squid и fib

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
als
рядовой
Сообщения: 26
Зарегистрирован: 2015-08-26 8:17:23

squid и fib

Непрочитанное сообщение als » 2016-12-05 7:52:21

Мое почтение, коллегам.
На шлюзе Freebsd стояли правила выхода в инет через squid. Для проброса портов использовал natd. Позже добавился второй канал на другого провайдера, начал использовать опцию tcp_outgoing в squid.
Часть http трафика отправлял через один канал, часть через другой.

Со временем правил стало много, решил перейти на ядерный nat и прозрачный squid. Перешел. Правила стали короткими, для задействования squid использовал правило fwd.
Естественно, что tcp_outgoing в настройках squid перестал работать. Я для себя понимаю это так. Пакет идущий по правилам ipfw уже имеет установленные параметры откуда он пришел и как уйдет из системы.

Логичным продолжением для задействования второго канала для меня стало попробовать использовать setfib.
Пересобирать ядро с options ROUTETABLES не стал. Добавил в loader.conf строку net.fibs=2
Посмотрел в скрипт rc.d/squid Там есть строки посвященные setfib
Я прочитал это так. Скрипт анализирует, была ли сборка squid произведена с поддержкой fib
# setup FIB tables:
if command -v check_namevarlist > /dev/null 2>&1; then
check_namevarlist fib && return 0
fi

Пошел в options порта squid. Нет там fib.
Есть мысли попробовать собрать ядро с поддержкой routetables и пересобрать squid. Может он при сборке смотрит на параметр и добавляет fib.
Как собрать squid с поддержкой fib?

Отправлено спустя 18 минут 27 секунд:
Сейчас проверил, все вроде нормально.

При старте squid нигде не пишет, что используется fib. Показанный выше кусочек из стартового скрипта выходит из условия.
Если в rc.conf добавить squid_fib, то squid на него реагирует как надо.
Так что собирать squid с поддержкой fib не требуется :)

guest
проходил мимо

squid и fib

Непрочитанное сообщение guest » 2016-12-05 23:20:16

Может myip acl использовались? В прозрачном режиме это адреса серверов куда squid лезет.

als
рядовой
Сообщения: 26
Зарегистрирован: 2015-08-26 8:17:23

squid и fib

Непрочитанное сообщение als » 2016-12-10 6:59:30

undefined писал(а):Источник цитаты Может myip acl использовались?

Это как?
acl конечно использую. А myip acl - что может быть?

Гость
проходил мимо

squid и fib

Непрочитанное сообщение Гость » 2016-12-11 13:53:32

als писал(а):
undefined писал(а):Источник цитаты Может myip acl использовались?

Это как?
acl конечно использую. А myip acl - что может быть?


myip это адрес squid при общении с клиентами. В непрозрачном режиме адрес на локальном интерфейсе сервера. В transparent система отвечает клиенту с адреса к которому обращался клиент, соответственно myip зависят от запроса. Внешние запросы squid это отдельные от клиентских запросов соединения, tcp_outgoing должны работать как и раньше не зависимо от режима tranparent.

als
рядовой
Сообщения: 26
Зарегистрирован: 2015-08-26 8:17:23

squid и fib

Непрочитанное сообщение als » 2016-12-11 14:49:33

undefined писал(а):Источник цитаты Внешние запросы squid это отдельные от клиентских запросов соединения, tcp_outgoing должны работать как и раньше не зависимо от режима tranparent.

Понял. Буду дальше разбираться с правилами. Мысль про myip понятна. Теперь буду искать, как с этим быть.


Вернуться в «Networks»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей