nixp.ru v3.0

26 мая 2017,
пятница,
21:43:53 MSK

DevOps с компанией «Флант»
anonymous написал 19 декабря 2005 года в 15:14 (449 просмотров) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

вот такой вопос.

стоит у меня squid на компе, который обладает тремя сетевыми интерфейсами:

1)81.176.*.*-интеренет 1

2)217.*.*.213-интернет 2

3)192.168.0.1-оффис

Какой код надо писать в конфиге, чтобы при обращании к адресу www.izhnet.ru то сквид работал через ИНТЕРЕНТ 1, если mail.ru то ИНТЕРНЕТ 2. При этом все запросы приходят из 192,168,0,1. Вот

fly4life

Почитай про 'tcp_outgoing_address'. Вот пример того, что тебе надо добавить в конфигурационный файл squid’а:

http_port 192.168.0.1:3128
acl inet1 dstdomain .izhnet.ru
acl inet2 dstdomain mail.ru
tcp_outgoing_address 81.176.*.* inet1
tcp_outgoing_address 217.*.*.213 inet2
anonymous

а если я хочу чтобы он заходил на несколько сайтов, например: www.izhnet.ru, nixp.ru, то тогда как?

anonymous

А если я начну выходить на левый сайт, то через какой интерфейс он пойдёт у меня. И ещё:

tcp_outgoing_address 81.176.*.* inet1

я понимаю это как, что если я иду на сайты группы inet1 то, он работает через 81.175….. , а не наоборот. Правильно?

Dr. Evil

acl inet1 dstdomain «полный путь к файлу, где ты укажешь список доменов, к которым можно подключиться»

а уж в файле пиши какие сайты можно открывать

гхм…

если чего-то не забыл

fly4life
тупая сова(Будте здорович
А если я начну выходить на левый сайт, то через какой интерфейс он пойдёт у меня. И ещё:

Через тот, который ты укажешь в соответствующем acl.

тупая сова(Будте здорович
tcp_outgoing_address 81.176.*.* inet1

я понимаю это как, что если я иду на сайты группы inet1 то, он работает через 81.175….. , а не наоборот. Правильно?

А «наоборот» — это как?

anonymous

ь

fly4life
А «наоборот» — это как?

Значит правильно.

А теперь такой вопрос. Как мне устроить авторизацию, например с помощью nsca_auth или что нить в этом духе. Вродебы всё правильно пишу (кол) а не спрашивает. И вообще как с помощь терминала прыгать по дирректориям?!

fly4life
Будьте здоровы как Олежка
ь

Значит правильно.

А теперь такой вопрос. Как мне устроить авторизацию, например с помощью nsca_auth или что нить в этом духе. Вродебы всё правильно пишу (кол) а не спрашивает.

Гм. Откуда такая уверенность, что пишешь всё правильно, если оно не работает? ;)

Будьте здоровы как Олежка
И вообще как с помощь терминала прыгать по дирректориям?!

cd?

Или ты про какие терминал с директориями?

anonymous

всмысле по папкам.

а про авторизацию может вы мне код напишите

fly4life
будьте здоровы
всмысле по папкам.

Положи папку на пол и смело прыгай.

man cd


будьте здоровы
а про авторизацию может вы мне код напишите

Лихо это у тебя как-то получается ;). Может лучше ты расскажешь, что и куда прописывал, а форумляне тебя поправят (если им не будет лениво, конечно же). А лично я авторизацию на squid’е не настраивал, писать тебе мне нечего.

anonymous

так как мне код отдута вытащить всё на одном компе сидит. а в линухе инета нет. а где можно на русском посмотреть хорошие рекомендации на эту тему.

fly4life
летающая птица(СОВА)
так как мне код отдута вытащить всё на одном компе сидит. а в линухе инета нет.

Нда.. Ну, сообрази, как можно текстовый файл перетащить из одной ОС в другую.

летающая птица(СОВА)
а где можно на русском посмотреть хорошие рекомендации на эту тему.

На opennet.ru есть огромная подборка статей на русском о настройке squid. Поищи там, может быть найдёшь что-то полезное для себя.

kvs

вот такой вопос.

