Разделение трафика в stg

[Гость Flying sorcer]

Привет, all!

Есть сервак - RH9, apache, bind, squid.

На нем 2 интерфейса - один внутрь, один в инет

На сервере висит парочка сайтов. Все (инет и локальные сайты) сидит за сквидом.

 

Как сделать чтобы stg считал только инетовский трафик+трафик из кэша прокси?

А трафик к локальным сайтам не считал...

 

Можно было бы в rules прописать ip на инетовский интерфейс и снимать все что идет на него? А как же тогда кэш прокси? Нужно обращения к нему тоже учитывать...

 

С учетом, у всех юзверей в настройках использовать проксю.

 

Заранее спасибо.

[Гость Flying sorcer]

Да, и еще, чтобы юзвер мог без авторизации ходить по локальным сайтам.

[MityaginSpbRu 0]

Да, и еще, чтобы юзвер мог без авторизации ходить по локальным сайтам.

Для этого надо просто открыть файрвол на локальные ресурсы и stargazer здесь непричем.

[Гость Flying sorcer]

В том то и дело, что файервол тут не причем, т.к. все (и инет и локальные сайты) сидит за сквидом на порту 3128.

Т.е. если я открываю доступ к этому порту для юзера, то старгейзер начинает тарифицировать и локальные тоже.

Если же пользователь не авторизовался, то и на локальные не зайдет...

а это не есть хорошо...

 

Как тут поступить?

 

Или же, в крайнем случае, пусть пользователь авторизуется в любом случае, но тогда как избежать тарификации того, что должно быть бесплатно (локальные сайты)?

[Quarcel 0]

В чем проблема не понимаю старгейзер позволяет прописывать порты а не только целый ипшник, делаешь например так:

TCP 192.168.1.1:3128 DIR0

TCP 192.168.1.0/24 NULL

ALL 0.0.0.0/0 DIR0

где 192.168.1.1 ипшник сервака а 192.168.1.0/24 локальная сеть

[Foster 0]

Думаю имелось ввиду, что стг тарифицирует локальные сайты, т.к. пользователи ходят по ним через сквид.

Можно у пользователей там, где прописываешь сквид ставить галочку напротив "Bypass proxy server for local connections",

или можно создать alias для сетевухи и повесить на него апач...

[Quarcel 0]

Тогда думаю лучше запретить прокси для локальных адресов лучше в самом сквиде

[Foster 0]

вопрос в том как будет реагировать на это стг

[Гость Flying sorcer]

Foster

да, именно это я имел ввиду

 

Ставить галочку "bypass proxy server for local connections" у юзверей - не очень хороший вариант.

 

А в сквиде я прописал для локальных сайтов always_direct и no_cache

 

Но не знаю, поможет или нет.... попробую

[Гость Flying sorcer]

Нет, все равно считает все вместе...

 

Думаю прийдется выводить локальные сайты из-за сквида... и прописывать у юзверей "не использовать проксю"

[Foster 0]

попробуй повесить на отдельный IP апач

[Гость Flying sorcer]

Ок.

Я так понимаю, необходимо создать алиас eth0:0 и присвоить ему ip. Да?

Этот ip прописать в настройках апаче и днс.

Затем поменять правила в звездочете.

 

После этих процедур получилось следующее:

 

1. юзер по ip может зайти на внутренний ресурс, а по доменному имени не может

(причина, наверное, в днс - хотя поменял там всего лишь ip)

почему так?

 

2. зато трафик считается как надо (ведь сквид теперь только для инета)

[Гость Flying sorcer]

Хотелось бы разобраться с #1, т.к. у меня около десятка ресурсов, а юзер попадает на один (тот который первым идет в httpd.conf). Да и доменные имена привлекательней и легче запоминаются...

[Гость Flying sorcer]

Надеюсь, в оффтопик далеко не ушел...

[Foster 0]

тему поднимать не надо

 

1. юзер по ip может зайти на внутренний ресурс, а по доменному имени не может

ну так а поменять домен? запись?

он же прописан на один ip а теперь будет на другом.

[alp 0]

Cуществуют скрипты для автоматической настройки прокси, очень удобно.

У юзера нужно только поставить галочку "использовать сценарий автоматической настройки" и прописать путь к скрипту, сам скрипт можно выложить на любой локальный веб сайт в фиде файла.

Вот например следующий скрипт говорит, что если адреса локальных хостов начинаютя на 192.168 или принадлежат домену alpnet.kiev.ua или mshome.net или если протокол не http, то ходить на них напрямую минуя прокси, в остальных случаях ходить через прокси. В нете можно найти более подробное описание комманд скриптов.

 

function FindProxyForURL(url, host)
   {
       if (isInNet(host, "192.168.0.0", "255.255.0.0")
          ||dnsDomainIs(host,".alpnet.kiev.ua")
          ||dnsDomainIs(host,".mshome.net"))
           return "DIRECT";
       else
       if (shExpMatch(url, "http:*"))
          return "PROXY 192.168.0.1:8080"
else
   return "DIRECT";	

   }

[Гость Flying sorcer]

Естественно я все поменял. В записиях всех локальных ресурсов сменил ip.

 

В том то и дело...

[Гость Flying sorcer]

alp

 

Точно!

Надо попробовать - это выход.

 

Спасибо.

[Doozer 0]

IMHO: DHCP + REDIRECT + SQUID прозрачно

 

но это тоже как вариант.

[Гость Flying sorcer]

Сделал по другому:

 

1. привязал второй ip (10.0.0.2) к внутресетевому интерфейсу (eth0)

2. перевесил на него сквид

3. у юзеров прописал новый прокси и указал не использовать проксю для локальных адресов (там указал маску локальных адресов)

4. в правилах стг написал считать все что идет на 10.0.0.2 считать инетом,

а все что идет внутри сети и на 10.0.0.1 считать локальным трафиком

(на 10.0.0.1 висит апач)

 

ALL 10.0.1.0/24 DIR0

ALL 10.0.0.1 DIR0

ALL 10.0.0.2 DIR1

 

Но после рестарта инетовский трафик не считает, хотя инет идет...

 

Что не так?