The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid и DHCP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid и DHCP"  
Сообщение от nicks email(ok) on 16-Мрт-06, 12:35 
Вопрос такого плана: В одной конторе был поднят Linux сервер, squid,iptables,sarg,http, все затачивалось под статические  IP-адреса, затем пришли какие-то архаровцы и подняли на другом сервере DHCP. После чего прокся ни стого ни с сего начала отваливать пользователей и при повторном запросе не доводит до запроса на авторизацию! Делаем service squid restart все зашибись работает! Но через некоторое время опять та же самая история. DHCP, поднят на виндусячей машине и как и тем более кто его настраивал я не вкурсе!  Вот я и думаю может быть эта затыка с проксей из-за того,что DHCP сервер через какое-то время меняет ip адрес машин? Может есть какие-то другие мысли по этому поводу?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

  • Squid и DHCP, malamba, 13:25 , 16-Мрт-06, (1)  
    • Squid и DHCP, nicks, 14:48 , 16-Мрт-06, (2)  
      • Squid и DHCP, nicks, 16:59 , 16-Мрт-06, (3)  
        • Squid и DHCP, PavelR, 06:32 , 17-Мрт-06, (4)  
          • Squid и DHCP, PavelR, 06:36 , 17-Мрт-06, (5)  
            • Squid и DHCP, nicks, 09:40 , 17-Мрт-06, (7)  
              • Squid и DHCP, PavelR, 11:57 , 17-Мрт-06, (8)  
                • Squid и DHCP, nicks, 13:18 , 17-Мрт-06, (9)  
  • Squid и DHCP, PavelR, 06:39 , 17-Мрт-06, (6)  

Сообщения по теме [Сортировка по времени, UBB]


1. "Squid и DHCP"  
Сообщение от malamba email(ok) on 16-Мрт-06, 13:25 
Запросто. Особенно, если списки контроля доступа в сквиде построены на статических ip.

Можно попробовать заменить их все общим acl - локальная сеть.
А затем авторизацию проводить по пользователям.
В сквиде есть такая возможность, в последнем (2.5 build 12) точно есть.

НО по мне проще надавть по рукам архаровцам и снести напрочь DHCP сервер. Кому статические адреса мешали-то?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Squid и DHCP"  
Сообщение от nicks email(ok) on 16-Мрт-06, 14:48 
>Можно попробовать заменить их все общим acl - локальная сеть.
>А затем авторизацию проводить по пользователям.
>В сквиде есть такая возможность, в последнем (2.5 build 12) точно есть.
>
>
Тут вроде так все и реализовано, вот кусок squid.conf
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 81          # http
acl CONNECT method CONNECT

acl inet_users proxy_auth REQUIRED
acl inet_allow_hosts src 192.168.1.0/255.255.255.0
acl internet dst 0.0.0.0/0.0.0.0
acl localnet dst 192.168.1.0/24

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports


http_access allow inet_users internet
http_access deny internet
http_access deny all


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Squid и DHCP"  
Сообщение от nicks email(ok) on 16-Мрт-06, 16:59 
>>Можно попробовать заменить их все общим acl - локальная сеть.
>>А затем авторизацию проводить по пользователям.
>>В сквиде есть такая возможность, в последнем (2.5 build 12) точно есть.
>>
>>
>Тут вроде так все и реализовано, вот кусок squid.conf
>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl to_localhost dst 127.0.0.0/8
>acl SSL_ports port 443 563
>acl Safe_ports port 80        
> # http
>acl Safe_ports port 21        
> # ftp
>acl Safe_ports port 443 563     # https, snews
>
>acl Safe_ports port 70        
> # gopher
>acl Safe_ports port 210        
># wais
>acl Safe_ports port 1025-65535  # unregistered ports
>acl Safe_ports port 280        
># http-mgmt
>acl Safe_ports port 488        
># gss-http
>acl Safe_ports port 591        
># filemaker
>acl Safe_ports port 777        
># multiling http
>acl Safe_ports port 81        
> # http
>acl CONNECT method CONNECT
>
>acl inet_users proxy_auth REQUIRED
>acl inet_allow_hosts src 192.168.1.0/255.255.255.0
>acl internet dst 0.0.0.0/0.0.0.0
>acl localnet dst 192.168.1.0/24
>
>http_access allow manager localhost
>http_access deny manager
>http_access deny !Safe_ports
>
>
>http_access allow inet_users internet
>http_access deny internet
>http_access deny all