стоит у меня squid на компе, который обладает тремя сетевыми интерфейсами:

1)81.176.*.*-интеренет 1

2)217.*.*.213-интернет 2

3)192.168.0.1-оффис

У меня аналогичная ситуация (IP тока другие), но SQUID лезет в нет через шлюз по умолчанию. попробую ваши рекомендации, хотелось-бы спросить, как сделать что-бы локальные процессы шли в Инет через нужный мне интерфейс (например ДНС сервер). У меня две таблицы маршрутизации, IPtables использую с маркировкой, колько для локальных процесов не получается.

Спсб.

fly4life
kvs
У меня аналогичная ситуация (IP тока другие), но SQUID лезет в нет через шлюз по умолчанию. попробую ваши рекомендации, хотелось-бы спросить, как сделать что-бы локальные процессы шли в Инет через нужный мне интерфейс (например ДНС сервер). У меня две таблицы маршрутизации, IPtables использую с маркировкой, колько для локальных процесов не получается.

Спсб.

Эти «локальные процессы» выполняются на том же шлюзе, что и squid? Если да, то почему бы просто не настроить интересующие службы (тот же ДНС) слушать определённый адрес? Или с помощью iptables запретить обращение к этим процессам по всем IP-адресам, кроме нужного?

P.S. кстати, причём здесь squid? ;)

kvs
fly4life
Эти «локальные процессы» выполняются на том же шлюзе, что и squid? Если да, то почему бы просто не настроить интересующие службы (тот же ДНС) слушать определённый адрес? Или с помощью iptables запретить обращение к этим процессам по всем IP-адресам, кроме нужного?

P.S. кстати, причём здесь squid? ;)

Сделал настройки, спб, все ок, прокся работает. Это хорошо, что в проксе можно так настроит. В BINDe я что-то не нашел настроек, как ему в Инет лазить. Намед у меня настроен как кэширующий, и как только я меняю шлюз по умолчанию, так ДНС сервер и лезет (например интерф. 202.*.*.5 шлюз 202.*.*.1) через этот интерфейс. С помощью iptables не получится, можно запретить и … Маркировка пакетов от локальных пакетов почему-то не работает. Принятие решения о маршрутизации пакета происходит до поступления пакета в таблицу МАРКИРОВКИ.

fly4life
kvs
Сделал настройки, спб, все ок, прокся работает. Это хорошо, что в проксе можно так настроит. В BINDe я что-то не нашел настроек, как ему в Инет лазить. Намед у меня настроен как кэширующий, и как только я меняю шлюз по умолчанию, так ДНС сервер и лезет (например интерф. 202.*.*.5 шлюз 202.*.*.1) через этот интерфейс. С помощью iptables не получится, можно запретить и … Маркировка пакетов от локальных пакетов почему-то не работает. Принятие решения о маршрутизации пакета происходит до поступления пакета в таблицу МАРКИРОВКИ.

Гм, ты меня прости, но я чего-то не допонимаю проблему.

Я подумал, что ты хочешь ограничить доступ к ДНС-серверу, разрешив обращаться к нему только «своим» сетям (к тому и был совет «слушать определённый адрес», что делается с помощью acl). Но, видимо ошибся…

Что значит, «как ему в инет лазить"? У тебя в настройках зоны корневых серверов прописано, куда ему идти для разрешения неизвестных имён. Вот он и идёт, следуя таблице маршрутизации. Что здесь не нравится и что надо ограничить-то?

kvs
fly4life
Что значит, «как ему в инет лазить"? У тебя в настройках зоны корневых серверов прописано, куда ему идти для разрешения неизвестных имён. Вот он и идёт, следуя таблице маршрутизации. Что здесь не нравится и что надо ограничить-то?

3 интерфейса на шлюзе, два смотрят в Инет (один помедленее «А», другой скоростной «В», к разным провайдерам.), третий в локалку. Шлюз по умолчанию идет через «А», т.е. 202.а.в.5 шлюз 202.а.в.1, и соответственно ДНС сервер обращается к ДНС серверу любого провайдера по шлюзу по умолчанию. Мне надо что-бы ДНС сервер через интерфейс «В» обращался к ДНС серверам провайдера.

