[Sysadmins] Помогите разобраться с прокси

[Sysadmins] Помогите разобраться с прокси

[Николай Шевченко]

Помогите решить проблему с прокси. Стоит задача настроить squid на 2 
канала интернет  с  разделением каналов по пользователям и визуальным 
отображением использованного трафика и посещенных ресурсов при чем 
каналы должны "страховать" друг друга

Re: [Sysadmins] Помогите разобраться с прокси

[Max Ivanov]

Если 2 канала использовать просто как один основной, другой запасной,
то вам надо просто  2 маршрута с разными метриками.

кто куда ходил - lightsquid
потребление трафика - там же, но учитывается понятное дело только
трафик прошедший через squid, если у вас еще и NAT открыт, то ничего
не выйдет

Re: [Sysadmins] Помогите разобраться с прокси

[Serge]

On Sunday 01 March 2009 20:36:01 Max Ivanov wrote:
> Если 2 канала использовать просто как один основной, другой запасной,
> то вам надо просто  2 маршрута с разными метриками.
>
> кто куда ходил - lightsquid
> потребление трафика - там же, но учитывается понятное дело только
> трафик прошедший через squid, если у вас еще и NAT открыт, то ничего
> не выйдет
тогда можно использовать netams

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey Shabalin]

3 марта 2009 г. 0:07 пользователь Николай Шевченко написал:
> Проблема в том, что необходимо на одной системе сделать два канала по
> которому одна группа пользователей должна ходить по одному каналу в вторая
> группа по другому и каналы должны друг друга взаимозаменять (может это из
> серии фантастики (: извините за отнятое время)
Я бы посоветовал вашему руководству не страдать ерундой (почему-то я
на 80% уверен, что вопрос идёт от них)
Во-первых вы должны чётко уяснить что на каком уровне семиуровневой
модели OSI делается(или 4-х уровневой tcp/ip - не важно), и не путать
squid - приложение, и маршрутизацию - IP.
Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
только сама система. (правда можно придумать способ с двумя
вышестоящими прокси, но думаю у вас такой возможности нет).
Если убрать из вашей задачи squid, который "удаляет" информацию об
адресе машины - source ip (и заменяет на свой), то задача вполне
решаема.
Что вы можете поиметь со второго канала?
1.  2 маршрута с разными метриками
2. отправить некоторые протоколы или машины на второй канал.

>
> 2 марта 2009 г. 7:43 пользователь Serge <skompan@kspu.kr.ua> написал:
>>
>> On Sunday 01 March 2009 20:36:01 Max Ivanov wrote:
>> > Если 2 канала использовать просто как один основной, другой запасной,
>> > то вам надо просто  2 маршрута с разными метриками.
>> >
>> > кто куда ходил - lightsquid
>> > потребление трафика - там же, но учитывается понятное дело только
>> > трафик прошедший через squid, если у вас еще и NAT открыт, то ничего
>> > не выйдет
>> тогда можно использовать netams


-- 
Alexey Shabalin

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 533 bytes --]

* Alexey Shabalin <a.shabalin@> [090303 00:49]:
> Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
> только сама система. (правда можно придумать способ с двумя
> вышестоящими прокси, но думаю у вас такой возможности нет).
Можно из без проксей пускать _некоторых_ пользователей _только_
по одному из двух каналов.  Ключевое слово tcp_outgoing_address.

> 1.  2 маршрута с разными метриками
Лучше сделать как в LARTC -
http://lartc.org/howto/lartc.rpdb.multiple-links.html

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Помогите разобраться с прокси

[Yuri Bushmelev]

В сообщении от Вторник 03 марта 2009 Alexey Shabalin написал(a):

> Я бы посоветовал вашему руководству не страдать ерундой (почему-то я
> на 80% уверен, что вопрос идёт от них)
> Во-первых вы должны чётко уяснить что на каком уровне семиуровневой
> модели OSI делается(или 4-х уровневой tcp/ip - не важно), и не путать
> squid - приложение, и маршрутизацию - IP.
> Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
> только сама система. (правда можно придумать способ с двумя
> вышестоящими прокси, но думаю у вас такой возможности нет).
> Если убрать из вашей задачи squid, который "удаляет" информацию об
> адресе машины - source ip (и заменяет на свой), то задача вполне
> решаема.
> Что вы можете поиметь со второго канала?
> 1.  2 маршрута с разными метриками
> 2. отправить некоторые протоколы или машины на второй канал.

Можно и со squid'ом, но повесить его tcp_outgoing_address на какой-нибудь 
алиас на lo0. Или поставить прокси на отдельный тазик.
А на самом роутере НАТ'ом делать балансинг по робин-бобину (round-robin) на 
пул из двух ip с разных каналов и с привязкой к адресу источника.

