раздача через squid

[fisher74]

nat нужен для прозрачного проксирования. асько,почто пойдут прямотоком в таком случае.


P.S. Кстати, почту кальмар и не переваривает...

[serg138]

Спасибо. А хочу настроить без прозрачного прокси. Насколько я понял из документации при использовании прозрачного squid невозможно управлять доступом в интернет. Это верно? Верно ли что при использовании непрозрачного прокси никакого NAt не надо настраивать , и в iptables лезть не надо?

[fisher74]

при использовании прозрачного squid невозможно управлять доступом в интернет.
Это верно?

Неверно. Хотя возможно какая-то утилита, созданная для управления кальмаром, и не умеет. Самому squid на параметр transparent в плане aaa - фиолетово.

Верно ли что при использовании непрозрачного прокси никакого NAt не надо настраивать , и в iptables лезть не надо?

Верно. Это как раз альтернатива для тех, кто не раскурил iptables. Сам им пользовался для шаринга несколько лет исключительно из-за того, что не была расчищена карма.
Таки настоятельно рекомендую изучить iptables - мощнейший инструмент. Появится возможность выбирать решение задачи несколькими способами.

[serg138]

При прозрачном прокси вроде остается возможность сбора статистики по адреса, но ведь они могут меняться.
Пользователь решил продолжить мысль 01 Августа 2012, 14:55:39:Поставил squid3. Оказывается не только для браузеров надо вручную вводить адрес прокси-сервера, а в аську , почту.

[fisher74]

но ведь они могут меняться.

А как это связано с кальмаром? При непрозрачной работе они также могут меняться и возникают точно такие же вопросы.

Пользователь решил продолжить мысль 01 Августа 2012, 14:55:39:Оказывается не только для браузеров надо вручную вводить адрес прокси-сервера, а в аську , [/quote]
А как же Вы хотели? Если не хотите вводить вручную - для этого и придумали механизм прозрачности прокси.


Пользователь решил продолжить мысль 01 Августа 2012, 14:55:39:почту.
[/quote]
Вы видимо не полностью читаете ответы, что Вам пишут.
Покажите скриншот, куда Вы для почтовика собрались прокси вводить?

[serg138]

В the bat почта. Но там нет настроек прокси. Вообшем ни почта ни ни ftp не работают. Пока приплыл. Поставил webmin, но пока неясно как заставить работать.

На счет ip-адресов. Я могу ip-адреса в squid заменять на netbios имена компьютеров или их mac?

[fisher74]

В the bat почта. Но там нет настроек прокси.

Я Вам об этом весь день толдычу

ни ftp не работают.

А вот это странно. Должно работать, если в конфиге не ковырялись.

Я могу ip-адреса в squid заменять на netbios имена компьютеров или их mac?

netbios_имена - скорее нет, чем да. mac-адреса - очень даже можно. Но не забывайте, что mac-адрес актуален только в пределах своего сегмента сети.

[serg138]

Да , спасибо, теперь дошло. Почта в моем случае не заработает.

А при обращении к ftp вот что пишет:

Произошла ошибка аутентификации FTP при попытке получить URL: ftp://...........

Squid послал следующую команду FTP:

PASS <yourpassword>Сервер ответил:

Login or password incorrect!Администратор Вашего кэша: webmaster.

Я так понимаю, для того чтобы заработала почта надо все-таки прозрачный режим включать и тогда бегать не надо по всем настраивать.
Поставлю вопрос по другому. У меня около 40 компьютеров в одной сети 192.168.1.0, все в рабочей группе, домен хочу позже. Просто хочу управлять этими  компьютерами через squid. Кому-то полностью закрыть инет, кому-то частично, потом снять статистику по посещенным сайтам и трафику. Могу ли я это сделать в режиме прозрачного прокси?
Просто фразу из документации " в режиме прозрачного прокси не работет аутентификация пользователей" я воспринял как " значит списки ACL создавать бесполезно, никому ничего не запретить, все буду лазить бесконтрольно, статистику не снять". Вот.

[tagilchanin]

Да , спасибо, теперь дошло. Почта в моем случае не заработает.

А при обращении к ftp вот что пишет:

Произошла ошибка аутентификации FTP при попытке получить URL: ftp://...........

Squid послал следующую команду FTP:

PASS <yourpassword>Сервер ответил:

Login or password incorrect!Администратор Вашего кэша: webmaster.

Я так понимаю, для того чтобы заработала почта надо все-таки прозрачный режим включать и тогда бегать не надо по всем настраивать.
Поставлю вопрос по другому. У меня около 40 компьютеров в одной сети 192.168.1.0, все в рабочей группе, домен хочу позже. Просто хочу управлять этими  компьютерами через squid. Кому-то полностью закрыть инет, кому-то частично, потом снять статистику по посещенным сайтам и трафику. Могу ли я это сделать в режиме прозрачного прокси?
Просто фразу из документации " в режиме прозрачного прокси не работет аутентификация пользователей" я воспринял как " значит списки ACL создавать бесполезно, никому ничего не запретить, все буду лазить бесконтрольно, статистику не снять". Вот.

