Adott egy LAN egy szerverrel (192.168.0.1/24), rajta iptables + squid. A proxy transzparensként működik a 8080-as porton.
Van egy másik Internet kapcsolatunk is, melyre rákötöttem egy másik szervert (192.168.0.2/24), szintén squiddal. Azt szeretném megoldani, hogy bizonyos klienseket (192.168.0.10-192.168.0.20) a 2-es szerveren futó squid szolgáljon ki. Milyen tűzfal szabályokra van szükségem az 1-es szerveren?
- 1425 megtekintés
Hozzászólások
Nem egyszerűbb 2 subnetet csinálni, és DHCP-vel 2 gatewayként megadni nekik a 2 SQUID-et?
- A hozzászóláshoz be kell jelentkezni
ahhoz nemkell ket subnet, eleg csak az adott nepnek egy masik GW-t adni.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Mindenféleképpen úgy szeretném, hogy az 1-es maradjon a GW mindenkinek, és ez dobja át a 2-es squidnak, ha a megadott forráscímekről jön.
- A hozzászóláshoz be kell jelentkezni
redirectelni kell az adott tartomanyt, hogy a kifele meno 80-as portot atiranyitsd a 2. squidre
iptables -t nat -A PREROUTING -m iprange --src-range 192.168.0.10-192.168.0.20 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80
kb valami ilyesmi :)
--
TH
- A hozzászóláshoz be kell jelentkezni
Próbáltam így, de nem akar működni.
Ilyenkor ha redirectelem, akkor a válasz már közvetlenül a feladónak megy?
Vagy kell egy szabály, ami a választ célba juttatja?
- A hozzászóláshoz be kell jelentkezni
A legegyszerűbb, ha a két squid-et peerként állítod be. Ekkor bár minden kérés az 1-es proxyhoz fog menni, de ha annak nincs a cacheben, akkor előbb megkérdi a másik proxyt, neki megvan-e. Ha megvan átadja, és csak akkor megy netre, ha egyiknek sincs.
Vagy másik módszer, az iptables-el csinálasz egy load balancingot. A NEW tcp csomagoknál egyszer az egyikhez, aztán a másikhoz irányítja.
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
nekem igy van beallitva automatara:
dhcpd.conf:
option wpad-url code 252 = text;
option wpad-url "http://webszerver/infofile.pac";
dns:
wpad IN CNAME webszerver.
/var/www/infofile.pac
function FindProxyForURL(url, host)
{
if (shExpMatch(host, "*.domain")||
shExpMatch(host, "*.domain"))
return "DIRECT";
if (isPlainHostName(host))
return "DIRECT";
if (dnsDomainIs(host, "domain"))
return "DIRECT";
if (isInNet(host, "192.168.1.0", "255.255.255.0"))
return "DIRECT";
if (url.substring(0, 5) == "http:" ||
url.substring(0, 4) == "ftp:" ||
url.substring(0, 4) == "FTP:" ||
url.substring(0, 5) == "HTTP:" ||
url.substring(0, 6) == "https:" ||
url.substring(0, 6) == "HTTPS:" ||
url.substring(0, 7) == "gopher:")
return "PROXY proxyszerver:port";
return "DIRECT";
}
par szimlink ma$ bongeszoknek:
wpad.da -> /var/www/infofile.pac
wpad.dat -> /var/www/infofile.pac
ezzel konnyu megoldani ket proxy hasznalatat is
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Részletezem egy kicsit a helyzetet, hátha közelebb visz valaki a megoldáshoz.
Szóval: egy iskola vagyunk, és az Internet kapcsolatunkon lóg az 1-es squid. Van egy kollégiumunk is saját Internet kapcsolattal, ezen van a 2-es squid. Napközben a sulis vonalunk eléggé leterhelt, és azt szeretném megoldani hogy a vezetőség+titkárság+gazdaságis gépek (ezek a 10-20-as IP-jű gépek) a kolis vonalon menjenek ki a netre, hiszen azt napközben nem használja senki. Délután-este pedig a sulis vonalat használják, mert akkor meg a kolis vonal a leterheltebb.
Csak a HTTP forgalmat kellene így megoldani ezért keresnék valamilyen idevágó tűzfal szabályt. Ráadásul így könnyen meg tudnám oldani azt egy szkriptet időzítve, hogy délelőtt a egyik, délután a másik proxyt használják.
- A hozzászóláshoz be kell jelentkezni