Dr. Evil

а смысл что-то не улавливаю… один провайдер не может отрезольвить некоторые имена что ли?

твоя схема:

                                 Ты (DNS, SQUID, IPTABLES)

                                  |eth0          |eth1

                           провайдер А         провайдер В

ты хочешь, чтобы твой DNS мог обращаться на DNS провадера А только, например, через eth0, а на DNS провайдера В, например, через eth2, так?

kvs
Dr._Evil
а смысл что-то не улавливаю… один провайдер не может отрезольвить некоторые имена что ли?

твоя схема:

                                 Ты (DNS, SQUID, IPTABLES)

                                  |eth0               |eth1

                           провайдер А         провайдер В

ты хочешь, чтобы твой DNS мог обращаться на DNS провадера А только, например, через eth0, а на DNS провайдера В, например, через eth1, так?

Да, где-то так, при этом независимо какой у меня шлюз по умолчанию. В данном примере, шлюз по умолчанию идет через eth0, мне надо что-бы мой DNS сервер обращался к ДНС серверу провайдера через eth1.

Dr. Evil

во-первых, надеюсь, что DNS провайдера В ты указал, где это необходимо….

во-вторых, DNS провайдера В находится в одной сети с твоим eth2 (маски и ip с последним актетом давай)

опять у меня встает вопрос в необходимости всего этого. ведь после положительных ответов на DNS запросы от DNS провайдера А, на DNS провайдера В запросов не будет. Какой у тебя первым указан?

kvs
Dr._Evil
во-первых, надеюсь, что DNS провайдера В ты указал, где это необходимо….

во-вторых, DNS провайдера В находится в одной сети с твоим eth2 (маски и ip с последним актетом давай)

опять у меня встает вопрос в необходимости всего этого. ведь после положительных ответов на DNS запросы от DNS провайдера А, на DNS провайдера В запросов не будет. Какой у тебя первым указан?

eth0 202.*.*.5  шлюз  202.*.*.1  ДНС скрвер провайдера 202.*.*.20

eth1 80.*.*.8 шлюз 80.*.*.2  ДНС сервер провайдера 80.*.*.18

мой шлюз по default 202.*.*.1

Мой днс сервер настроен правильно и работает не один день. запускаю iptraf  и вижу  что все запросы к ДНС  серверам провайдеров идут через eth0. Но мне надо не меняя шлюз по default 202.*.*.1, что-бы мой днс сервер делал запросы к ДНС серверам провайдеров через eth1.  Как только меняю шлюз по default 202.*.*.1 на шлюз по default 80.*.*.2  , тогда запросы моего ДНС  сервера идут через eth1. Но мне надо, что-бы шлюз по default был 202.*.*.1

fly4life
kvs
eth0 202.*.*.5 шлюз 202.*.*.1 ДНС скрвер провайдера 202.*.*.20

eth1 80.*.*.8 шлюз 80.*.*.2 ДНС сервер провайдера 80.*.*.18

мой шлюз по default 202.*.*.1

Мой днс сервер настроен правильно и работает не один день. запускаю iptraf и вижу что все запросы к ДНС серверам провайдеров идут через eth0. Но мне надо не меняя шлюз по default 202.*.*.1, что-бы мой днс сервер делал запросы к ДНС серверам провайдеров через eth1. Как только меняю шлюз по default 202.*.*.1 на шлюз по default 80.*.*.2 , тогда запросы моего ДНС сервера идут через eth1. Но мне надо, что-бы шлюз по default был 202.*.*.1

Пропиши статический маршрут. Что-то вроде этого:

route add -host 80.*.*.18 netmask x.x.x.x dev eth1

где x.x.x.x — маска подсети, в которой находятся адреса ДНС-сервера и интерфейса eth1.

kvs
fly4life
Пропиши статический маршрут. Что-то вроде этого:

route add -host 80.*.*.18 netmask x.x.x.x dev eth1

где x.x.x.x — маска подсети, в которой находятся адреса ДНС-сервера и интерфейса eth1.