Не совсем верно. Аутентификация действительно работать не будет.
Но ACL будут отрабатываться, у самого настроено прозрачное проксирование, и созданы правила на основе этих ACl. Работает очень даже...

[serg138]

Во , спасибо за информацию. Почта и прочее без проблем работает? Я еще себе webmin поставил.
Пользователь решил продолжить мысль 01 Августа 2012, 17:52:22:опцию transparent указал. Теперь надо завернуть трафик на прокси. Написано сделать так.

Для проверки указываем в браузере на клиентской машине использование прокси-сервера с адресом 10.0.0.1 и портом 3128, убеждаемся что все работает. Остается настроить прозрачную работу прокси-сервера, чтобы http трафик заворачивался на Squid  автоматически, без прописывания прокси на клиенте. Для этого открываем  /etc/nat и дописываем в конец строку:

Строку я допишу , но у меня нет файла NAT в папке ETC. Опять чего доустановить надо?
Пользователь решил продолжить мысль 01 Августа 2012, 17:58:07:Я создал этот файл NAT там , но он пустой. В инструкции написано, что надо дописать строку. Как я понимаю помимо этой строки еще должно что-то там быть?

[Yuriy_Y]

ни ftp не работают.

А вот это странно. Должно работать, если в конфиге не ковырялись.

Просто так не будет работать. Надо в /etc/modules добавить загрузку модулей nf_conntrack_ftp и nf_nat_ftp.

[fisher74]

при чём тут модули netfilter? кальмар сам отрабатывает работу с ftp

Я так понимаю, для того чтобы заработала почта надо все-таки прозрачный режим включать

Да что же Вы никак не поймте-то. squid не заточен работать с почтовыми серверами НИКАК. Хоть вы ему какой режим выставьте, хоть транспарент, хоть не транспарент. http-only. Даже с ftp работает через http-запрос (ну примерно).
Чтобы заработала почта нужен nat.
Прозрачный режим прокси использется несколько для другого, чем почта и т.д. Он используется для упрощения работы с клиентами. У клиента просто настраивается сеть. Безо всяких доп.настроек браузерв и т.д. В идеале, это вообще dhcp. А вот на шлюзе могут поворачивать http-траффик на прокси-сервер. Цели достигаются разные: биллинг(в любом проявлении), фильтрация запрещённого контента, .... Прокси в обычном режиме ждёт от клиента пакет в котором обозначено, что работа ведётся через прокси и нужен вот такой-то контент. Если же траффик поворачивается на шлюзе, то клиент-же не добавляет никакие идентификаторы работы с прокси (он и не знает, что это происходит), вот именно для этих случаев прокси-сервер и переводится в режим прозрачности. Он прозрачен для HTTP-клиента.

[serg138]

Спасибо, теперь я все уяснил. Кстати я уже так сделал. Поставил вторую сетевую карту, настроил на ней внешний интерфейс. Установил squid в режим прозрачности и поднял NAT , но http трафик пока не заворачивал на прокси. Инет, почта и аська работают без проблем пока, в сервисах типа "мой ip" показывает внешний белый ip моего сервера.Это значит , что NAT работает? Вот пока я на этом и остановился, внешний ip пингуется , а вроде по безопасности лучше чтобы он не пинговался? Верно ли мое утверждение? И есть ли какие инструкции как это сделать?
Пользователь решил продолжить мысль 02 Августа 2012, 12:18:06:Кстати как указал на компе с win xp шлюзом и dns - сервером роутер ubuntu заметил что если к командной строке XP набрать ping имя_компьютера, то написание на экране изменилось выполнение команды.
Сейчас так:

Обмен пакетами с comp12 [::1] по 32 байт:

Ответ от ::1: время<1мс
Ответ от ::1: время<1мс
Ответ от ::1: время<1мс
Ответ от ::1: время<1мс

Статистика Ping для ::1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

А должно вроде быть так:

Обмен пакетами с comp12 по 32 байт:

Ответ от 192.168.1.5: число байт=32 время<1мс TTL=128
Ответ от 192.168.1.5: число байт=32 время<1мс TTL=128
Ответ от 192.168.1.5: число байт=32 время<1мс TTL=128

Статистика Ping для 192.168.1.5:
    Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

То есть при пинге компьютера по имени не узнать его адрес.
Пользователь решил продолжить мысль 02 Августа 2012, 12:23:08:Хотя nbtstat все покажет.
Пользователь решил продолжить мысль 02 Августа 2012, 14:04:51:С пингом из интернета внешнего ip пока не разобрался, все еще пингуется. Наверное в iptables где-то ошибку совершаю. Вернее я пробую прописывать из разрозненных источников. У меня eth0 смотрит в локалку, eth1 во внешний мир.

[fisher74]

создавайте новую тему, негоже тут мусорить

[serg138]

Файл squid.conf имеет очень много закомментированных строк. Сущевствует ли какая-то команда, которая бы удалила все эти строки из файла, чтобы нагляднее все было видно?