kkk 0 Posted 2006-01-21 16:59:58 Share Posted 2006-01-21 16:59:58 Доброго времени суток. Собираюсь делать апгрейд недосервера на 80486 (3 компа в локалке через него ходят в инет, Волякабель) на более другое железо, сейчас интенсивно читаю литературку по линуксу, сквиду, стг, и т.п., может баян уже, но все же вот какой вопрос мне интересен: Хочу поставить сквид и стг, и допустим настраиваю я стг и ставлю прозрачный прокси, стг считает внешний трафик, локальный до роутера, и внутрисеть Воли. Допустим из локалки идет запрос наружу, запрашиваемое есть в кеше прокси. При этом клиентская машина видит получаемое как если бы оно было получено снаружи, на самом же деле оно было отдано с сервера, и внешнего трафика не имело место быть. Как квалифицирует стг подобный трафик - как внешний, или как локальный ? Link to post Share on other sites
Foster 0 Posted 2006-01-21 18:05:55 Share Posted 2006-01-21 18:05:55 смотря как пропишешь rules если трафик сквидовский считается, то будет считаться и то, что с кеша пошло Link to post Share on other sites
kkk 0 Posted 2006-01-22 08:58:35 Author Share Posted 2006-01-22 08:58:35 смотря как пропишешь rulesесли трафик сквидовский считается, то будет считаться и то, что с кеша пошло Что есть сквидовский трафик ? Насколько я въехал в принцип работы прозрачного прокси - средствами ОС все пакеты просто заворачиваются на порт сквида, и оттуда уже либо идут наружу, либо не идут. Для пользователя прозрачного прокси не видно, его софт, если я все правильно понял, отправляет запрос к некому адресату, указав в пакете его адрес, и получает ответ якобы от того же адресата, но в одном случае подобный пакет сформирован собственно адресатом, а в другом случае - сквидом. Тогда какие признаки есть у пакета, позволяющие определить, из кеша он, или нет ? Link to post Share on other sites
XoRe 0 Posted 2006-01-22 11:05:01 Share Posted 2006-01-22 11:05:01 Сейчас у стг есть 2 способа подсчета пакетов. Во всяком случае на линуксе. При первом способе, если прокси прозрачен, то он прозрачен и для стг. Т.е. файл, взятый из кеша, стг посчитает, как скачаный с инета. При втором способе... хз) Как я понимаю, как настроишь, так и будет ) Хотя нет. Хотя да ) Хотя нет. В общем при втором способе можно попробовать помудрить. А при первом способе помудрить нельзя, если прокси прозрачный и работает нат. Link to post Share on other sites
kkk 0 Posted 2006-01-22 15:05:24 Author Share Posted 2006-01-22 15:05:24 Сейчас у стг есть 2 способа подсчета пакетов.Во всяком случае на линуксе. Об этих способах написано где-то ? Сама собой напрашивается логическая цепочка "Внутренний интерфейс - прокси - стг - внешний интерфейс", то есть как-то сделать, чтобы стг считал пакеты, исходящие от прокси, но в таком случае он их уже не персонализирует по конкретному юзеру. Я прав ? Link to post Share on other sites
Max 0 Posted 2006-01-22 15:46:01 Share Posted 2006-01-22 15:46:01 Правильная цепочка такая [if]-[stg]-[firewall]-[user-level(squid, nat)]-[firewall]-[stg]-[if] но в таком случае он их уже не персонализирует по конкретному юзеру. Я прав ? Да Тут выход только отказаться от прозрачного проксирования. Link to post Share on other sites
kkk 0 Posted 2006-01-22 18:03:34 Author Share Posted 2006-01-22 18:03:34 Тут выход только отказаться от прозрачного проксирования. Отказались. То есть я средствами ОС закрываю все порты, кроме 3128.... а дальше ? Link to post Share on other sites
Max 0 Posted 2006-01-23 07:09:36 Share Posted 2006-01-23 07:09:36 не совсем... Отказаться от проксирования вовсе! Иначе у вас не будет совпадать объём внешнего трафика со сведениями в биллинге. Как выход, это вынос прокси на другую физическую машину. До биллинга со стороны интернета. Link to post Share on other sites
hopeful 0 Posted 2006-01-27 19:28:01 Share Posted 2006-01-27 19:28:01 Попробовал реализовать прозрачное проксирование на Squid + SG. Работает, хотя точность подсчета трафика проверить не могу. Вопрос по настройке учета HTTP - трафика. Допустим, внутренний интерфейс роутера со всей начинкой 10.3.3.250. Прописываем всю сеть 10.3.3.0/24 в рулесах как внутреннюю. Пока в обозревателях пользователя НЕ настроен прокси - все красиво. HTTP запросы идут на шлюз по умолчанию (наш роутер), он форвардит порт x.x.x.80 на 127.0.0.1:3128 (squid) не изменяя адрес назначения пакета, и трафик нормально считается, разделяясь на местный и прочий. Но если пользователь в настройках обозревателя принудитеольно прописывет работу через прокси (10.3.3.250:3128) пакеты считаются идущими во внутерннюю сеть и трафик получается внутренним. Казалось бы можно 250-й IP в рулесах прописать на другое направление, но как-то неправильно. Тем более, что не роутере стоит еще и почта, и хотелось бы почтовый трафик считать внутренним. Посоветуйте, как правильно настроить? Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-01-27 19:50:45 Share Posted 2006-01-27 19:50:45 Тю.... проблему нашли.... закрывайте порт прокси (3128) от клиентов и разрешайте на прокси идти только 127.0.0.1 редирект работать будет а клиент не пойдёт на прокси для верности можно и портик поменять на левый.... хотя сканер портов в умелых руках найдёт Link to post Share on other sites
hopeful 0 Posted 2006-01-28 07:20:37 Share Posted 2006-01-28 07:20:37 Действительно, о простом-то и не подумал :-) Link to post Share on other sites
hopeful 0 Posted 2006-01-28 07:23:40 Share Posted 2006-01-28 07:23:40 Может не в тему, но очень всем благодарен за быструю реакцию по ответам на вопросы. Это еще одна составляющая хорошего продукта. Link to post Share on other sites
egor2fsys 5 Posted 2006-01-28 12:18:08 Share Posted 2006-01-28 12:18:08 всегда пожалуйста Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now