Увы, не помогло, прописал даже не хост, а всю сетку.

fly4life

И как теперь у тебя выглядит таблица маршрутизации?

kvs
fly4life
И как теперь у тебя выглядит таблица маршрутизации?

добавилась строка

Destination Gateway Genmask Flags Metric Ref Use Iface

80.*.0.0 * 255.255.0.0 U 0 0 0 eth1

ну и шлюз остался

default host-202.*.*.1 0.0.0.0 UG 0 0 0 eth0

fly4life

Маска у подсети 80.*.*.* точно верная?

Dr. Evil

kvs, у тебя и пинг не ходит до DNS провайдера В? правила фаервольчика бы посмореть…. сделаешь?

kvs
fly4life
Маска у подсети 80.*.*.* точно верная?

все верно, в фаере правила настроены для разных сетей.

Dr. Evil

kvs, мои вопросы не игнорируй. я, конечно, понимаю, что у тебя все правильно настроено, но ведь не работает, да?

значит, где-то ошибка.

kvs
Dr._Evil
kvs, мои вопросы не игнорируй. я, конечно, понимаю, что у тебя все правильно настроено, но ведь не работает, да?

значит, где-то ошибка.

вот смотрим

Destination Gateway Genmask Flags Metric Ref Use Iface

80.*.*.0 * 255.255.255.255 UH 0 0 0 eth0

202.*.*.0 * 255.255.255.255 UH 0 0 0 eth1

192.*.*.0 * 255.255.255.0 U 0 0 0 eth2

80.*.*.0 * 255.255.255.0 U 0 0 0 eth0

202.*.*.0 * 255.255.255.0 U 0 0 0 eth1

default host-202.*.*.1 0.0.0.0 UG 0 0 0 eth1

named через eth1 (202..5) через шлюз по умолчанию смотрит на днс сервер провайдера, и все работает. 202…-Это провайдер «А» .Меняю шлюз по умолчанию на 80… и мой намед через eth0 ломится к днс серверу провайдера «А», ну соответственно через провайдера «В». Поправляю forwardes в named и он теперь ломится к днс серверу провайдера «В» (к ближайшему).

Повторяю named работае нормально.

Вопрос простой, завернуть named через тот интерфейс, который мне нужен, независимо какой у меня шлюз по умолчанию.

Dr. Evil
80.*.*.0 * 255.255.255.255 UH 0 0 0 eth0

202.*.*.0 * 255.255.255.255 UH 0 0 0 eth1[q/uote]

то тебе зачем? ведь, если судить по маске, эти адреса с тобой в одной сети.

напиши хоть ip-адрес DNS провайдера

anonymous

Вы чего то меня совсем забыли.

Как сделать, чтобы squid обращался к интеренту через ADSL’модем, если у модема 192.168.0.2

Код нужен!

kvs
Dr._Evil
80.*.*.0        *               255.255.255.255 UH    0      0        0 eth0

202.*.*.0       *               255.255.255.255 UH    0      0        0 eth1[q/uote]

то тебе зачем? ведь, если судить по маске, эти адреса с тобой в одной сети.

напиши хоть ip-адрес DNS провайдера

eth1 202.*.*.5 шлюз 202.*.*.1 ДНС скрвер провайдера 202.*.*.20

eth0 80.*.*.8 шлюз 80.*.*.2 ДНС сервер провайдера 80.*.*.18

fly4life
идиотская совильда
Вы чего то меня совсем забыли.

Как сделать, чтобы squid обращался к интеренту через ADSL’модем, если у модема 192.168.0.2

Код нужен!

Пропиши соответствующий маршрут. Хотя думаю, тебе будет достаточно всего лишь указать адрес 192.168.0.2 в качестве шлюза по умолчанию (default gateway).

anonymous

Акот какой?

А про deafult gateway это в конфиге squid или в настройках сети?

kvs
идиотская совильда
Вы чего то меня совсем забыли.

Как сделать, чтобы squid обращался к интеренту через ADSL’модем, если  у модема 192.168.0.2

Код нужен!

