https://www.opennet.ru/openforum/vsluhforumID1/90072.html freebsd7.3, есть настроенный PF с балансировкой round-robin по двум внешним каналам<br>задача: сделать редирект 80го порта на сквида<br>вообщем все работает, однако никак не могу до конца понять отношения pf и сквида.<br>когда работаем без сквида, то тут видно (по pftop) что пакетики бегут то в один канал то в другой, все нормально, но что происходит когда идет редирект на сквида? куда он дальше шлет пакеты? на шлюз по-умолчанию?<br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#11 Thu, 21 Oct 2010 10:08:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt; &lt;nop,nop,timestamp 2839697 11593657&gt;<br>&gt;&gt; # tcpdump -i rl2 host 192.168.1.205<br>&gt;&gt; 16:08:53.838378 IP www.freebsd.org.http &gt; 192.168.1.200.64084: P 4464:4830(366) ack<br>&gt;&gt; 1593 win 64512 &lt;nop,nop,timestamp 2839697 11593353&gt;<br>&gt;&gt; только еще один момент смущает, почему когда parent сквиды остановлены инет все<br>&gt;&gt; равно работает? :) правда активность только на 192.168.1.200 на 1.205 тишина<br>&gt;&gt; полная :) т.е. получается функция cache_peer если не находит парентов, то<br>&gt;&gt; выкидывает на шлюз по умолчанию?<br>&gt; squid в случай если родитель не отвечает может сам идти в инет,<br>&gt; но это можно изменить, смотрите опции cache_peer<br><br>отлично, нашел, директива never_direct, теперь даже иексплорер, даже по-русски говорит что родительские кэши не доступны :)<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#10 Thu, 21 Oct 2010 09:32:12 GMT &gt;[оверквотинг удален]<br>&gt; # tcpdump -i rl0 host 192.168.1.200<br>&gt; 16:08:53.806863 IP freefall.freebsd.org.http &gt; 192.168.1.205.50876: . ack 540 win 63974<br>&gt; &lt;nop,nop,timestamp 2839697 11593657&gt;<br>&gt; # tcpdump -i rl2 host 192.168.1.205<br>&gt; 16:08:53.838378 IP www.freebsd.org.http &gt; 192.168.1.200.64084: P 4464:4830(366) ack<br>&gt; 1593 win 64512 &lt;nop,nop,timestamp 2839697 11593353&gt;<br>&gt; только еще один момент смущает, почему когда parent сквиды остановлены инет все<br>&gt; равно работает? :) правда активность только на 192.168.1.200 на 1.205 тишина<br>&gt; полная :) т.е. получается функция cache_peer если не находит парентов, то<br>&gt; выкидывает на шлюз по умолчанию?<br><br>squid в случай если родитель не отвечает может сам идти в инет, но это можно изменить, смотрите опции cache_peer <br><br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#9 Thu, 21 Oct 2010 09:21:33 GMT а теперь проблема в том что я уже не знаю как проверить правильно ли вся эта моя страхобразия работает :) тем более что шлюз тестовый, и находиться в локальной сети всеми тремя интерфейсами :) но глядя на tcpdump вроде как правильно, т.е. я с клиентской машины захожу на freebsd.org и гляжу на шлюзе:<br><br># tcpdump -i rl0 host 192.168.1.200<br>16:08:53.806863 IP freefall.freebsd.org.http &gt; 192.168.1.205.50876: . ack 540 win 63974 &lt;nop,nop,timestamp 2839697 11593657&gt;<br><br># tcpdump -i rl2 host 192.168.1.205<br>16:08:53.838378 IP www.freebsd.org.http &gt; 192.168.1.200.64084: P 4464:4830(366) ack 1593 win 64512 &lt;nop,nop,timestamp 2839697 11593353&gt;<br><br>только еще один момент смущает, почему когда parent сквиды остановлены инет все равно работает? :) правда активность только на 192.168.1.200 на 1.205 тишина полная :) т.е. получается функция cache_peer если не находит парентов, то выкидывает на шлюз по умолчанию?<br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#8 Thu, 21 Oct 2010 09:20:22 GMT а теперь проблема в том что я уже не знаю как проверить правильно ли вся эта моя страхобразия работает :) тем более что шлюз тестовый, и находиться в локальной сети всеми тремя интерфейсами :) но глядя на tcpdump вроде как правильно, т.е. я с клиентской машины захожу на freebsd.org и гляжу на шлюзе:<br><br># tcpdump -i rl0 host 192.168.1.200<br>16:08:53.806863 IP freefall.freebsd.org.http &gt; 192.168.1.205.50876: . ack 540 win 63974 &lt;nop,nop,timestamp 2839697 11593657&gt;<br><br># tcpdump -i rl2 host 192.168.1.205<br>16:08:53.838378 IP www.freebsd.org.http &gt; 192.168.1.200.64084: P 4464:4830(366) ack 1593 win 64512 &lt;nop,nop,timestamp 2839697 11593353&gt;<br><br>только еще один момент смущает, почему когда parent сквиды остановлены инет все равно работает? :) правда активность только на 192.168.1.200 на 1.205 тишина полная :) т.