LINUX.ORG.RU
ФорумAdmin

squid iptables squid

 ,


0

2

Здравствуйте всем. Поставил новый сквид. Чтобы его протестировать сделал проброс порта со старого конторского сквида. Средствами iptables и тут затупил я.

1 способ: простой проброс. Но, оба кальмара в одной сетке. Поэтому новый сквид ответки возвращает напрямую клиенту. Обмен замирает.

2 способ: подмена обратного адреса. Обратный адрес конечно только первого сквида. Не подходит! ACL и списки доступа узеров в Инет не работают ( доступ по IP).

Правила iptables пока не привожу. Они стандартные. Может кто подскажет другое решение.

☆☆☆

Ответ на: комментарий от Mike_RM

Пробовал чего не заработало. Не понял что за порт3120. Поставил вместо него 0. В логах второго увидел опять запросы только IP от первого сквида.

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от Bootmen

чего не заработало

порт в файрволе открыл? icp_port в конфиге вышестоящего squid задал?

Без логов сложно сказать что у тебя там пошло не так

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Можно было и без icp:

Icp_port
Used for querying neighbor caches about objects. To have a non- ICP neighbor specify '7' for the ICP port and make sure the neighbor machine has the UDP echo port enabled in its /etc/inetd.conf file.

Но так как у ТС оба прокси - squid, то лучше конечно настроить icp.

Mike_RM
()
Ответ на: комментарий от Pinkbyte

Проброс через iptables:

2019/06/12 09:01:38.029 kid1| 33,2| client_side.cc(832) swanSong: local=10.12.1.158:80 remote=10.12.1.34:55857 f
lags=1 
Через transparent
2019/06/12 11:30:03.629 kid1| 33,2| client_side.cc(832) swanSong: local=10.12.1.158:80 remote=10.12.1.34:50879 f
lags=1
 
Настройки:
http_port 80  transparent
#cache_peer 10.12.1.158  parent 80 3130 no-query default
cache_peer 10.12.1.158  parent 80 0 no-query
        prefer_direct off
never_direct allow all 

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от mky

Раньше не передавался. ICP - протокол взаимодействия кэшей, соответственно запрос содержал адреса дочернего и родительских кэшей (т.е. дочернего и родительского squid). Сейчас не знаю - может что-то поменялось.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Кстати оба сквида стоят рядом. У каждого еще по две свободные сетевухи. Может чегонибудь через них замутить? Ничего в голову дельного не приходит.

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от Mike_RM

Если я правильно понял, что нужно ТС, то ему нужно пустить трафик через тестовый squid, чтобы проверить, что все acl и пр. работает, и чтобы в случае чего можно было легко откатить всё назад.

ИМХО, ему нужно просто настроить маршрутизацию — убрать тестовый прокси из адресного пространства локальной сети.

mky ★★★★★
()
Ответ на: комментарий от Bootmen

Какова конечная цель мероприятия? Оставить работать оба прокси сервера в связке? Или ввести в эксплуатацию новый и вывести старый? Приведён конфиг squid старого сервера или нового? Нужен вывод iptablesip a) со шлюза и с серверов если они самостоятельно редиректят трафик.

Mike_RM
()
Ответ на: комментарий от mky

cache_peer в две строчки настраивается, информация о src в любом случае не по ICP передаётся. ИМХО ТС не смог просто ICP отключить. Сейчас он полные конфиги выложит и посмотрим.

Mike_RM
()
Ответ на: комментарий от Mike_RM

Сейчас он полные конфиги выложит и посмотрим.

Выше конфиг.

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от Bootmen

Кстати оба сквида стоят рядом.

Тупо обменять им IP?

Bers666 ★★★★★
()
Ответ на: комментарий от Mike_RM

Какова конечная цель мероприятия?

Старый загасить. Новый в работу. Я бы конечно просто сей поменял IP в локалке. Но, на старом еще крутится фтп-сервер и самба и пара скриптов самопальных..

Приведён конфиг squid старого сервера

Конфиг старого.

Bootmen ☆☆☆
() автор топика
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от mky

ИМХО, ему нужно просто настроить маршрутизацию — убрать тестовый прокси из адресного пространства локальной сети.

У меня в сети не настроен DHCP.