Как это сделать в iptables - традиционно не знаю :)

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] Помогите разобраться с прокси

[Marat Khayrullin]

В сообщении от Tuesday 03 March 2009 01:31:51 Alexey I. Froloff написал(а):
> 
> > 1.  2 маршрута с разными метриками
> Лучше сделать как в LARTC -
> http://lartc.org/howto/lartc.rpdb.multiple-links.html
> 

Насчёт балансировки там в конце не удачное решение, т.к. если падает один канал,
то упадут все записи по этому интерфейсу и соответствено эта запись тоже:

ip route add default scope global nexthop dev ppp0 weight 1 nexthop dev ppp1 weight 1

И весь Инет обрубится.
Указание via x.x.x.x вместо dev XXX, тоже не поможет, т.к. dev вставится автоматом.

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 477 bytes --]

* Marat Khayrullin <xmm@> [090303 14:44]:
> > > 1.  2 маршрута с разными метриками
> > Лучше сделать как в LARTC -
> > http://lartc.org/howto/lartc.rpdb.multiple-links.html
> Насчёт балансировки там в конце не удачное решение, т.к. если падает один канал,
> то упадут все записи по этому интерфейсу
Да, балансировка не работает, но работает default на какой-то из
двух, плюс возможность пустить кого-то в определённый канал через
ip rule.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey Shabalin]

3 марта 2009 г. 1:31 пользователь Alexey I. Froloff написал:
> * Alexey Shabalin <a.shabalin@> [090303 00:49]:
>> Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
>> только сама система. (правда можно придумать способ с двумя
>> вышестоящими прокси, но думаю у вас такой возможности нет).
> Можно из без проксей пускать _некоторых_ пользователей _только_
> по одному из двух каналов.  Ключевое слово tcp_outgoing_address.

я отвечал на вопрос о squid и каналах. С учётом, что squid работает от
одного пользователя, это тоже не выход. Можно ещё несколько сквидов
запустить из под разных пользователе :), или несколько сквидов на
отдельных машинках, а по каналам пусть маршрутизатор раскидывает. Но
это всё изврат.
Да, можно ещё совсем не пользоваться прокси, если на него не
возлагается задача фильтрации, антивируса, то при современных
каналах(например в Москве) выйгрышь от кэширования совсем не большой.

-- 
Alexey Shabalin

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 601 bytes --]

* Alexey Shabalin <a.shabalin@> [090304 00:22]:
> >> Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
> >> только сама система. (правда можно придумать способ с двумя
> >> вышестоящими прокси, но думаю у вас такой возможности нет).
> > Можно из без проксей пускать _некоторых_ пользователей _только_
> > по одному из двух каналов.  Ключевое слово tcp_outgoing_address.
> я отвечал на вопрос о squid и каналах. С учётом, что squid работает от
> одного пользователя, это тоже не выход.
Не надо отвечать вообще, если не разбираетесь в вопросе.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey Shabalin]

4 марта 2009 г. 1:16 пользователь Alexey I. Froloff написал:
> * Alexey Shabalin <a.shabalin@> [090304 00:22]:
>> >> Squid ничего не знает о маршрутизации и о ваших каналах, об этом знает
>> >> только сама система. (правда можно придумать способ с двумя
>> >> вышестоящими прокси, но думаю у вас такой возможности нет).
>> > Можно из без проксей пускать _некоторых_ пользователей _только_
>> > по одному из двух каналов.  Ключевое слово tcp_outgoing_address.
>> я отвечал на вопрос о squid и каналах. С учётом, что squid работает от
>> одного пользователя, это тоже не выход.
> Не надо отвечать вообще, если не разбираетесь в вопросе.

Я вот не понял, с чем связан наезд и за что затыкают мне рот. (как
всегда без аргументов)
И очень радует вывод - не разбираюсь в вопросе. Супер.
Остаётся только ответить - сам такой.
:)
Люди, вы чё такие злые?

PS: отвечать можно не трудится - я точно больше отвечать не буду.


-- 
Alexey Shabalin

Re: [Sysadmins] Помогите разобраться с прокси

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 826 bytes --]

* Alexey Shabalin <a.shabalin@> [090304 02:35]:
> >> > Ключевое слово tcp_outgoing_address.
       ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Я вот не понял, с чем связан наезд и за что затыкают мне рот. (как
> всегда без аргументов)
См. выше.  А также бред с метриками.  В LARTC есть простое
решение (4.2.1. Split access), которое прекрасно работает,
позволяет быстрое переключение на резервный канал и работу
сервисов (серверов) на обоих каналах, как локальных, так и
находящихся за NAT'ом.

> И очень радует вывод - не разбираюсь в вопросе. Супер.
> Остаётся только ответить - сам такой.
У меня такая схема (запросы по некоторым ацлям идут не в
дефолтный канал) благополучно работала года два или три.  И до
сих пор наверно работает.

> Люди, вы чё такие злые?
А не надо спорить.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]