смотри в squid.conf tcp_outgoing, там есть подсказка, и поставь IP интерфейса кот. смотрит в твой мопед

kvs
sova
Акот какой?

А про deafult gateway это в конфиге squid или в настройках сети?


+

ip route del default

ip route add default dev ethX via 192.168.0.2

x-чило твой инт смотр в мопед

anonymous

2005/12/22 17:30:30| parseConfigFile: line 3231 unrecognized: 'ip route del default'

2005/12/22 17:30:30| parseConfigFile: line 3232 unrecognized: 'ip route add default dev eth0 via 192.168.0.2\′

вот такая ошибка. Что делать?

kvs
sova
2005/12/22 17:30:30| parseConfigFile: line 3231 unrecognized: 'ip route del default'

2005/12/22 17:30:30| parseConfigFile: line 3232 unrecognized: 'ip route add default dev eth0 via 192.168.0.2\′

вот такая ошибка. Что делать?

Это надо набрать ручками в терминале, а не всовывать в конфиг.

набери в термнале route и покажи что тебе выдало

anonymous

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.0.0 * 255.255.255.0 U 0 0 0 eth0

169.254.0.0 * 255.255.0.0 U 0 0 0 eth0

127.0.0.0 * 255.0.0.0 U 0 0 0 lo

anonymous

1)

http_port 192.168.0.1:3128

acl inet1 dstdomain .izhnet.ru

acl inet2 dstdomain mail.ru

tcp_outgoing_address 81.176.*.* inet1

tcp_outgoing_address 217.*.*.213 inet2

(это был мое первый вопрос в этой теме)

а как указать чтобы например через 81.176.*.*

он ходил всегда кроме такого адресса: izhcom.ru

2)

чтобы сквид вообще выходил в инетенет надо указывать хоть какие-то настройки, например интерфейс?

anonymous

вот мой конфиг:

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_reply_access allow all

icp_access allow all

http_port 192.168.250:3128

visible_hostname SQUID

dns_nameservers 127.0.0.1

acl PILIGRIM src 192.168.0.0/24

#http_access allow PILIGRIM

http_access allow all

#acl inet1 dstdomain izhnet.ru

acl inet2 dstdomain izhcom.ru

#tcp_outgoing_address 81.176.*.* inet1

tcp_outgoing_address 192.168.1.1 inet2

комп имеет два интерфейсам

1)192.168.0.1-офис

2)192.16.8.1.1-от него кабель идёт на прямую

к ASDL модему. При чём, чтобы

сидеть в инете через этот

модем, в настройках

интерфейса надо указать

gateay, ip модема.

И в общих сетевых настройках

указать dns, снова ip модема.

Так вот. Запускаю сквид, пытаюсь сидеть через него-не сидит. Конфиг перед вами, чего не хватает?

kvs
sova
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

127.0.0.0       *               255.0.0.0       U     0      0        0 lo

и это вее :-((

192.168.1.0     *               255.255.255.0   U     0      0        0 eth1

169.254.0.0     *               255.255.0.0     U     0      0        0 eth0

192.168.0.0     *               255.255.255.0   U     0      0        0 eth0

127.0.0.0       *               255.0.0.0       U     0      0        0 lo

default 192.168.1.IP  modem

как мин должно быть

в сонсоли ifconfig должен показ  3 интерфейса lo  eth0  eth1

а после   можно и про squid  говорить

fly4life
sova
Так вот. Запускаю сквид, пытаюсь сидеть через него-не сидит. Конфиг перед вами, чего не хватает?

А с какой ошибкой отлупы даёт?

Нравится мне у тебя значение опции 'dns_nameservers' ;). У тебя на машине со squid поднят и DNS-сервер?

kvs
fly4life
А с какой ошибкой отлупы даёт?

Нравится мне у тебя значение опции 'dns_nameservers' ;). У тебя на машине со squid поднят и DNS-сервер?

посмотри таблицу маршутизации у него один интерфейс, а ты про Squid

fly4life
kvs
посмотри таблицу маршутизации у него один интерфейс, а ты про Squid

Хм. Не обратил внимания.

Ндааааа…. нет слов.