Bootmen ☆☆☆
() автор топика
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Но, на старом еще крутится фтп-сервер и самба и пара скриптов самопальных..

Они как-то привязаны к ip ?

anc ★★★★★
()
Ответ на: комментарий от Bootmen

Вариант костылестроения. Зачем сетевки? Можно отдельную сеть алиасами поднять.

anc ★★★★★
()
Ответ на: комментарий от Bootmen

наверное речь шла о доп.сети L3 в параллели к оcновной.
Типа основная 10.12.1.0, дополнительная 192.168.0.0
ХЗ как это поможет

Bers666 ★★★★★
()
Последнее исправление: Bers666 (всего исправлений: 1)
Ответ на: комментарий от Bers666

ХЗ как это поможет

Еще как поможет. Смотрим топик.

1 способ: простой проброс. Но, оба кальмара в одной сетке. Поэтому новый сквид ответки возвращает напрямую клиенту. Обмен замирает.

В случае второй сети dnat нормально отработает, т.е. не будет прямого ответа клиенту.
2ТС видимо забыл пояснить, на первом кальмаре алиас, второго кальмара отправляем только в отдельную сеть.

anc ★★★★★
()
Ответ на: комментарий от anc

В случае второй сети dnat нормально отработает, т.е. не будет прямого ответа клиенту.
2ТС видимо забыл пояснить, на первом кальмаре алиас, второго кальмара отправляем только в отдельную сеть.

Тут запутался я. По вашей схеме:

1 кальмар: 192.168.1.1 (алиас) Делаем с него проброс на второй сквид 192.168.1.2 (единственная для него локалка).

На втором кальмаре gateway прописан шлюз провайдера. Тогда ответ клиенту 10.12.1.199 попрется в Инет. Никак не в сеть 192.168.1.0. Добавить дополнительно на второй машине?

up route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.1 dev p4p1
Типа первый сквид маршрутизатор? Но, тогда получится второй способ в извращенном виде. Наверное надо както еще iptables дописывать?

Bootmen ☆☆☆
() автор топика
Последнее исправление: Bootmen (всего исправлений: 2)
Ответ на: комментарий от Bootmen

Пардон. Тогда получится ответ клиенту с обратным IP второго кальмара.

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от Bootmen

Я предпологал другую схему.
Все оставляем как у вас есть. Только добавляем.
1. Первый кальмар алиас 192.168.1.1
2. Второй кальмар единственный интерфейс 192.168.1.2, defgw первый кальмар 192.168.1.1
3. На роутере добавить роут до сети 192.168.1.0 через первый кальмар.
4. Прописываем dnat на первом кальмаре на второй кальмар.

PS
Вот на этом моменте задумался

10.0.0.0 netmask 255.0.0.0

У вас такая большая сеть или у вас несколько сетей? Если второе то схема возможно усложниться.
PSS
Лучше приложить схемку хоть в текстовом варианте. А то одно дело как я догадался на основании описанного в топике, а по факту может быть все по другому. И мой совет окажется не верным.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

0.0.0.0 netmask 255.0.0.0

У вас такая большая сеть или у вас несколько сетей? Если второе то схема возможно усложниться.

Действительно сетка как грится от Сахалина до Калиниграда. Но у нашего «филиала» только две подсетки пользующие сквид. Ползание в циске-маршрутизаторе не одобряется админами из Москвы. Хотел обойтись без этого. Забыл сказать: оба кальмара имеют вторую сетевуху с белыми IP. То есть инет они получают напрямую от провайдера. (без локального шлюза).

Bootmen ☆☆☆
() автор топика
Ответ на: комментарий от Bootmen

Эм очень интересно. Т.е. у вас три подключения к инету
1. Киска
2. Сквид1
3. Сквид2
у клиентов defgw киска?

А у самих клиентов не прозрачный прокси прописан, я правильно понял?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Совершенно верно. Правда есть еще и др. машины с IP публичными. cisco3825 рулит подсетками и есть гатевей. Правда она пересылает кому надо на 0.0.0.0 через ar750s (с ним мне проще). Но, таких мало. Меня жаба душит пускать напрямую в Инет ::))

Bootmen ☆☆☆
() автор топика
Последнее исправление: Bootmen (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.