е. получается функция cache_peer если не находит парентов, то выкидывает на шлюз по умолчанию?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#7 Thu, 21 Oct 2010 09:14:23 GMT &gt;[оверквотинг удален]<br>&gt; tcp_outgoing_address 192.168.1.200<br>&gt; и<br>&gt; squidt.conf<br>&gt; tcp_outgoing_address 192.168.1.205<br>&gt; дэк вопрос вот в чем, если я в pf.conf делаю вот такие<br>&gt; записи (ext_if1=192.168.1.200,ext_if2=192.168.1.205 соответ.прову один и два)<br>&gt; pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any<br>&gt; pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any<br>&gt; то будут ли пакеты выходящие из сквида согласно правилам tcp_outgoing_address маршрутизироваться<br>&gt; в нужный канал?<br><br>Если сквид сам отправляет пакеты с уже нужного вам адреса, то теоретически эти правила и не понадобятся. Но опять таки лучше посмотреть тисипидампом как оно на самом деле. <br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#6 Thu, 21 Oct 2010 09:00:10 GMT &gt;[оверквотинг удален]<br>&gt; tcp_outgoing_address 192.168.1.200<br>&gt; и<br>&gt; squidt.conf<br>&gt; tcp_outgoing_address 192.168.1.205<br>&gt; дэк вопрос вот в чем, если я в pf.conf делаю вот такие<br>&gt; записи (ext_if1=192.168.1.200,ext_if2=192.168.1.205 соответ.прову один и два)<br>&gt; pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any<br>&gt; pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any<br>&gt; то будут ли пакеты выходящие из сквида согласно правилам tcp_outgoing_address маршрутизироваться<br>&gt; в нужный канал?<br><br>нужно пробовать.<br>на каких то версиях squid этого было достаточно что бы пакеты от squid пошли не через шлюз по умолчанию, но были и сообщения что с помощью tcp_outgoing_address не смогли этого сделать.<br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#5 Thu, 21 Oct 2010 08:41:05 GMT последний вопрос, попытался реализовать балансировку с помощью сквида, вернее трех сквидов (на одной машине), первый кэширующий делает так:<br><br>squid.conf<br>...<br>cache_peer 127.0.0.1 parent 3127 3129 round-robin<br>cache_peer localhost parent 3129 3131 round-robin<br>...<br><br>второй и третий соответственно на своих http портах принимают и каждый делает tcp_outgoing_address на разные хосты, соответствующие ip адресу 1го и 2го прова, т.е.:<br><br>squidh.conf<br>tcp_outgoing_address 192.168.1.200<br>и<br>squidt.conf<br>tcp_outgoing_address 192.168.1.205<br><br>дэк вопрос вот в чем, если я в pf.conf делаю вот такие записи (ext_if1=192.168.1.200,ext_if2=192.168.1.205 соответ.прову один и два)<br><br>pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any<br>pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any<br><br>то будут ли пакеты выходящие из сквида согласно правилам tcp_outgoing_address маршрутизироваться в нужный канал?<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#4 Thu, 21 Oct 2010 02:04:49 GMT интересно, спасибо<br><br> https://www.opennet.ru/openforum/vsluhforumID1/90072.html#3 Wed, 20 Oct 2010 15:14:06 GMT &gt;[оверквотинг удален]<br>&gt; refresh_pattern ^ftp: 1440 20% 10080<br>&gt; refresh_pattern ^gopher: 1440 0% 1440<br>&gt; refresh_pattern -i (/cgi-bin/&#124;\?) 0 0% 0<br>&gt; refresh_pattern . 0 20% 4320<br>&gt; cache_mem 128 MB<br>&gt; maximum_object_size 64 MB<br>&gt; cache_store_log /usr/local/squid/logs/store.log<br>&gt; visible_hostname pavlik<br>&gt; -----------------------------------------------------------------<br>&gt; очень большое желание представлять всю схему досканально :)<br><br>балансировка трафика у вас происходит на внутреннем интерфейсе. трафик c 80го порта заворачивается на сквид, а сквид уже отправляет запросы наружу. и эти запросы уходят через интерфейс по умолчанию, т.к. иного не указано. вы можете попробовать балансировать исходящий трафик на интерфейсе по умолчанию. если это $ext_if1, то как то так<br><br>pass out on $ext_if1 route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from ($ext_if1) to any keep state<br><br>и добавить правило для ната на другом интерфейсе<br>nat on $ext_if2 from ($ext_if1) to any -&gt; ($ext_if2)<br><br>тогда вс