Suse/OpenSuSE

lxa85 · Отправлено: **21:06, 09-04-2009** | #2

seman, простите за банальный вопрос. Документацию читали?
man squid ?
Вобще squid - это кеширующий прокси сервер.
port mapping вне зоны ответственности squid. Его задача кешировать(проксировать) трафик.
Мапированием портов а, их перенаправлением, занимаются другие пакеты.
seman, из вашего сообщения никаким образом не становится ясным, как устроена сеть?
10.125.0.0 - замечательно. 10.*.*.* - это диапазон приватных сетей.
92.66.34.56:32633 по все видимости реальный IP адрес.
Пусть клиенты ходят, что им мешает?

seman · Отправлено: **23:14, 09-04-2009** | #3

lxa85

Цитата lxa85:

Документацию читали? »

читал. прекрасно понимаю, что squid - это кеширующий прокси сервер.
поэтому и спрашиваю, так как не знаю какие пакеты за это отвечают.

Цитата lxa85:

10.125.0.0 - замечательно. 10.*.*.* - это диапазон приватных сетей. »

спасибо. это мне понятно. все классы приватных сетей мне прекрасно знакомы.

сеть простая.

шлюз 10.125.0.150
прокси кольмар на 10.125.0.100, там же dhcp раздает клиентам в диапазоне 10.125.0.104-10.125.0.150
не знаю, что еще здесь нужно пояснять.
от клиентов пинг на 92.66.34.56 не идет. С кольмара все прекрасно пингуется.
Если я не ошибаюсь все можно решить через конфиг кольмара.

acl password proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT

acl our_networks src 10.125.0.0/24

http_access allow password
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow our_networks
http_access deny all

это текущий конфиг. достаточно ли здесь прописать в access листе данный порт и ip, чтобы клиенты могли видеть данный ip?

lxa85 · Отправлено: **00:44, 10-04-2009** | #4

Цитата seman:

шлюз 10.125.0.150, прокси кольмар на 10.125.0.100 »

Вот, уже становится понятнее

Цитата seman:

от клиентов пинг на 92.66.34.56 не идет »

что говорит traceroute ?
Верна ли таблица маршрутизации? Шлюз по умолчанию.

Цитата seman:

С кольмара все прекрасно пингуется. »

Проверить, сравнить сетевые настройки клиента и кольмара. Также посмотреть разрешения на шлюзе.

Цитата seman:

Если я не ошибаюсь все можно решить через конфиг кольмара. »

ИМХО проще, правильнее, и удобнее( для администрирования в том числе) предоставить эту операцию обработчикам пакетов, iptables например.

seman · Отправлено: **13:18, 10-04-2009** | #5

lxa85,

Цитата lxa85:

Верна ли таблица маршрутизации? »

разрешения на шлюзе - всем и всё.
сделал route print с клиента
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1a 4d 91 2e c9 ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.125.0.150 10.125.0.107 20
10.125.0.0 255.255.255.0 10.125.0.107 10.125.0.107 20
10.125.0.107 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.125.0.107 10.125.0.107 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.125.0.107 10.125.0.107 20
255.255.255.255 255.255.255.255 10.125.0.107 10.125.0.107 1
Основной шлюз: 10.125.0.150
===========================================================================
Постоянные маршруты:
Отсутствует

10.125.0.107 - это клиент

lxa85 · Отправлено: **21:17, 10-04-2009** | #6

seman,

Цитата lxa85:

Проверить, сравнить сетевые настройки клиента и кольмара »

-----

Цитата lxa85:

что говорит traceroute ? (tracert?) »

-----

Цитата seman:

от клиентов пинг на 92.66.34.56 не идет. С кольмара все прекрасно пингуется. »

-----
Как я понимаю, было принято решение, если с кольмара пинг идет, перенаправить коиентов на него, попутно закешировать трафик, и отправить пакеты дальше. Так?
-----
Статьи, что мне попались по реализации "прозрачного" прокси сервера, используют iptables(старое название ipchains) для перенаправления запросов и портов. Этим самым я хочу сказать, что portmaping не задача suid.
Ссылки на материал:
Зона особого внимания: Squid
Мини-HOWTO: Прозрачный Прокси-сервер при помощи Squid - Обратите внимание на дату публикации! 2003 год! А сама статья писалась в далеком марте 2000 ного.
Bog BOS: Squid (кеширующий прокси для http): установка, настройка и использование

Alan85 · Отправлено: **21:58, 10-04-2009** | #7

Цитата seman:

необходимо, чтобы клиенты могли ходить на 92.66.34.56 порт 32633 »

через что (программа)?

Цитата seman:

от клиентов пинг на 92.66.34.56 не идет »

пинги идут через основной шлюз а основной шлюз у тебя не в сквиде и делать чтото в сквиде не надо для того чтобы он пошел - это надо на шлюзе делать. Кстати что за шлюз - просто модем или сервер какой?

Цитата seman:

на 92.66.34.56 порт 32633. »

у меня ни пинга нет на этот адрес и телнет не конектится

seman · Отправлено: **00:24, 11-04-2009** | #8

Alan85

Цитата Alan85:

через что (программа)? »

messenger . название позже посмотрю. я прошу прошения заранее. поскольку меня еще не поставили в известность о месте нахождении
данного сервера (92.66.34.56). Завтра выясню точно. предполагаю находится он в сетке провайдера.
главное что комп со сквидом его видит. то же самое нужно научить клиентов.

раньше когда у провайдера была прописана вся подесть наша, и проксика не было все клиенты свободно могли пинговать данный сервер

Цитата Alan85:

Кстати что за шлюз - просто модем или сервер какой? »

linux голый. с 2 интерфейсами, от провайдера и в локалку. никак файрволов нет на нем.
провайдер прописал приватный 10.125.0.100 для выхода в инет. то бишь где сейчас сквид.

Цитата Alan85:

у меня ни пинга нет на этот адрес и телнет не конектится »

похоже это говорит о том, что этот сервер внутри локалки

Alan85 · Отправлено: **10:49, 11-04-2009** | #9

Цитата seman:

никак файрволов нет на нем. »

есть и имя его iptables и с его помощью squid все видит и знает а клиенты нет так как для них NAT закрыт.
Вопрос как настроен прокси сервер? - прозрачный или на порт 3128?
Пока я вижу два выхода:
1. Дергать провайдера чтобы изменил iptables (или самому) именно для этого адреса и порта (разрешил выход на него) и все это делается на линухе шлюзе.
2. Использовать порт-маппинг у клиента с помощью программ типа httport, freecap .

seman · Отправлено: **09:55, 12-04-2009** | #10

Alan85,

Цитата Alan85:

Дергать провайдера чтобы изменил iptables (или самому) именно для этого адреса и порта (разрешил выход на него) и все это делается на линухе шлюзе. »

к сожалению для нас доступ к шлюзу закрыт. То есть на самом линухе, где стоит сквид ничего сделать нельзя? Я правильно понял?

Цитата Alan85:

Вопрос как настроен прокси сервер? - прозрачный или на порт 3128? »

настроен на порт 3128. включена аутентификация. На каждом компе работают много че-к. аутентификация там обязательна.