Прозрачный сквид+сарг+sqstat

[FreeBSP]

сабж возможен? сейчас народ просто ходит через нат. Но начальство хочет знать кто и куда ходит, поставил сквид и пока тестирую, бегаю через него. но в сарге и sqstat айпишник значится как нулевой. вопрос почему такое, ведь ipfw fwd не изменяет же содержимое пакета. конфиги если надо скину

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

Работает. Сквид слушает на 127.0.0.1?

[FreeBSP]

ага, сквид на 127.0.0.1,

Код: Выделить всё

visible_hostname squid.testrouter.testnet # локальное имя нашего сервера

acl localnet src 192.168.1.0/24 # наша локальная сеть

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT



# SqSTAT
acl sqstat_manager proto cache_object
# replace 10.0.0.1 with your webserver IP
acl webserver src 192.168.1.254/32
http_access allow sqstat_manager webserver
http_access allow sqstat_manager localhost
http_access deny sqstat_manager
cachemgr_passwd pass123
http_access allow webserver
http_access allow localhost
# Напрямую с сервера доступ имеет только менеджер кэша
http_access allow localhost manager
http_access deny manager

# запрещаем доступ к несохраненным портам
http_access deny !Safe_ports

# Запрещаем доступ к не SSL портам
http_access deny CONNECT !SSL_ports

# в целях безопасности запрещаем http доступ
# к внутренним ресурсам сервера
http_access deny to_localhost

# Разрешаем доступ с нашей локальной сети
http_access allow localnet

# Разрешаем доступ внутри сервера
http_access allow localhost

# запрещаем все остальное
http_access deny all

# Наш прокси "слушает" порт 3128 внутреннего локального адреса
# опция intercept указывает что трафик перенаправлен брандмауэром -
# так называемый "прозрачный" (transparent) режим
#http_port 3128
http_port 127.0.0.1:3128 intercept

# Отключим кэширование
cache deny all

# Паттерны обновления данных
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

ipfw перед натом форвардит пакеты на 127.0.0.1,3128

[mak_v_]

Вроде по конфигам все должно ехать, если конечно форвард настроен на внутреннем интерфейсе.
версия сквиды?

[FreeBSP]

3,5 вроде, последняя из портов
"форвард на внутреннем" - это как? себя я в sqstat вижу

[mak_v_]

ну у меня на 2.7 из портов работает беспроблемно, на 3.3 были косяки какие-то, вернулся на 2.7.

[FreeBSP]

пардон, погорячился. стата работает как надо. Вопрос, можно ли саргу сказать разрешать айпи в имена? dhcp и dns на винсерве, в настйроках dhcp создание обратных записей вроде включено

[FreeBSP]

ап?
как заставить сарг выводить в стате имена, а не ипы?

[mak_v_]

А у вас обратный резолвинг работает на хосте с sqstat ???

config.inc.php
/* Resolve user IP addresses or print them as numbers only [true|false] */
$resolveip[0]=true;.

[FreeBSP]

sqstat что-то вообще упал, но он меня не сильно волнует, мне в сарге хочется видеть имена

[mak_v_]

обратный резолвинг работает на хосте??

Код: Выделить всё

host 192.168.1.22

[FreeBSP]

Код: Выделить всё

 host 192.168.1.11                                                       
11.1.168.192.in-addr.arpa domain name pointer fbsp-dr.dn.lan
host 192.168.1.99
Host 99.1.168.192.in-addr.arpa. not found: 3(NXDOMAIN)

тоетсь птр есть но не для всех
кстати тут второй вопрос вырисовывается - винсерв не создает A и PTR записи для выдаваемых ипов. dhcp на том же винсерве. пните чопочитать

[mak_v_]

1) Обратный резолвинг (ср-вами днс либо hosts)
2) Конфиг sarg

Код: Выделить всё

# TAG:  resolve_ip yes/no
#       Convert ip address to dns name
#       sarg -n
resolve_ip yes

[FreeBSP]

заработало
слава тебе добрый человек
а по поводу связки dhcp и dns есть мысли? а лучше - пинок что хорошего почитать

[mak_v_]

Где ДНС, где ДХЦП? (ос? ПО? АД? )

[FreeBSP]

винсерв 2k8r2, на нем роли днс и дхцп. ад нет

[mak_v_]

Ну в 2003 точно есть. Ковыряйте настройки днс-а и дхцп тамошнего.

[FreeBSP]

то что оно есть даже не обсуждается, настройки обковырял, но толком ничего не нашел =(

[mak_v_]

Ну это походу в настройках зон на ДНС-е и где-то в дхцп

[FreeBSP]

очевидно
но пока ничего не нашел =(