LINUX.ORG.RU

Проксирующий Nginx + SQUID + mikrotik

 , , ,


0

2

Доброго всем времечка! Встала задача настроить SQUID + ScreenSquid для детального отчёта по трафику. В центре сети mikrotik, за ним сервер бэкэнд Apache и фронтенд Nginx, на том который фронтенд был установлен соответственно SQUID (работает под Gentoo). Вот что я нашёл по этой теме: https://toster.ru/q/220330 http://adminnote2.blogspot.com/2014/05/mikrotik-squida.html Собственно основной вопрос в iptables - во всех инструкциях необходимо делать редирект с портов 80, 443 на SQUID. А у меня по этим портам Nginx делает proxy_pass на Apache. Как так закрутить iptables чтобы работало?

Если используешь REDIRECT - можно и закрутить. Если используешь socket matching(TPROXY) - не получится, я пробовал, там всё печально. Здесь REDIRECT и TPROXY - это методы реализации через iptables.

TPROXY в общем случае нужен только если у тебя клиенты с публичными IP

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

ну это в ссылках было

Ну ок. Это было в ссылках, которые я прикладывал. 1) А как после этого запросы proxy_pass с Nginx к Apache в обход этого правила направить, мне моего опыта и знаний с iptables не хватает - поэтому и спрашиваю... Да и в интернетах не нашёл ответа на свой вопрос. Смотрел в сторону ipset и/или DNSmasq. 2) Пока у меня даже просто по инструкции не получилось настроить - скорее всего не хватает маршрута до SQUID. Но с этим я думаю разберусь. А вот что делать с первым пока ума не приложу. Сможет кто-нибудь на первый вопрос ответить?! Вот ещё раз первый вопрос: ServerA (NGINX) перенаправляет запрос через директиву proxy_pass на ServerB (APACHE), если что это две разные железки. Также на ServerA стоит SQUID на который редиректится трафик с портов 80,443 на порты SQUID'a 3128,3129 (соответственно). Если происходит редирект с 80,443 на 3128,3129 - меняется сертификат на сертификат SQUID'a, а должны быть разные сертификаты сайтов. Как пустить трафик сайтов в обход редиректа. Или может как то иначе это решается, короче сертификаты должны быть сайтов, а не SQUID...

hardbox00 ()
Ответ на: ну это в ссылках было от hardbox00

как после этого запросы proxy_pass с Nginx к Apache в обход этого правила направить
Как пустить трафик сайтов в обход редиректа

Пускай напрямую - это обеспечивает ключ -d. Ну и возможно необходимо правило в цепочке FORWARD, но без схемы сети с указанием IP-адресов и подсетей подсказать конкретное правило сложно.

Pinkbyte ★★★★★ ()