Может быть имеет смысл явно разрешить доступ с локальной сети???

acl inet_allow_hosts src 192.168.1.0/255.255.255.0
http_access allow inet_allow_hosts internet
http_access deny internet
http_access deny all

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Squid и DHCP"  
Сообщение от PavelR email(??) on 17-Мрт-06, 06:32 

Да все у него в конфиге правильно указано.

Можно правда несколько его оптимизировать, полностью убрав acl internet как абсолютно бесполезную.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Squid и DHCP"  
Сообщение от PavelR email(??) on 17-Мрт-06, 06:36 
>
>Да все у него в конфиге правильно указано.


Кстати, исходя из имен ACL правильнее всего было бы правило разрешения доступа написать в таком виде:

acl inet_users proxy_auth REQUIRED
acl inet_allow_hosts src 192.168.1.0/255.255.255.0

http_access allow inet_allow_hosts inet_users


тоесть разрешать пользователям только с тех хостов, с которых в принципе возможен  выход  в инет. В той версии конфига, что вы привели - правило inet_allow_hosts вообще не используется.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Squid и DHCP"  
Сообщение от nicks email(ok) on 17-Мрт-06, 09:40 
>>
>>Да все у него в конфиге правильно указано.
>
>
>Кстати, исходя из имен ACL правильнее всего было бы правило разрешения доступа
>написать в таком виде:
>
>acl inet_users proxy_auth REQUIRED
>acl inet_allow_hosts src 192.168.1.0/255.255.255.0
>
>http_access allow inet_allow_hosts inet_users
>
>
>тоесть разрешать пользователям только с тех хостов, с которых в принципе возможен
> выход  в инет.

Полностью с вами согласен!
>В той версии конфига, что вы
>привели - правило inet_allow_hosts вообще не используется.
Меня это то же насторожило, в конфиге правило http_access allow inet_allow_hosts internet  было закоментировано...
Вот я только одного понять не могу, в чем разница между правилами
http_access allow inet_allow_hosts internet и
http_access allow inet_users internet ???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Squid и DHCP"  
Сообщение от PavelR email(??) on 17-Мрт-06, 11:57 

>Вот я только одного понять не могу, в чем разница между правилами
>
>http_access allow inet_allow_hosts internet и
>http_access allow inet_users internet ???


Первое правило - дает интернет всем доверенным хостам,
второе запускает механизм авторизации по логину-паролю.

В общем случае достаточно

http_access allow inet_allow_hosts
или
http_access allow inet_users


поскольку в конце есть завершающее запрещающее правило
http_access deny all

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Squid и DHCP"  
Сообщение от nicks email(ok) on 17-Мрт-06, 13:18 
>
>
>>Вот я только одного понять не могу, в чем разница между правилами
>>
>>http_access allow inet_allow_hosts internet и
>>http_access allow inet_users internet ???
>
>
>Первое правило - дает интернет всем доверенным хостам,
>второе запускает механизм авторизации по логину-паролю.
>
>В общем случае достаточно
>
>http_access allow inet_allow_hosts
>или
>http_access allow inet_users
>
>
>поскольку в конце есть завершающее запрещающее правило
>http_access deny all

Спасибо большое за пояснения!
т.е как я понял, если использовать только http_access allow inet_allow_hosts, то все доверенные хосты будут ходить в инет без авторизации?  

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Squid и DHCP"  
Сообщение от PavelR email(??) on 17-Мрт-06, 06:39 

Ну и дополнительная мысль на тему:

забыть про dhcp, если клиентские машины настроены вручную. Для надежности и уверенности можешь потушить там "DHCP client" службу :) .

искать ошибки в журнале прокси сервера...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру