https://opennet.ru/openforum/vsluhforumID12/6083.html Нужна помощь в настройке прокси сервера.<br>Хочется использовать Сквид как URL-фильтр и все (т.е. больше ничего в нем не настраивать), чтоб остальным занимался биллинг на основе ipfw. Но проблема в том что у сервера несколько каналов в Мир (4), это все учложняет задачу.<br><br>Пришел в голову такой вариант. Если в Сквиде установить tcp_outgoing_address равным IP пользователя. Т.е. можно как нибудь сделать, чтобы на выходе со Сквида у каждого пользователя оставался свой IP, а потом уже на основе их файрвол рулил (без правки конфигов Сквида кждый раз)?<br><br>Или какие еще есть варианты решения такой проблемы???<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#11 Mon, 01 Jun 2009 06:16:47 GMT &gt;покажи ipfw -a list <br><br>00100 37576 5129988 allow ip from any to any via lo0<br>00200 0 0 deny ip from any to 127.0.0.0/8<br>00300 0 0 deny ip from 127.0.0.0/8 to any<br>00900 998976 143112962 fwd 127.0.0.1,3128 tcp from 172.25.254.0/24 to any dst-port 80<br>01000 2197476 236967923 divert 8778 ip from table(1) to not table(10) not dst-port 80<br>01100 0 0 divert 8778 icmp from table(1) to not table(10)<br>01200 2440783 2026499384 divert 8778 ip from not table(10) to 192.168.33.7<br>01300 63132 10280264 divert 8668 ip from table(2) to not table(10) not dst-port 80<br>01400 0 0 divert 8668 icmp from table(2) to not table(10)<br>01500 259663 45504939 fwd 192.168.34.1 ip from 192.168.34.7 to not table(10)<br>01600 337717 345139186 divert 8668 ip from not table(10) to 192.168.34.7<br>01700 52837 2628887 divert 8558 ip from table(11) to not table(10) not dst-port 80<br>01800 0 0 divert 8558 icmp from table(11) to not https://opennet.ru/openforum/vsluhforumID12/6083.html#10 Sat, 30 May 2009 14:20:03 GMT &gt;[оверквотинг удален]<br>&gt;Хотя я всегда думал, что пайпы создаются в самом начале ... <br>&gt;<br>&gt;<br>&gt;&gt;попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею <br>&gt;&gt;сеть смотрит) и попробуйте с прописанным прокси в браузере <br>&gt;<br>&gt;Смысл? На внутренний если заворачивать - точно не будет резать, у меня <br>&gt;ж в правилах не резать на внутренний интерфейс стоит. <br>&gt;Прописывать прокси в браузере - довольно накладно: очень много машин, и разбросаны <br>&gt;территориально достаточно далеко (до 50км). <br><br>хватит нести ахинею про пайпы<br>покажи ipfw -a list<br> ipfw pipe show<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#9 Fri, 29 May 2009 17:51:14 GMT &gt;хз, в какой момент происходит у вас резка, до изменении адресов или <br>&gt;после, до маршрутизации или после, может это или такое перенаправление влияет, <br><br>Сам не пойму. Получается не режется только тот траффик, который заворачиваю на прокси. А остальной траффик (по другим портам) режется нормально.<br>Вроде бы на внутреннем ИФ режу, ничего не должно было поменяться. Может при заворачивании он как-то пакеты маркирует, что они не попадают под стандартные правила ???<br><br>Может правило для заворачивания кинуть ниже пайпов по порядку в ipfw ? Хотя я всегда думал, что пайпы создаются в самом начале ...<br><br>&gt;попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею <br>&gt;сеть смотрит) и попробуйте с прописанным прокси в браузере <br><br>Смысл? На внутренний если заворачивать - точно не будет резать, у меня ж в правилах не резать на внутренний интерфейс стоит.<br>Прописывать прокси в браузере - довольно накладно: очень много машин, и разбросаны территориально достаточно далеко (до 50км).<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#8 Fri, 29 May 2009 16:21:28 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;${ifi} - внутренний интерфейс <br>&gt;table(13) - пользователи <br>&gt;table(10) - это внутренний IP сервера и VPN-сеть (для них скорость не <br>&gt;нужно резать) <br>&gt;<br>&gt;прернаправление идет на 127.0.0.1 3128 (прокси не виден снаружи). Так что я <br>&gt;так понял к внутреннему IP сервера не нужно резать (172.25.254.254) <br>&gt;<br>&gt;Но вот почему скорость не режется ??? <br><br>хз, в какой момент происходит у вас резка, до изменении адресов или после, до маршрутизации или после, может это или такое перенаправление влияет, попробуйте заворачивать на внутренний интерфейс (не lo, а который во внутреннею сеть смотрит) и попробуйте с прописанным прокси в браузере<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#7 Fri, 29 May 2009 15:48:34 GMT &gt;squid -k reconfigure будет вполне достаточно <br><br>Поставил сквид, вроде все работает (только HTTPS зараза не поддерживает в прозрачном режиме). Но почему-то не режется скорость аплоада :(<br><br>В файрволе стоит:<br><br>pipe 21 ip from "table(13)" to not "table(10)" in via ${ifi}<br><br>${ifi} - внутренний интерфейс<br>table(13) - пользователи<br>table(10) - это внутренний IP сервера и VPN-сеть (для них скорость не нужно резать)<br><br>прернаправление идет на 127.0.0.1 3128 (прокси не виден снаружи). Так что я так понял к внутреннему IP сервера не нужно резать (172.25.254.254)<br><br>Но вот почему скорость не режется ???<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#6 Fri, 29 May 2009 10:50:58 GMT <br>squid -k reconfigure будет вполне достаточно<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#5 Fri, 29 May 2009 09:52:59 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Еще вариант. <br>&gt;<br>&gt;Можно ACL брать из отдельного файла в Сквиде? <br>&gt;<br>&gt;Например дописать Биллинг, чтоб при добавлении юзера он прописывал его IP в <br>&gt;файл. <br>&gt;<br>&gt;А в настройках сквида сделать ACL, только чтоб свое содержиое он брал <br>&gt;из этого файла. реально? <br><br>acl Bad dstdomain -i "/var/squid/bad.acl"<br>только потребуется reload при изменении файла<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#4 Fri, 29 May 2009 09:44:57 GMT &gt;И тогда уже просто чтоб биллинг раскидывал кого на какой порт. <br><br>Еще вариант.<br><br>Можно ACL брать из отдельного файла в Сквиде?<br><br>Например дописать Биллинг, чтоб при добавлении юзера он прописывал его IP в файл.<br><br>А в настройках сквида сделать ACL, только чтоб свое содержиое он брал из этого файла. реально?<br> https://opennet.ru/openforum/vsluhforumID12/6083.html#3 Fri, 29 May 2009 09:44:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;работы прокси ), вы это сможете реализовать и за одно сразу <br>&gt;&gt;думайте как будите ответы обратно в свой псевдопроски <br>&gt;&gt;запихивать <br>&gt;<br>&gt;Как тогда реализовать такой вариант??? <br>&gt;<br>&gt;Может запустить несколько копий SQID'a, по копии на каждый канал. Такое возможно? <br>&gt;<br>&gt;<br>&gt;И тогда уже просто чтоб биллинг раскидывал кого на какой порт. <br><br>запустить можете сколько хотите и настроить их чтобы слушали одновременно несколько портов, адресов, но отправлять пакеты он будет с адресом машины на которой запущен, а не клиента<br>