Страница 1 из 1
Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 16:52:29
FreeBSP
сабж возможен? сейчас народ просто ходит через нат. Но начальство хочет знать кто и куда ходит, поставил сквид и пока тестирую, бегаю через него. но в сарге и sqstat айпишник значится как нулевой. вопрос почему такое, ведь ipfw fwd не изменяет же содержимое пакета. конфиги если надо скину
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 17:19:54
mak_v_
Работает. Сквид слушает на 127.0.0.1?
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 17:37:07
FreeBSP
ага, сквид на 127.0.0.1,
Код: Выделить всё
visible_hostname squid.testrouter.testnet # локальное имя нашего сервера
acl localnet src 192.168.1.0/24 # наша локальная сеть
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# SqSTAT
acl sqstat_manager proto cache_object
# replace 10.0.0.1 with your webserver IP
acl webserver src 192.168.1.254/32
http_access allow sqstat_manager webserver
http_access allow sqstat_manager localhost
http_access deny sqstat_manager
cachemgr_passwd pass123
http_access allow webserver
http_access allow localhost
# Напрямую с сервера доступ имеет только менеджер кэша
http_access allow localhost manager
http_access deny manager
# запрещаем доступ к несохраненным портам
http_access deny !Safe_ports
# Запрещаем доступ к не SSL портам
http_access deny CONNECT !SSL_ports
# в целях безопасности запрещаем http доступ
# к внутренним ресурсам сервера
http_access deny to_localhost
# Разрешаем доступ с нашей локальной сети
http_access allow localnet
# Разрешаем доступ внутри сервера
http_access allow localhost
# запрещаем все остальное
http_access deny all
# Наш прокси "слушает" порт 3128 внутреннего локального адреса
# опция intercept указывает что трафик перенаправлен брандмауэром -
# так называемый "прозрачный" (transparent) режим
#http_port 3128
http_port 127.0.0.1:3128 intercept
# Отключим кэширование
cache deny all
# Паттерны обновления данных
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
ipfw перед натом форвардит пакеты на 127.0.0.1,3128
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 17:40:35
mak_v_
Вроде по конфигам все должно ехать, если конечно форвард настроен на внутреннем интерфейсе.
версия сквиды?
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 19:22:08
FreeBSP
3,5 вроде, последняя из портов
"форвард на внутреннем" - это как? себя я в sqstat вижу
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-21 23:37:03
mak_v_
ну у меня на 2.7 из портов работает беспроблемно, на 3.3 были косяки какие-то, вернулся на 2.7.
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-06-28 18:18:04
FreeBSP
пардон, погорячился. стата работает как надо. Вопрос, можно ли саргу сказать разрешать айпи в имена? dhcp и dns на винсерве, в настйроках dhcp создание обратных записей вроде включено
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 15:11:50
FreeBSP
ап?
как заставить сарг выводить в стате имена, а не ипы?
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 15:25:19
mak_v_
А у вас обратный резолвинг работает на хосте с sqstat ???
config.inc.php
/* Resolve user IP addresses or print them as numbers only [true|false] */
$resolveip[0]=true;.
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 16:55:02
FreeBSP
sqstat что-то вообще упал, но он меня не сильно волнует, мне в сарге хочется видеть имена
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:03:47
mak_v_
обратный резолвинг работает на хосте??
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:15:05
FreeBSP
Код: Выделить всё
host 192.168.1.11
11.1.168.192.in-addr.arpa domain name pointer fbsp-dr.dn.lan
host 192.168.1.99
Host 99.1.168.192.in-addr.arpa. not found: 3(NXDOMAIN)
тоетсь птр есть но не для всех
кстати тут второй вопрос вырисовывается - винсерв не создает A и PTR записи для выдаваемых ипов. dhcp на том же винсерве. пните чопочитать
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:26:14
mak_v_
1) Обратный резолвинг (ср-вами днс либо hosts)
2) Конфиг sarg
Код: Выделить всё
# TAG: resolve_ip yes/no
# Convert ip address to dns name
# sarg -n
resolve_ip yes
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:39:43
FreeBSP
заработало
слава тебе добрый человек
а по поводу связки dhcp и dns есть мысли? а лучше - пинок что хорошего почитать
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:44:09
mak_v_
Где ДНС, где ДХЦП? (ос? ПО? АД? )
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 17:50:13
FreeBSP
винсерв 2k8r2, на нем роли днс и дхцп. ад нет
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-02 18:25:21
mak_v_
Ну в 2003 точно есть. Ковыряйте настройки днс-а и дхцп тамошнего.
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-03 13:41:43
FreeBSP
то что оно есть даже не обсуждается, настройки обковырял, но толком ничего не нашел =(
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-03 14:34:57
mak_v_
Ну это походу в настройках зон на ДНС-е и где-то в дхцп
Re: Прозрачный сквид+сарг+sqstat
Добавлено: 2013-09-03 17:37:52
FreeBSP
очевидно
но пока ничего не нашел =(