Главная » Форум » Gentoo Linux » Системное администрирование

Squid и TPROXY

DenisGavrilov 16 января, 2010 - 23:49

а кто нибудь уже пробовал TPROXY и squid?
описание тут
вот мои мучения
смущает после сборки squid WARN
Squid can be configured to run in transparent mode like this:
http_port internal-addr:3128 transparent
и ничего про tproxy
и в portage нет Squid 3.1.0.14 release - это нормально?

ps. прозрачное проксирование на тех же версиях программ работает "по-старому" работает.

‹ Asterisk (не работают входящие звонки) 1c VS Дебет Плюс ›
»

help

Автор DenisGavrilov, дата создания 17 января, 2010 - 05:54.

help

»

хм. никто не использует?

Автор DenisGavrilov, дата создания 19 января, 2010 - 18:47.

хм. никто не использует?

»

смысл использования прокси

Автор kaf1, дата создания 19 января, 2010 - 18:56.

смысл использования прокси отпал примерно лет 5 назад (ибо сейчас ~98% страниц динамические)

»

kaf1 написал(а): смысл

Автор DenisGavrilov, дата создания 19 января, 2010 - 23:38.
kaf1 написал(а):
смысл использования прокси отпал примерно лет 5 назад (ибо сейчас ~98% страниц динамические)

угу. хочу антивирус настроить и резалку всякой каки...
что другое предложите? я может от жизни отстал.
Спасибо заранее

»

вы не правы, имхо kaf1

Автор leryc, дата создания 20 января, 2010 - 11:37.

вы не правы, имхо

kaf1 написал(а):
смысл использования прокси отпал примерно лет 5 назад (ибо сейчас ~98% страниц динамические)

использую связку squid + havp + clamav - и наглядно вижу выигрыш существенный

насколько относится ваше замечание к TROXY конкретно - не могу судить, ибо не использую его и лень читать зачем он нужен

что-то добрый я сегодня ....

»

Смысла юзать не вижу. После

Автор slepnoga, дата создания 19 января, 2010 - 19:03.

Смысла юзать не вижу.
После запила L-7 level в файерволы не вижу совсем

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Смысла

Автор DenisGavrilov, дата создания 19 января, 2010 - 23:37.
slepnoga написал(а):
Смысла юзать не вижу.
После запила L-7 level в файерволы не вижу совсем

круто... а для чайников? что сие означает?

»

http://www.google.com.by/sear

Автор Lupo Alberto, дата создания 19 января, 2010 - 23:40.

http://www.google.com.by/search?q=l7+site%3Aopennet.ru&ie=utf-8&oe=utf-8&aq=t&rls=org.gentoo:en-US:unofficial&client=firefox

Я Gentoo & Funtoo

»

Мда...

Автор Anarchist, дата создания 20 января, 2010 - 10:14.
slepnoga написал(а):
Смысла юзать не вижу.
После запила L-7 level в файерволы не вижу совсем

LOLx1024

http://www.opennet.ru/openforum/vsluhforumID3/61518.html

Цитата:
Проект предлагает две версии L7-filter:

* Kernel version - ... не очень дружит с SMP-процессорами и позволяет использовать только самые простые регулярные выражения;

* Userspace version - находится в ранней стадии развития, ... не рекомендуют использовать на критических системах и для блокировки трафика.

:wq
--
Live free or die

»

После запила L-7 level в

Автор slepnoga, дата создания 20 января, 2010 - 15:32.
После запила L-7 level в файерволы не вижу совсем

Слово файерволы употреблялось во множественном числе. не апстолами едиными...
На дату статьи посмотрите и на версионность данного решения относительно ядер в дереве.

И сквид хотя бы на 30 мегабитном канале требует уже не PIII

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

А банеры, порно урлыб

Автор Sas, дата создания 20 января, 2010 - 15:43.

А банеры, порно урлы, рапидшары вы тоже будете фаером резать?

»

Мне незачем их резать,

Автор slepnoga, дата создания 20 января, 2010 - 15:48.

Мне незачем их резать, большинство юзеров на работе работаю за деньги и им не до порно, они все взрослые люди =)
Меньшинство с соц. сетями и прочей по итогам месяца исчезало из моего поля зрения.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

/

Автор Anarchist, дата создания 20 января, 2010 - 15:52.
slepnoga написал(а):
Мне незачем их резать, большинство юзеров на работе работаю за деньги и им не до порно, они все взрослые люди =)
Меньшинство с соц. сетями и прочей по итогам месяца исчезало из моего поля зрения.

LOL х многа
Далеко не все ресурсы, содержащие полезную информацию (или куда забредают пользователи в надежде отыскать оную, ибо многое ищется только в сомнительных дырах) свободны от баннеров мягко говоря сомнительного содержания.
И ты считаешь правильным, чтобы каждый конечный пользователь вместо работы занимался настройкой локальной баннерорезалки? :)
Меня же здесь удивляет больше то, что такой админ ещё не разделил судьбы "меньшинства" :)

:wq
--
Live free or die

»

тут надо определиться человек

Автор kaf1, дата создания 21 января, 2010 - 21:51.

тут надо определиться человек "одмин" в конторе или хочет продавать "интернет" другим конторам.

»

круто. 10 комментариев и ни

Автор DenisGavrilov, дата создания 21 января, 2010 - 17:44.

круто. 10 комментариев и ни одного по теме.

»

.

Автор patamooshta, дата создания 21 января, 2010 - 18:18.

ИМХО в этих комментариях есть ответы на ваши вопросы -
В: а кто нибудь уже пробовал TPROXY и squid?
О: нет
В: хм. никто не использует?
О: нет

Это подпись, которую невозможно истолковать неправильно

»

Подниму "запылившуюся" тему ;)

Автор willy, дата создания 26 февраля, 2011 - 14:12.

Что-то взбрендило в голову установить кальмара, ну и настроить его по-человечески
через сокеты/tproxy.
Апстол конфигурировал по этой заметке,
основные правила, относящиеся к фунциклированию Squid'a:

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
                echo "1" > $f
        done
for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
                echo "1" > $f
        done
eval /sbin/iptables --table mangle --new-chain SQUID_DISPATCH
eval /sbin/iptables --table mangle --append SQUID_DISPATCH --jump MARK --set-mark 1
eval /sbin/iptables --table mangle --append SQUID_DISPATCH --jump RETURN
eval /sbin/iptables --table mangle --append PREROUTING --protocol tcp --match multiport --dports 80,443 --match socket --jump SQUID_DISPATCH
eval /sbin/iptables --table mangle --append PREROUTING --protocol tcp --match multiport --dports 80,443 --jump TPROXY --tproxy-mark 0x1/0x1 --on-port 3128 --on-ip 10.12.1.1
echo 0 > /proc/sys/net/ipv4/conf/lo/rp_filter
eval /sbin/ip rule add fwmark 1 lookup 100
eval /sbin/ip route add local 10.12.1.1/28 dev eth1 table 100

Но ничё у мя не получается.
То есть - пишем iptables --table mandle -n -v -L,
видим, что пакеты в цепочке PREROUTING маркируются единичкой, ну а дальше - тишина.
У сквида прописано http_proxy 10.12.1.1:3128 tproxy
Может у кого есть конструктивныя мысли? А то у меня уже глава скоро отпадёт :D
Добавлю, что политики iptables по-умолчанию для таблиц mangle и nat - ACCEPT, для filter - DROP.

UPD: Дело было не в бобине... В пылу эксперимента произвёл на свет ошибку в конфигурационном файле Squid'a.
Прошу прощения.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".