named и squid

0

1

Здравствуйте, помогите разобраться, есть три вопроса:

1. Есть настроенный named на сервере на котором 2 сетёвки, одна смотрит наружу другая во внутрь. На самом сервере имена преобразуются нормально, а из внутренней сети нет. Пишет refuse отказано. по видимому что то связано с безопасностью. named запускается в chroot
Подскажите пожалуйста что необходимо прописать в конфиге, что бы заработало из локальной сети.

2. Есть настроенный squid какую необходимо опцию вписать в конфиг что бы не возможно было узнать внутренние ip адреса. forwarded_for off не помогло.

3. Так же по squid, если в браузере прописан ip прокси сервера, то всё работает нормально. Если же убираю эту запись в браузере, а на сервере где установлен squid перенаправляю пакеты с 80 порта на порт squid-а, то squid говорит что не правильный протокол, это происходит из за того что пакет предназначен был не ему, мы его принудительно перенаправили, что бы всё было нормально необходимо что то прописать в конфиге, кто знает что помогите пожалуйста.

За помощь заранее благодарен.

Ссылка

←	Удалил «рабочий стол»

Куда слать репорты?

→

Ждём конфигов.

AnDoR ★★★★★
(17.11.10 23:39:32 MSK)

Ответ на: комментарий от AnDoR 17.11.10 23:39:32 MSK

named

options
{
directory «/etc/namedb»;
pid-file «/var/run/named.pid»;
statistics-file «/var/run/named.stats»;
memstatistics-file «/var/run/named_mem.stats»;
allow-query
{
localhost;
};
listen-on port 53
{
127.0.0.1;
XXX.XXX.XXX.XXX; внутренний
XXX.XXX.XXX.XXX; внешний
};
recursion yes;
};

logging
{
channel default_syslog
{
file «/var/log/named.log» versions 3 size 100k;
// syslog daemon;
severity info;
print-time yes;
print-category yes;
};
channel default_debug
{
file «/var/run/named.run»;
severity dynamic;
};
channel security_syslog
{
file «/var/log/named.security.log» versions 3 size 100k;
severity info;
print-time yes;
print-category yes;
};
category default
{
default_syslog;
default_debug;
};
category security
{
security_syslog;
};
category unmatched
{
null;
};
channel default_stderr
{
stderr;
severity info;
};
channel null
{
null;
};
};

дальше описание файлов зон

squid

http_port 3128
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
icp_access allow all
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
#cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
cache_dir ufs /var/spool/squid/cache 1024 16 256
cache_store_log none
pid_filename /var/log/squid/squid.pid
minimum_object_size 1 KB
maximum_object_size 1024 KB
cache_swap_low 80
cache_swap_high 85
cache_effective_user squid
cache_effective_group squid
#access_log none
#logfile_rotate 1
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
visible_hostname metallista.com
error_directory /usr/share/squid/errors/Russian-1251
coredump_dir /var/spool/squid/cache
acl deny_ban url_regex «/etc/squid/deny_url»
acl deny_ban url_regex «/etc/squid/deny_ban»
acl banners url_regex «/etc/squid/banner.list»
http_access deny banners

далее идёт описание acl и http_access

кстати на acl all src 0.0.0.0/0.0.0.0 почему то ругается

v4567 ★★
(17.11.10 23:53:59 MSK) автор топика

Ответ на: комментарий от v4567 17.11.10 23:53:59 MSK

>allow-query

{

localhost;

};

тут ответ на 1. вопрос

hizel ★★★★★
(17.11.10 23:57:51 MSK)

Ответ на: комментарий от v4567 17.11.10 23:53:59 MSK

По squid:

http_port 3128 transparent

forwarded_for off не помогло.

Не правда

что бы не возможно было узнать внутренние ip адреса

forwarded_for off

И на вкусное:

request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all

Так вообще штатными средствами не определить само наличие прокси

uspen ★★★★★
(18.11.10 00:07:18 MSK)

Ссылка

3. Это называется «прозрачный прокси». Чтобы сквид работал в таком режиме, надо вместо (или помимо, см. ниже) http_port 3128 сказать http_port 3128 transparent (или http_port PORTNUM transparent, где PORTNUM != 3128, если хочется одновременной работы в прозрачном и непрозрачном режимах; в этом случае перенаправлять 80/tcp следует на этот PORTNUM)

dexpl ★★★★★
(18.11.10 00:09:47 MSK)

Ответ на: комментарий от hizel 17.11.10 23:57:51 MSK

hizel спасибо

v4567 ★★
(18.11.10 00:12:31 MSK) автор топика

Ответ на: комментарий от v4567 18.11.10 00:12:31 MSK

спасибо всем кто помогает

v4567 ★★
(18.11.10 00:16:43 MSK) автор топика

Ссылка

Ответ на: комментарий от dexpl 18.11.10 00:09:47 MSK

dexpl> если хочется одновременной работы в прозрачном и непрозрачном режимах

Позвольте, а сквид что, не может работать в непрозрачном режиме, если порт в конфиге указан, как transparent???

dhameoelin ★★★★★
(18.11.10 10:34:50 MSK)

Ответ на: комментарий от dhameoelin 18.11.10 10:34:50 MSK

> Позвольте, а сквид что, не может работать в непрозрачном режиме, если порт в конфиге указан, как transparent???

Проверил на 2.7 — таки да, может (хотя, насколько я помню, когда-то не мог).

dexpl ★★★★★
(26.11.10 21:40:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Удалил «рабочий стол»

General

Куда слать репорты?

→

Похожие темы