Re: Squid setup transparent
Thomas Mittelbach wrote: [...]
Ob dein Server als router arbeitet, hängt von deinem Setup ab. Nein und das soll er eigentlich auch nicht.
Ist mir zwar nicht klar, aber s.u.
Dann wäre er von extern ja nicht mehr erreichbar da der Hardware Router ja nicht mehr routen würde - oder?
Doch. Linux Server als router/FW für das lokale Netz hinter NAT-Router: wo ist das Problem?
Dein Setup sieht doch (hoffentlich) so aus (wie bei mir): clients - server - router und nicht (clients, server) - router
Zur Zeit sieht es so aus:(clients, server) - router aber ich bin für jeden Tip dankbar es evtl. auch anders zu handhaben.
OK, dein Setup hat das Problem, das die Clients NICHT durch den Server MÜSSEN um ins Netz zu gehen. Alle clients können direkt an den Router (die zweite Netzwerkkarte im Server brauchst Du da aber doch gar nicht, oder?) Einfacher wäre es, den Server zwischen den Router und die Clients zu setzen; dann kommt jeder Request am Server an. Der Server ist in diesem Fall ggf. auch Router. In diesem Fall ist es ein leichtes mit Regeln, Requests an x.x.x.x:80 umzubiegen auf server:3128 und den squid im transparent mode zu betreiben. Genau dieses Setup fahre ich zu Hause auch. Ferner kannst Du am Server genau einstellen (via FW) was für Ports du in welche Richtung durchlassen willst.
oder?
(Ansonsten bräuchte der Server nur ein IF)
Oder muss dem Server noch ein oder zwei IPs aus einem anderem Subnet verpasst werden über die dann Squid läuft?
Ich komme nicht weiter und ich finde keine Anleitung zu diesem Szenario.
Wenn alle Internet Requests der clients durch deinen Server durchmüssen, hast du doch schon gewonnen. So soll es werden - aber wie? Dann müsste der Server ja doch routen oder wo ist mein Denkfehler?
Jein; das ist tw. richtig (aber kein Problem, oder?). Also: WENN deine clients NUR über den squid ins Netz sollen und NICHT auch noch z.b. ssh, https, smtp o.ä. direkt nach draussen machen sollen, dann braucht der Server IMO nicht als router zu arbeiten. Aslo wenn die clients die Mail auch vom Server holen und über den Server verschicken, ... routet er nicht. Aber warum nicht als router arbeiten lassen und den traffic via FW-Regeln regeln?
Wo genau hakt es jetzt? Bei der Squid Config? Bei der FW-Regel? Beim Routing allgemein?
Wie setze ich es am besten so auf das die Requests durch Squid laufen.
Wenn die clients direkt an den NAT-Router können hast du keine Chance! ( Ok, vielleicht nicht ganz richtig: a) proxy Einstellen und Einstellung für user sperren b) lokale Regeln aufstellen, die einen Redirect auf server machen. c) alles sperren, was direkt raus gehen könnte (telnet, ftp, ...) Das sind aber alles Krücken )
Was geht; was geht nicht. Was hast du schon gemacht?
Ich habe die config so umgebogen, dass der Squid cache nun unter /var/squid/cache liegt. Da läuft ein 2tes RAID-Array allerdings ohne Redundanz 18,2 GB sollten locker reichen.
Gut, das hat aber nix mit deinen Kommunikationsproblemen zu tun.
Die weitere config ist wie auf http://de.opensuse.org/SDB:Grundlegende_Konfiguration_eines_Pr oxyservers beschrieben ein wenig angepasst.
OK, habe ich gesehen. Ist aber sehr alt. a) Welche squid Version? Die Konfiguration von squid als transparent proxy hat sich geändert. (Und ich habe keine Einstellung für den transparent proxy support auf der Seite gesehen ) b) geht dein client, wenn du den squid als proxy einträgst; den Proxy also gezielt ansprichst? c) Welche FW? Irgendwie musst Du ja auf dem Server sagen, das Requests an x.x.x.x:80 umgebogen werden sollen, oder? Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 20. Juni 2007 09:55:01 schrieb Kyek, Andreas, VF-DE:
Thomas Mittelbach wrote: [...]
Ob dein Server als router arbeitet, hängt von deinem Setup ab.
Nein und das soll er eigentlich auch nicht.
Ist mir zwar nicht klar, aber s.u.
Dann wäre er von extern ja nicht mehr erreichbar da der Hardware Router ja nicht mehr routen würde - oder?
Doch. Linux Server als router/FW für das lokale Netz hinter NAT-Router: wo ist das Problem?
