https://www.opennet.ru/openforum/vsluhforumID12/5272.html Всем доброго дня.<br>Заранее говорю, что доку и форумы читал, примеры находил, но вот не "срастается" у меня сия связка.<br>Данный топик хочется завести чтоб получить ответы и для себя, и для следующих поколений.<br>Первое что посетил это:<br>http://wiki.squid-cache.org/SquidFaq/CompleteFaq#head-182f30adede2d8daf8569aef5027629ed799b0d4<br>и<br>http://www.opennet.ru/openforum/vsluhforumID12/5182.html<br><br>И так, просто скачал образ Fedora 8 (Linux 2.623.1-48-fc8)<br>и попытался сделать вот такое (как было сказано в первой ссылке):<br><br><br> * In /etc/sysconfig/network-scripts/ifcfg-gre0 I have this: <br>DEVICE=gre0<br>BOOTPROTO=static<br>IPADDR=172.16.1.6<br>NETMASK=255.255.255.252<br>ONBOOT=yes<br>IPV6INIT=no<br><br>сохраняю, перегружаюсь и получаю сбой при инициализации интерфейса, типа возможно "оборудование не установлено".<br>Лано думаю я, пошел другим путем как описано по той же первой ссылке:<br><br><br>Ensure that the GRE code is either built as static or as a module by chosing the appropriate option in your kernel config. Then rebuild your k https://www.opennet.ru/openforum/vsluhforumID12/5272.html#29 Fri, 26 Dec 2008 09:35:09 GMT Надо же, столько искал и не видел.<br>Нашел через полминуты после того как написал на опеннете и прочел свой пост. Вот же я лол! :-)))<br>-A RH-Firewall-1-INPUT -m tcp -p tcp -s 10.69.0.0/18 --dport 3128 -j ACCEPT<br> https://www.opennet.ru/openforum/vsluhforumID12/5272.html#28 Fri, 26 Dec 2008 09:26:25 GMT Поставил простейший редиректор - Squrm.<br>Теперь другая проблема... с текущей конфигурацией работает на ура, а с приватными адресами - никак!<br>Вот что я поменял:<br>1. на циске <br>ip wccp web-cache redirect-list 97<br>access-list 97 deny xxx.yyy.zzz.30 # интерфейс eth1 прокси-сервера<br>access-list 97 permit 10.69.0.0 0.0.63.255 # клиенты с приватными айпишниками<br>access-list 97 deny any # остальных не проксировать<br><br>2. в iptables<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>:RH-Firewall-1-INPUT - [0:0]<br>-A INPUT -j RH-Firewall-1-INPUT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.yyy.zzz.0/21 --dport 22 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j DROP<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.yyy.zzz.0/21 --dport 80 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 10.69.0.0/18 --dport 80 -j ACCEPT<br>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP<br>- https://www.opennet.ru/openforum/vsluhforumID12/5272.html#27 Thu, 25 Dec 2008 08:48:31 GMT &gt;&gt;Так, собственно и собираюсь сделать... :) дождусь 3-го Update'а и наверно <br>&gt;&gt;переставлю... <br>&gt;&gt;А у Вас я так понял RHEL4? И на нем завелось без <br>&gt;&gt;проблем??? <br>&gt;<br>&gt;Нет, у меня RHEL5, я же сказал. Ядро 2.6.18-8.el5 <br>&gt;Все поднялось без проблем. <br>&gt;Кстати, вы не в курсе насчет того, есть ли в сквиде встроенный <br>&gt;редирект? Или надо отдельно ставить редиректор типа Squirm? Задача в том, <br>&gt;чтобы по определенной url-маске редиректить на заданную страницу. <br><br>В сторону SquidGuard смотрите.<br>Я его использую и для фильтрации "клубники" и для редиректа "любителя клубники" на страничку с "объяснением морали" ))). Использует базы данных с url, IP и "ключевое слово" в URL. Базы - Berkley DB.<br><br>в приведенном мною конфиге:<br>redirect_program /usr/local/bin/squidGuard (это по вкусу)<br> https://www.opennet.ru/openforum/vsluhforumID12/5272.html#26 Wed, 24 Dec 2008 08:46:18 GMT &gt;Нет, у меня RHEL5, я же сказал. Ядро 2.6.18-8.el5 <br><br>Просто в одном из постов вы сказали:<br>"У меня Cisco 7206VXR, сервак с RHEL4 (2.6.18-8.el5). Переделал конфиг squid.conf на новый лад, т.к. на RHEL4 используется SQUID 2.6.STABLE6 и некоторые директивы как "http_accel_..." не работают."<br>И я обратил больше внимание на RHEL а не на ядро... :)<br><br>&gt;Все поднялось без проблем. <br><br>Это радует!!!<br><br>&gt;Кстати, вы не в курсе насчет того, есть ли в сквиде встроенный <br>&gt;редирект? Или надо отдельно ставить редиректор типа Squirm? Задача в том, <br>&gt;чтобы по определенной url-маске редиректить на заданную страницу. <br><br>насколько мне известно, то сам сквид не редиректит... обычно пользуются внешними редиректорами, в конфиге есть даже опция: url_rewrite_program так, что я думаю надо что-то внешнее прикручивать...