* [Sysadmins] Вопрос по Squid + PPTP туннель.
@ 2008-03-05 9:59 Vyacheslav A. Brunev
2008-03-05 18:01 ` Gosha
2008-03-06 8:20 ` Vyacheslav A. Brunev
0 siblings, 2 replies; 9+ messages in thread
From: Vyacheslav A. Brunev @ 2008-03-05 9:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток уважаемые!
Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
выпускать авторизовавшихся клиентов через другой IP (ppp0).
Есть сервер с двумя интерфейсами и PPTP туннелем:
eth0 - 82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка" закрыта)
gw eth0=82.110.110.1
eth1 - 172.27.1.0/24 (LAN т.е. "фэйковая" сеть);
ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6 раз
медленней).
На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи получают
настройки сети автоматически (DHCP).
Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой
возможности) из LAN продолжали работать через шлюз eth0.
Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
медленней чем через eth0 и работать тем кому по долгу службы не
нужна "внешка" становиться совсем невозможно.
Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же
ICQ :)
Вывод ifconfig:
eth0 Link encap:Ethernet HWaddr 00:0D:45:47:3F:66
inet addr:82.110.110.110 Bcast:82.110.110.255 Mask:255.255.255.0
inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:819168296 (781.2 Mb) TX bytes:2675702125 (2551.7 Mb)
Interrupt:11 Base address:0xa000
eth1 Link encap:Ethernet HWaddr 00:03:21:9B:3C:76
inet addr:172.27.1.1 Bcast:172.27.1.255 Mask:255.255.255.0
inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2647241331 (2524.6 Mb) TX bytes:2823498391 (2692.6 Mb)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1688 (1.6 Kb) TX bytes:1688 (1.6 Kb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.10.10.210 P-t-P:10.0.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1440 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:42 (42.0 b) TX bytes:48 (48.0 b)
Вывод route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref UseIface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
202.29.88.250 82.110.110.1 255.255.255.255 UGH 0 0 0 eth0
172.27.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
82.110.110.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 82.110.110.1 0.0.0.0 UG 0 0 0 eth0
P.S. Пробовал в конфиге Squid-а указывать:
#/etc/squid/squid.conf
http_port 82.110.110.110:3128
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users
http_access allow proxy_users
http_access deny all
....
Авторизация проходит нормально, но интернета нет никакого даже при полностью
выключенном iptables :(
--
С уважением, Вячеслав.
^ permalink raw reply [flat|nested] 9+ messages in thread* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev @ 2008-03-05 18:01 ` Gosha 2008-03-06 2:28 ` Vyacheslav A. Brunev 2008-03-06 8:20 ` Vyacheslav A. Brunev 1 sibling, 1 reply; 9+ messages in thread From: Gosha @ 2008-03-05 18:01 UTC (permalink / raw) To: bv, ALT Linux sysadmin discuss Hi! Vyacheslav A. Brunev пишет: > Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а > выпускать авторизовавшихся клиентов через другой IP (ppp0). .... > P.S. Пробовал в конфиге Squid-а указывать: > > #/etc/squid/squid.conf > > http_port 82.110.110.110:3128 > .... > .... > acl proxy_users proxy_auth REQUIRED > tcp_outgoing_address 10.10.10.210 proxy_users > http_access allow proxy_users > http_access deny all > .... > > Авторизация проходит нормально, но интернета нет никакого даже при полностью > выключенном iptables :( а если так: acl WORLD dst 0.0.0.0/0.0.0.0 acl proxy_users proxy_auth REQUIRED http_access allow proxy_users http_access deny all tcp_outgoing_address 10.10.10.210 WORLD ;-) -- Best regards! Gosha ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-05 18:01 ` Gosha @ 2008-03-06 2:28 ` Vyacheslav A. Brunev 0 siblings, 0 replies; 9+ messages in thread From: Vyacheslav A. Brunev @ 2008-03-06 2:28 UTC (permalink / raw) To: Gosha, ALT Linux sysadmin discuss В сообщении от Thursday 06 March 2008 00:01:32 вы написали: > Hi! > > Vyacheslav A. Brunev пишет: > > Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, > > а выпускать авторизовавшихся клиентов через другой IP (ppp0). > > .... > > > P.S. Пробовал в конфиге Squid-а указывать: > > > > #/etc/squid/squid.conf > > > > http_port 82.110.110.110:3128 > > .... > > .... > > acl proxy_users proxy_auth REQUIRED > > tcp_outgoing_address 10.10.10.210 proxy_users > > http_access allow proxy_users > > http_access deny all > > .... > > > > Авторизация проходит нормально, но интернета нет никакого даже при > > полностью выключенном iptables :( > > а если так: > > acl WORLD dst 0.0.0.0/0.0.0.0 > acl proxy_users proxy_auth REQUIRED > > http_access allow proxy_users > http_access deny all > > tcp_outgoing_address 10.10.10.210 WORLD > > ;-) Ровным счетом ничего не меняется, тут проблема как мне видится в том, что шлюз (default gw) не меняется, если я его сменю, то LAN пользователи тутже без всякой прокси полезут в "глобальный" интернет, но со значительон низкой скоростью. Этого я допустить не могу. Честно говоря я не большой знаток всех премудростей команды "route" может есть способ прописания "запасного" маршрута "по умолчанию"? -- С уважением, Вячеслав. