The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Прозрачное проксирование FreeBSD + ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Прозрачное проксирование FreeBSD + ..."  +/
Сообщение от auto_tips (??) on 04-Дек-07, 11:43 
Все тестировалось на FreeBSD 6.2.

Вначале добавляем необходимые опции в ядро:

   IPFIREWALL
   IPFIREWALL_FORWARD

Далее добавляем правила на разворот трафика на Squid:

   ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80

Затем правка собственно squid.conf :

   http_port 3128

   httpd_accel_host virtual
   httpd_accel_port 80
   httpd_accel_with_proxy on
   httpd_accel_uses_host_header on


URL:
Обсуждается: http://www.opennet.dev/tips/info/1517.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от ws email(??) on 04-Дек-07, 11:43 
Рецепт старый. А если сквид упадет? Хотелось бы динамического отслеживания активности сквида... Как это делает, например, циска.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Аноним on 04-Дек-07, 12:11 
ага еще бы кто рассказал что делать с 443 портом?
для прозрачного проксирования? просто  
ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 443
не помогает:(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Latik on 04-Дек-07, 12:12 
А версия squid?
для версии 2.6: http_port 3128 transparent
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от abigor email on 04-Дек-07, 13:08 
а можно подробние чего для этого надо?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от _Kuzmich email(??) on 04-Дек-07, 14:12 
>а можно подробние чего для этого надо?

а разве можно проксировать порт 443 ? и в чем сей великий смысл, если всеравно данные там шифрованные ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Manager on 04-Дек-07, 16:42 
Прозрачная прокся не кеширует HTTPS запросы, нужно в браузере прописывать IP и порт сквиды, тогда все работает.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Аноним on 04-Дек-07, 17:18 
это я понимаю но в том то и вопрос нельзя сделать так чтобы не прописывать у каждого клиента?прозрачно так сказать
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Анонизмус on 05-Дек-07, 05:49 
А как вы хотите кэшировать ssl, там же всё зашифровано и смысла проксировать не имеет, ставьте обычный nat.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Hare on 05-Дек-07, 07:33 
Есть мнение, что в squid 2.6 вместо всей вот этой чепухи
   http_port 3128

   httpd_accel_host virtual
   httpd_accel_port 80
   httpd_accel_with_proxy on
   httpd_accel_uses_host_header on

В squid.conf надо записать просто
   http_port 127.0.0.1:3128 transparent

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Аноним on 05-Дек-07, 10:49 
да не хочу я его кэшировать:)
я хочу чтобы у пользователей автоматом работало без прописывания
у каждого настроек прокси сервера
чтобы к каждому юзеру который вдруг решил зайти например на gmail
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от sf. on 07-Дек-07, 11:56 
А что такое Прозрачное проксирование?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от кино on 07-Дек-07, 12:24 
>да не хочу я его кэшировать:)
>я хочу чтобы у пользователей автоматом работало без прописывания
>у каждого настроек прокси сервера
>чтобы к каждому юзеру который вдруг решил зайти например на gmail

именно туда (гуглямыйл) врядли прозрачная прокся корректно отрабатывает все запросы по 443 порту

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Touch on 08-Дек-07, 13:30 
именно, в новых версиях так и нужно делать
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Micle (??) on 10-Дек-07, 15:57 
>это я понимаю но в том то и вопрос нельзя сделать так
>чтобы не прописывать у каждого клиента?прозрачно так сказать

можно отлавливать трафик идущий на 443 мимо сквида, и выдавать инструкцию пользователю как настроить бровзер, для правильной работы. ТОгда самому не надо будет настраивать. Пользователи сами сделают всю работу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от digger (??) on 12-Дек-07, 09:45 
Это когда клиент не видит, что ходит через прокси.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от WAG email on 12-Дек-07, 14:18 
#!/bin/sh
rm -R /var/squid.txt
ps -U root|grep squid >/var/squid.txt
if (cat /var/squid.txt |grep -q 'squid -F')
then exit
fi
rm /usr/local/squid/var/logs/squid.pid
/usr/local/squid/sbin/squid -F