<br> https://www.opennet.ru/openforum/vsluhforumID12/5272.html#25 Wed, 24 Dec 2008 08:38:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Могу поделиться рабочим образом Fedora8+Squid+SquidGUARD+MRTG+FreeSA под VMWare. Все реально настроено и работает. <br>&gt;&gt;<br>&gt;<br>&gt;А можно поподробнее о ТТХ сервера. У меня тоже появился новый 1 <br>&gt;юнитовый Aquarius T50 D51. CPU:2x5310(Quad), RAM 4Г. Я задумывался о виртуализации, <br>&gt;правда под XEN. Вот думаю потянет или нет, и смотря сколько <br>&gt;гостевых систем... <br>&gt;А настройки Squid+SquidGUARD+MRTG+FreeSA с удовольствием бы посмотрел... так, что если не <br>&gt;затруднит, то можно сбросить на почту... Был бы премного <br>&gt;благодарен... <br><br>Сервер у меня такой: 2хXEON QUAD E5405, 8ГБ ОЗУ, 2х1000Гб, 2x1000Гбит LAN Intel&#174; 82563EB. Стоил он где то в районе 120 тыс. рублей.<br>При месячной нагрузки только одного сквида в 1200Гб трафика, сервер даже не чихает выше 20%, про остальные сервисы на этом сервере вообще молчу.<br>Конфиги - "вытащить" будет сложновато, так я много граблей пройдено и они уже на половину забыты, попробую на народ.диск слить VMWare диск, его потом можно просто у себя "подкл https://www.opennet.ru/openforum/vsluhforumID12/5272.html#24 Wed, 24 Dec 2008 07:40:39 GMT &gt;Так, собственно и собираюсь сделать... :) дождусь 3-го Update'а и наверно <br>&gt;переставлю... <br>&gt;А у Вас я так понял RHEL4? И на нем завелось без <br>&gt;проблем??? <br><br>Нет, у меня RHEL5, я же сказал. Ядро 2.6.18-8.el5<br>Все поднялось без проблем.<br>Кстати, вы не в курсе насчет того, есть ли в сквиде встроенный редирект? Или надо отдельно ставить редиректор типа Squirm? Задача в том, чтобы по определенной url-маске редиректить на заданную страницу.<br> https://www.opennet.ru/openforum/vsluhforumID12/5272.html#23 Wed, 24 Dec 2008 07:16:54 GMT &gt;[оверквотинг удален]<br>&gt;помощь интеловская фича - Intel ProSet. C ее помощью из двух <br>&gt;физических гигабитных сетевых я получил 10 адаптеров (разнесенные каждые в свой <br>&gt;VLAN, хотя это и не обязательно). Далее в настройках VMWare разнес <br>&gt;эти адаптеры разным вирутальным серверам. Так у меня на одном физическом <br>&gt;сервера работает сквид, MVTS, Asterisk, MikrotikOS (как HOTSPOT сервер). Такая организация <br>&gt;позволяет безпроблем и всяких осложнений "вводить" "выводить" и экспериментировать с различными <br>&gt;сервисами, не останавливая при этом физический сервер. <br>&gt;<br>&gt;Могу поделиться рабочим образом Fedora8+Squid+SquidGUARD+MRTG+FreeSA под VMWare. Все реально настроено и работает. <br>&gt;<br><br>А можно поподробнее о ТТХ сервера. У меня тоже появился новый 1 юнитовый Aquarius T50 D51. CPU:2x5310(Quad), RAM 4Г. Я задумывался о виртуализации, правда под XEN. Вот думаю потянет или нет, и смотря сколько гостевых систем... <br>А настройки Squid+SquidGUARD+MRTG+FreeSA с удовольствием бы посмотрел... так, что если не затруднит https://www.opennet.ru/openforum/vsluhforumID12/5272.html#22 Wed, 24 Dec 2008 07:04:11 GMT &gt;Спасибо за отзывы и пожелания. :-) <br>&gt;Может вам перейти с Fedora8 на RHEL5? ;-) <br>&gt;Ваш подход мне ближе, т.к. я не сторонник ковыряния в ядре. Вариант <br>&gt;с поднятием GRE через rc.local мне как-то больше нравится. <br><br>Так, собственно и собираюсь сделать... :) дождусь 3-го Update'а и наверно переставлю...<br>А у Вас я так понял RHEL4? И на нем завелось без проблем???<br> https://www.opennet.ru/openforum/vsluhforumID12/5272.html#21 Tue, 23 Dec 2008 22:26:28 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;В отличие от iles я забил на связку CISCO+Squid, потому как уперся <br>&gt;в стеклянную стену... :) настройки как у всех а у меня <br>&gt;не работает... :) я понял, что это в ядре проблема, <br>&gt;что собственно еще раз и подтвердил уважаемый iles, но с ядром <br>&gt;ковыряться не стал. Компилить ядро на рабочем серваке не захотел... <br>&gt;так, что у меня он работает как простой сквид.... :) <br>&gt;по крайней мере пока... возможно скоро придется перейти на другую <br>&gt;систему, тогда вновь возникнет эта проблема... :) так, что вы <br>&gt;тоже отпишитесь о ваших успехах... <br><br>Я решил все сервисы ставить на виртуальную машину (VMWare Workstation 6.0). Физически сервак один, сервак попался к тому же еще и "тонким", всего 1 юнит. много сетевых карт не поставишь. Но тут пришла на помощь интеловская фича - Intel ProSet. C ее помощью из двух физических гигабитных сетевых я получил 10 адаптеров (разнесенные каждые в свой VLAN, хотя это и не обязательно). Далее в настройках VMWare разнес эти адаптеры разным вирутальны