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev 2008-03-05 18:01 ` Gosha @ 2008-03-06 8:20 ` Vyacheslav A. Brunev 2008-03-06 10:36 ` Dmitriy Shadrinov 1 sibling, 1 reply; 9+ messages in thread From: Vyacheslav A. Brunev @ 2008-03-06 8:20 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev написал(а): > Доброго времени суток уважаемые! > > Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а > выпускать авторизовавшихся клиентов через другой IP (ppp0). > > Есть сервер с двумя интерфейсами и PPTP туннелем: > eth0 - 82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка" > закрыта) gw eth0=82.110.110.1 > > eth1 - 172.27.1.0/24 (LAN т.е. "фэйковая" сеть); > > ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6 > раз медленней). > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи > получают настройки сети автоматически (DHCP). > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через > ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой > возможности) из LAN продолжали работать через шлюз eth0. > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с > помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз > медленней чем через eth0 и работать тем кому по долгу службы не > нужна "внешка" становиться совсем невозможно. > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же > ICQ :) > > Вывод ifconfig: > > eth0 Link encap:Ethernet HWaddr 00:0D:45:47:3F:66 > inet addr:82.110.110.110 Bcast:82.110.110.255 > Mask:255.255.255.0 inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0 > TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:1000 > RX bytes:819168296 (781.2 Mb) TX bytes:2675702125 (2551.7 Mb) > Interrupt:11 Base address:0xa000 > > eth1 Link encap:Ethernet HWaddr 00:03:21:9B:3C:76 > inet addr:172.27.1.1 Bcast:172.27.1.255 Mask:255.255.255.0 > inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170 > TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:1000 > RX bytes:2647241331 (2524.6 Mb) TX bytes:2823498391 (2692.6 Mb) > > lo Link encap:Local Loopback > inet addr:127.0.0.1 Mask:255.0.0.0 > inet6 addr: ::1/128 Scope:Host > UP LOOPBACK RUNNING MTU:16436 Metric:1 > RX packets:24 errors:0 dropped:0 overruns:0 frame:0 > TX packets:24 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:0 > RX bytes:1688 (1.6 Kb) TX bytes:1688 (1.6 Kb) > > ppp0 Link encap:Point-to-Point Protocol > inet addr:10.10.10.210 P-t-P:10.0.0.1 Mask:255.255.255.255 > UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1440 Metric:1 > RX packets:3 errors:0 dropped:0 overruns:0 frame:0 > TX packets:3 errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:3 > RX bytes:42 (42.0 b) TX bytes:48 (48.0 b) > > Вывод route -n: > > Kernel IP routing table > Destination Gateway Genmask Flags Metric Ref > UseIface 10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 > 0 ppp0 202.29.88.250 82.110.110.1 255.255.255.255 UGH 0 0 > 0 eth0 172.27.1.0 0.0.0.0 255.255.255.0 U 0 0 > 0 eth1 82.110.110.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 > 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo > 0.0.0.0 82.110.110.1 0.0.0.0 UG 0 0 0 eth0 > > P.S. Пробовал в конфиге Squid-а указывать: > > #/etc/squid/squid.conf > > http_port 82.110.110.110:3128 > .... > .... > acl proxy_users proxy_auth REQUIRED > tcp_outgoing_address 10.10.10.210 proxy_users > http_access allow proxy_users > http_access deny all > .... > > Авторизация проходит нормально, но интернета нет никакого даже при > полностью выключенном iptables :( Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре окружающих либо все в "шокирующем" состоянии от постановки вопроса. -- С уважением, Вячеслав. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-06 8:20 ` Vyacheslav A. Brunev @ 2008-03-06 10:36 ` Dmitriy Shadrinov 2008-03-06 10:55 ` Dmitriy Shadrinov 0 siblings, 1 reply; 9+ messages in thread From: Dmitriy Shadrinov @ 2008-03-06 10:36 UTC (permalink / raw) To: bv, ALT Linux sysadmin discuss 6 March 2008, Vyacheslav A. Brunev написал(а): > В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev > > написал(а): ... > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи > > получают настройки сети автоматически (DHCP). > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через > > ppp0. Соответственно те кто не авторизировался (или вообще не знает о > > такой возможности) из LAN продолжали работать через шлюз eth0. > > > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с > > помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз > > медленней чем через eth0 и работать тем кому по долгу службы не > > нужна "внешка" становиться совсем невозможно. > > > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно > > же ICQ :) Если у вас 2 провайдера, то вам потребуются возможности (несколько маршрутизационных таблиц), которые предоставляет утилитка ip из пакета iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И прежде чем настраивать squid, вам нужно разобраться с маршрутизацией. Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки и не описали вашей ситуации достаточно детально. Что значит "работать на eth0": принимать подключения или делать запросы через него??? Спрашиваейте корректно. ... > Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре > окружающих либо все в "шокирующем" состоянии от постановки вопроса. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-06 10:36 ` Dmitriy Shadrinov @ 2008-03-06 10:55 ` Dmitriy Shadrinov 2008-03-07 3:25 ` Vyacheslav A. Brunev 0 siblings, 1 reply; 9+ messages in thread From: Dmitriy Shadrinov @ 2008-03-06 10:55 UTC (permalink / raw) To: ALT Linux sysadmin discuss 6 March 2008, Dmitriy Shadrinov написал(а): > > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи > > > получают настройки сети автоматически (DHCP). > > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже > > > через ppp0. Соответственно те кто не авторизировался (или вообще не > > > знает о такой возможности) из LAN продолжали работать через шлюз eth0. > > > > > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех > > > с помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 > > > раз медленней чем через eth0 и работать тем кому по долгу службы не > > > нужна "внешка" становиться совсем невозможно. > > > > > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и > > > конечно же ICQ :) > > Если у вас 2 провайдера, то вам потребуются возможности (несколько > маршрутизационных таблиц), которые предоставляет утилитка ip из пакета > iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И > прежде чем настраивать squid, вам нужно разобраться с маршрутизацией. > > Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки > и не описали вашей ситуации достаточно детально. Что значит "работать на > eth0": принимать подключения или делать запросы через него??? С необходимостью ip я поторопился, но так или иначе они все равно были бы полезны; route, ifconfig - это уже устаревшие утилиты. Прежде всего: Если внешка у вас доступна только через ppp0 то и настройте основной шлюз через него. Определитесь с доступом через первого провайдера (какие подсети через него доступны) и пропишите соответствующие маршруты. Далее ограничте с помощью iptables хождение пакетов. Проверьте net.ipv4.ip_forward: sysctl net.ipv4.ip_forward Если это router, то оно должно быть 1. Уже после этого можно приступать к Squid. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-06 10:55 ` Dmitriy Shadrinov @ 2008-03-07 3:25 ` Vyacheslav A. Brunev 2008-03-07 6:53 ` Dmitriy Shadrinov 2008-03-07 7:04 ` Serg Rychka 0 siblings, 2 replies; 9+ messages in thread From: Vyacheslav A. Brunev @ 2008-03-07 3:25 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Thursday 06 March 2008 16:55:09 Dmitriy Shadrinov написал(а): > 6 March 2008, Dmitriy Shadrinov написал(а): > > > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи > > > > получают настройки сети автоматически (DHCP). > > > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже > > > > через ppp0. Соответственно те кто не авторизировался (или вообще не > > > > знает о такой возможности) из LAN продолжали работать через шлюз > > > > eth0. > > > > > > > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать > > > > всех с помощью самого Squid не подходит т.к. в туннеле PPTP скорость > > > > в 4-6 раз медленней чем через eth0 и работать тем кому по долгу > > > > службы не нужна "внешка" становиться совсем невозможно. > > > > > > > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и > > > > конечно же ICQ :) > > > > Если у вас 2 провайдера, то вам потребуются возможности (несколько > > маршрутизационных таблиц), которые предоставляет утилитка ip из пакета > > iproute2 (соответственно, и настройку сети проврдить посредством etcnet). > > И прежде чем настраивать squid, вам нужно разобраться с маршрутизацией. > > > > Во-вторых, вы затронули вопрос достаточно ёмкий, который требует > > проработки и не описали вашей ситуации достаточно детально. Что значит > > "работать на eth0": принимать подключения или делать запросы через > > него??? > > С необходимостью ip я поторопился, но так или иначе они все равно были бы > полезны; route, ifconfig - это уже устаревшие утилиты. > > Прежде всего: > Если внешка у вас доступна только через ppp0 то и настройте основной шлюз > через него. Определитесь с доступом через первого провайдера (какие подсети > через него доступны) и пропишите соответствующие маршруты. > А вот здесь много (для меня) минусов: 1) При таком варианте нужно писать какой-то скрипт, который бы ходил на сайт провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для route формат команды, прописывал их и хотя бы раз в месяц запускался. 