Proxy & nat

OSBoy · Непрочитанное сообщение **OSBoy** » 2009-09-26 12:08:09

Вопрос такой, если я выпускаю пользователей в инет через нат, могу я их ещё и прогонять через прозрачный кэширующий прокси?
Мне от прокси пока не нужно ничего, кроме собственно кэширования, чтобы канал разгрузить немного.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps

можешь.

OSBoy · Непрочитанное сообщение **OSBoy** » 2009-09-26 13:09:26

А как завернуть трафик на прокси?
Что-то типа:

Код: Выделить всё

ipfw add fwd 127.0.0.1,3128 from table\(2\) to any out via ${out_interface}

подойдёт?
И куда вставлять правила? У меня сейчас пока вот как:

Код: Выделить всё

${fwcmd} add 5001 allow ip from table\(2\) to any in via ${in_interface}
${fwcmd} add 5011 nat 2 ip from table\(2\) to any out recv ${in_interface} xmit ${out_interface}
${fwcmd} add 5021 allow ip from ${out_ip} to any out via ${out_interface}
${fwcmd} add 5031 nat 2 ip from any to ${out_ip} in via ${out_interface}
${fwcmd} add 5041 allow ip from any to table\(2\) in via ${out_interface}
${fwcmd} add 5051 allow ip from any to table\(2\) out recv ${out_interface} xmit ${in_interface}

И ещё, что за опция сборки сквида "SQUID_IPFW", для чего она нужна и с чем её едят?

princeps

OSBoy писал(а):подойдёт?

не подойдёт, т.к. тебе надо заворачивать только http-трафик.
Вставлять, похоже, между 5001 и 5011.
Про опцию ничего не знаю. Если выяснишь - напиши, интересно.

OSBoy · Непрочитанное сообщение **OSBoy** » 2009-09-27 23:34:39

ОК. Всё пошло.
Вставил между 5001 и 5011 - начались вот такие вещи:

Код: Выделить всё

Sep 26 23:36:40 osboy_server kernel: ipfw: 65534 Deny TCP хост_в_инете:80 клиент_в_локалке:12345 in via внешний_интерфейс

Вылечилось добавлением ещё одного правила, итого получилось вот так:

Код: Выделить всё

${fwcmd} add 5001 allow ip from table\(2\) to any in via ${in_interface}
${fwcmd} add 5005 fwd 127.0.0.1,3128 tcp from table\(2\) to any 80,8080,3128 recv ${in_interface} xmit ${out_interface}
${fwcmd} add 5011 nat 2 ip from table\(2\) to any out recv ${in_interface} xmit ${out_interface}
${fwcmd} add 5021 allow ip from ${out_ip} to any out via ${out_interface}
${fwcmd} add 5031 nat 2 ip from any to ${out_ip} in via ${out_interface}
${fwcmd} add 5041 allow ip from any to table\(2\) in via ${out_interface}
${fwcmd} add 5051 allow tcp from any 80,8080,3128 to table\(2\) out via ${in_interface}
${fwcmd} add 5061 allow ip from any to table\(2\) out recv ${out_interface} xmit ${in_interface}

В принципе, инет заработал, судя по логам сквида, что-то кэшируется, что-то соответственно потом отдаётся, то есть никаких проблем фактически не ощущается.

Но не пойму, почему теперь в логе security стало много записей вида:

Код: Выделить всё

Sep 27 18:06:32 osboy_server kernel: ipfw: 65534 Deny TCP хост_в_инете:80 ip_внешнего_интерфейса:12345 in via внешний_интерфейс

Что это собственно блокируется, с учётом того, что инет ведь доходит до клиентов?

forum.lissyara.su

Proxy & nat

Proxy & nat

Услуги хостинговой компании Host-Food.ru

Re: Proxy & nat

Re: Proxy & nat

Re: Proxy & nat

Re: Proxy & nat