Dein Setup sieht doch (hoffentlich) so aus (wie bei mir): clients - server - router und nicht (clients, server) - router
Zur Zeit sieht es so aus:(clients, server) - router aber ich bin für jeden Tip dankbar es evtl. auch anders zu handhaben.
OK, dein Setup hat das Problem, das die Clients NICHT durch den Server MÜSSEN um ins Netz zu gehen. Alle clients können direkt an den Router (die zweite Netzwerkkarte im Server brauchst Du da aber doch gar nicht, oder?) Ist auch nicht im Betrieb - im Moment.
Einfacher wäre es, den Server zwischen den Router und die Clients zu setzen; dann kommt jeder Request am Server an. Der Server ist in diesem Fall ggf. auch Router. In diesem Fall ist es ein leichtes mit Regeln, Requests an x.x.x.x:80 Genau da kommt dann die Sache mit den NICs ins Spiel, denn wenn ich Port 80 komplett auf 3128 umbiege hat sich der Apache erledigt. Also doch 3 NICs ? Die NIC die jetzt läuft so lassen (intern) eine zweite (intern) wäre das default Gateway für die Clients auf der ich Port 80 umbiegen könnte. und die dritte zum Router/Modem (extern und z. B. smtp vom Router aus auf diese forewarden evtl. auch andere Dienste. und natürlich in der FW entsprechend aufmachen. Alle 3 im selben Subnet - ( wie die Clients und der Router) wäre das so richtig? umzubiegen auf server:3128 und den squid im transparent mode zu betreiben. Genau dieses Setup fahre ich zu Hause auch. Ferner kannst Du am Server genau einstellen (via FW) was für Ports du in welche Richtung durchlassen willst.
oder?
(Ansonsten bräuchte der Server nur ein IF)
Oder muss dem Server noch ein oder zwei IPs aus einem anderem Subnet verpasst werden über die dann Squid läuft?
Ich komme nicht weiter und ich finde keine Anleitung zu diesem Szenario.
Wenn alle Internet Requests der clients durch deinen Server durchmüssen, hast du doch schon gewonnen.
So soll es werden - aber wie? Dann müsste der Server ja doch routen oder wo ist mein Denkfehler?
Jein; das ist tw. richtig (aber kein Problem, oder?). Also: WENN deine clients NUR über den squid ins Netz sollen und NICHT auch noch z.b. ssh, https, smtp o.ä. direkt nach draussen machen sollen, dann braucht der Server IMO nicht als router zu arbeiten. Aslo wenn die clients die Mail auch vom Server holen und über den Server verschicken, ... routet er nicht. Die sollen schon nach draußen dürfen, https smtp u. ä.
Aber warum nicht als router arbeiten lassen und den traffic via FW-Regeln regeln? O. k. - wie soll der Server routen? Wie NAT wenn der HardwareRouter auch NAT macht?
Wo genau hakt es jetzt? Bei der Squid Config? Bei der FW-Regel? Beim Routing allgemein?
Wie setze ich es am besten so auf das die Requests durch Squid laufen.
Wenn die clients direkt an den NAT-Router können hast du keine Chance!
( Ok, vielleicht nicht ganz richtig: a) proxy Einstellen und Einstellung für user sperren b) lokale Regeln aufstellen, die einen Redirect auf server machen. c) alles sperren, was direkt raus gehen könnte (telnet, ftp, ...) Das sind aber alles Krücken )
Was geht; was geht nicht. Was hast du schon gemacht?
Ich habe die config so umgebogen, dass der Squid cache nun unter /var/squid/cache liegt. Da läuft ein 2tes RAID-Array allerdings ohne Redundanz 18,2 GB sollten locker reichen.
Gut, das hat aber nix mit deinen Kommunikationsproblemen zu tun.
Die weitere config ist wie auf http://de.opensuse.org/SDB:Grundlegende_Konfiguration_eines_Pr oxyservers beschrieben ein wenig angepasst.
OK, habe ich gesehen. Ist aber sehr alt.
a) Welche squid Version? Die Konfiguration von squid als transparent proxy hat sich geändert. (Und ich habe keine Einstellung für den transparent proxy support auf der Seite gesehen ) Squid Version ist 2.5.STABLE10-5.5 (suse 10.0)
b) geht dein client, wenn du den squid als proxy einträgst; den Proxy also gezielt ansprichst?
c) Welche FW? Irgendwie musst Du ja auf dem Server sagen, das Requests an x.x.x.x:80 umgebogen werden sollen, oder?
Andreas -- Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Kyek, Andreas, VF-DE -
Thomas Mittelbach