2) Я в таком случае не представляю как мне нужно извернуться, чтобы клиентам без Сквида был недоступен глобальный интернет. Пока на ум приходит только это: iptables -A OUTPUT -p ALL -i ppp0 -j DROP iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! 127.0.0.1/8 -j ACCEPT iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! 172.27.1.0/24 -j ACCEPT А в сквиде стоит: http_port 82.110.110.110:3128 # IP интерфейса eth0 .... .... acl proxy_users proxy_auth REQUIRED tcp_outgoing_address 10.10.10.210 proxy_users # IP интерфейса ppp0 http_access allow proxy_users http_access deny all .... Зуб не дам, что будет работать, но по другому не знаю как. Подскажите. > Далее ограничте с помощью iptables хождение пакетов. Проверьте > net.ipv4.ip_forward: sysctl net.ipv4.ip_forward > > Если это router, то оно должно быть 1. > Это Router и это уже давно работает. > Уже после этого можно приступать к Squid. > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер у которого например очень дорогая "внешка", но есть и другой у которого она дешевле или есть анлимит в большинстве случаев предоставляется через VPN. Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN? -- С уважением, Вячеслав. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-07 3:25 ` Vyacheslav A. Brunev @ 2008-03-07 6:53 ` Dmitriy Shadrinov 2008-03-07 7:04 ` Serg Rychka 1 sibling, 0 replies; 9+ messages in thread From: Dmitriy Shadrinov @ 2008-03-07 6:53 UTC (permalink / raw) To: bv, ALT Linux sysadmin discuss 7 March 2008, Vyacheslav A. Brunev написал(а): > А вот здесь много (для меня) минусов: > 1) При таком варианте нужно писать какой-то скрипт, который бы ходил на > сайт провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для > route формат команды, прописывал их и хотя бы раз в месяц запускался. Тогда вам читать сюда: http://lartc.org/howto/ Обратите особое внимание: http://lartc.org/howto/lartc.rpdb.multiple-links.html > 2) Я в таком случае не представляю как мне нужно извернуться, чтобы > клиентам без Сквида был недоступен глобальный интернет. Вы уже извернулись, когда сделали то что, у Вас сейчас :) > Пока на ум приходит только это: > iptables -A OUTPUT -p ALL -i ppp0 -j DROP Предположим, что вместо -i вы хотели написать -o. Тогда... Вы сначала опредлелитесь что вы хотите получить: если вы хотети что бы VPN у вас вообще не работал, тогда просто выключите его. > iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! > 127.0.0.1/8 -j ACCEPT > iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! > 172.27.1.0/24 -j ACCEPT А это еще зачем? Вам сюда: http://www.netfilter.org/documentation/index.html#documentation-howto ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Вопрос по Squid + PPTP туннель. 2008-03-07 3:25 ` Vyacheslav A. Brunev 2008-03-07 6:53 ` Dmitriy Shadrinov @ 2008-03-07 7:04 ` Serg Rychka 1 sibling, 0 replies; 9+ messages in thread From: Serg Rychka @ 2008-03-07 7:04 UTC (permalink / raw) To: bv, ALT Linux sysadmin discuss On Fri, 7 Mar 2008, Vyacheslav A. Brunev wrote: > > Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер > у которого например очень дорогая "внешка", но есть и другой у которого она > дешевле или есть анлимит в большинстве случаев предоставляется через VPN. > Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном > интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN? > Попробуйте echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter (интерфейсы свои поставьте). И что говорит tcpdump на интервейсах -- С наилучшими пожеланиями, Рычка Сергей Васильевич, Донецкий национальный технический университет, LMC Сетевой академии Cisco ДонНТУ, Системный/сетевой администратор, тел. +38 062 3355701, e-mail: rsv@donntu.edu.ua ^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-03-07 7:04 UTC | newest] Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-03-05 9:59 [Sysadmins] Вопрос по Squid + PPTP туннель Vyacheslav A. Brunev 2008-03-05 18:01 ` Gosha 2008-03-06 2:28 ` Vyacheslav A. Brunev 2008-03-06 8:20 ` Vyacheslav A. Brunev 2008-03-06 10:36 ` Dmitriy Shadrinov 2008-03-06 10:55 ` Dmitriy Shadrinov 2008-03-07 3:25 ` Vyacheslav A. Brunev 2008-03-07 6:53 ` Dmitriy Shadrinov 2008-03-07 7:04 ` Serg Rychka
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git