Примерно так. По вопросу отслеживания сквида.
Можно повесить на крон раз в 3 мин.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от PavelR (??) on 18-Дек-07, 07:28 
>да не хочу я его кэшировать:)
>я хочу чтобы у пользователей автоматом работало без прописывания
>у каждого настроек прокси сервера
>чтобы к каждому юзеру который вдруг решил зайти например на gmail

Ну так раздай всем настройки браузера через DHCP/WINS/Domain Policy/Logon Script/
или как там, через http://wpad/wpad.dat/ через такой вариант тоже можно..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Highwayman on 18-Дек-07, 11:20 
>>это я понимаю но в том то и вопрос нельзя сделать так
>>чтобы не прописывать у каждого клиента?прозрачно так сказать
>
>можно отлавливать трафик идущий на 443 мимо сквида, и выдавать инструкцию пользователю
>как настроить бровзер, для правильной работы. ТОгда самому не надо будет
>настраивать. Пользователи сами сделают всю работу.

Мечты админа. На самомо деле тогда пользователи достанут окончательно, если им будет вываливаться вместо ожидаемого "какие-то буковки", кторые они даже не утруждаются прочитать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от sergei_ vasilyev on 19-Дек-07, 13:24 
Т.е. если сквид упадет, то пустить траффик напрямую или использовать другой прокси? Умно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от sergei_ vasilyev on 19-Дек-07, 13:27 
>#!/bin/sh
>Примерно так. По вопросу отслеживания сквида.
>Можно повесить на крон раз в 3 мин.

костыли.
во-первых, для отслеживания работы демонов и их повторного запуска есть monit.
во-вторых, у хорошего админа squid просто так не падает.
в-третьих, если он все-таки упал, то для этого были веские причины и банальный перезапуск не поможет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от Peter email(??) on 24-Дек-07, 20:30 
Странно, у меня эксплорер лезет не через 80 порт, судя по всему. Форвард отрабатывает только если указать руками эксплореру прокси сервер, а порт поставить 80. На 3128 тоже соответственно работает. Куда копать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "вопрос"  +/
Сообщение от АвторСтатьи email on 09-Янв-08, 10:45 
Странно, с такой системой как я описал, есть некоторые траблы (я не специалист в никсах) как такие:
все клиенты ходящие через прокси не могут попасть на countdown.ru, если отключить прокси все нормально.
подскажите. плз.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "вопрос"  +/
Сообщение от reticon (ok) on 11-Май-08, 20:24 
>Странно, с такой системой как я описал, есть некоторые траблы (я не
>специалист в никсах) как такие:
>все клиенты ходящие через прокси не могут попасть на countdown.ru, если отключить
>прокси все нормально.
>подскажите. плз.

Если глянуть в access.log, то можно увидеть, например, следующее:
11/May/2008:22:46:57 +0400      1 192.168.0.3 TCP_DENIED/400 1188 NONE error:unsupported-request-method - NONE/- text/html

Смысл в том, что HTTPS-запросы не прокисруются, т.е. 443 порт заворачивать на прокси-сервер не нужно, пусть ходит через NAT. Например, у меня так:

iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080,8008,8081 -j REDIRECT --to-port 3128

iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.3 -p tcp -m multiport --dport 443 -j ACCEPT

В настройках броузера галочка "использовать прокси" НЕ установлена, в итоге, как HTTP, так и HTTPS запросы обрабатываются нормально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от QuAzI (ok) on 21-Янв-09, 10:50 
В таком виде не работало. Работало как ipfw add 49 fwd 127.0.0.1,3128 tcp from any to not me 80 in
тоесть ловим входящие пакеты, которые пытаются от нас уйти на 80-ый порт
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Прозрачное проксирование FreeBSD + IPFW + Squid."  +/
Сообщение от azimut on 26-Янв-10, 11:51 
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_port 127.0.0.1:3128 transparent
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру