уже давно работает.
> Уже после этого можно приступать к Squid.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер
у которого например очень дорогая "внешка", но есть и другой у которого она
дешевле или есть анлимит в большинстве случаев предоставляется через VPN.
Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном
интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN?
--
С уважением, Вячеслав.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-07 3:25 ` Vyacheslav A. Brunev
@ 2008-03-07 6:53 ` Dmitriy Shadrinov
2008-03-07 7:04 ` Serg Rychka
1 sibling, 0 replies; 9+ messages in thread
From: Dmitriy Shadrinov @ 2008-03-07 6:53 UTC (permalink / raw)
To: bv, ALT Linux sysadmin discuss
7 March 2008, Vyacheslav A. Brunev написал(а):
> А вот здесь много (для меня) минусов:
> 1) При таком варианте нужно писать какой-то скрипт, который бы ходил на
> сайт провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для
> route формат команды, прописывал их и хотя бы раз в месяц запускался.
Тогда вам читать сюда:
http://lartc.org/howto/
Обратите особое внимание:
http://lartc.org/howto/lartc.rpdb.multiple-links.html
> 2) Я в таком случае не представляю как мне нужно извернуться, чтобы
> клиентам без Сквида был недоступен глобальный интернет.
Вы уже извернулись, когда сделали то что, у Вас сейчас :)
> Пока на ум приходит только это:
> iptables -A OUTPUT -p ALL -i ppp0 -j DROP
Предположим, что вместо -i вы хотели написать -o. Тогда...
Вы сначала опредлелитесь что вы хотите получить: если вы хотети что бы VPN у
вас вообще не работал, тогда просто выключите его.
> iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
> 127.0.0.1/8 -j ACCEPT
> iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
> 172.27.1.0/24 -j ACCEPT
А это еще зачем?
Вам сюда:
http://www.netfilter.org/documentation/index.html#documentation-howto
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель.
2008-03-07 3:25 ` Vyacheslav A. Brunev
2008-03-07 6:53 ` Dmitriy Shadrinov
@ 2008-03-07 7:04 ` Serg Rychka
1 sibling, 0 replies; 9+ messages in thread
From: Serg Rychka @ 2008-03-07 7:04 UTC (permalink / raw)
To: bv, ALT Linux sysadmin discuss
On Fri, 7 Mar 2008, Vyacheslav A. Brunev wrote:
>
> Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер
> у которого например очень дорогая "внешка", но есть и другой у которого она
> дешевле или есть анлимит в большинстве случаев предоставляется через VPN.
> Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном
> интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN?
>
Попробуйте echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
(интерфейсы свои поставьте). И что говорит tcpdump на интервейсах
--
С наилучшими пожеланиями,
Рычка Сергей Васильевич,
Донецкий национальный технический университет,
LMC Сетевой академии Cisco ДонНТУ,
Системный/сетевой администратор,
тел. +38 062 3355701, e-mail: rsv@donntu.edu.ua
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-03-07 7:04 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev
2008-03-05 18:01 ` Gosha
2008-03-06 2:28 ` Vyacheslav A. Brunev
2008-03-06 8:20 ` Vyacheslav A. Brunev
2008-03-06 10:36 ` Dmitriy Shadrinov
2008-03-06 10:55 ` Dmitriy Shadrinov
2008-03-07 3:25 ` Vyacheslav A. Brunev
2008-03-07 6:53 ` Dmitriy Shadrinov
2008-03-07 7:04 ` Serg Rychka
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git