[rlug] Re: Transparent proxy- foarte newbie :-)

Iulian Mihaescu Fri, 10 May 2002 05:06:55 -0700

Buna ALex,

Cam "subtire" explicatia ta.


Deci tu spui ca daca eu pun o regula de genul:
 /sbin/ipchains -A input -s 192.168.0.0/24 -d ! 192.168.0.1 80 -p TCP -j
REDIRECT 8080 

gata cu proxy-ul transparent? CAM in acest fel ma gindeam eu ca ar
trebui sa se faca traba cu transparenta, daca se refera la redirectarea
automata a cererilor clientilor din LAN si nu la altceva, fara ca
vre-unul dintre ei sa stie ca trec prin proxy.

DAr asta se face cu ipchains si nu cu squid. Deci in final,sectiunea :
    > ###transparent proxy###
    > httpd_accel_host virtual
    > httpd_accel_port 80
    > httpd_accel_with_proxy on
    > httpd_accel_uses_host_header on
    > ###end transparent proxy###
din squid.conf NU MAI ESTE FOLOSITOARE? Chair ca nu mai pricep nimic.

VA rog sa fiti ceva mai darnici in cuvinte, intrucit ma invirt in jurul
cozii de vre-o doua zile si nu reusesc sa ma descurc deloc.


On V, 2002-05-10 at 14:18, Alex Sirbu wrote:
    e destul de laborioasa problema proxyurilor transparente.
    de obicei se folosesc atunci cind nu vrei ca cei care ies in internet prin
    masina ta sa aiba acces direct.
    
    cel mai simplu  mod de a realiza un proxy transparent este de a redirecta
    cererile care portul 80 ( asta e numai pentru web chior) catre portul pe
    care asculta prozy-ul tau
    
    ----- Original Message -----
    From: "Iulian Mihaescu" <[EMAIL PROTECTED]>
    To: <[EMAIL PROTECTED]>
    Sent: Friday, May 10, 2002 1:58 PM
    Subject: [rlug] Transparent proxy- foarte newbie :-)
    
    
    >
    > Buna ziua.
    >
    > Am si eu o nelamurire. M-am apucat zilele trecute sa invat squid-ul.
    > Toate bune si frumoase. Am vazut ca o trasatura de baza a sa este
    > cache-ingul. Asta am si facut, prima data, l-am configurat ca
    > cache-proxy. Dau in continuare cele citeva linii din fisierul de
    > configurare:
    > ###CACHE PROXY###
    > http_port 8080
    > icp_port 3130
    > acl QUERY urlpath_regex cgi-bin \?
    > no_cache deny QUERY
    > cache_mem 16 MB
    > cache_replacement_policy heap GDSF
    > cache_dir ufs /home/squid/cache 250 16 256
    > cache_access_log /var/log/squid/access.log
    > cache_log /var/log/squid/cache.log
    > cache_store_log /var/log/squid/store.log
    > cache_swap_log /var/log/squid/swap.log
    > pid_filename /home/squid/run/squid.pid
    > ftp_user [EMAIL PROTECTED]
    > redirect_rewrites_host_header off
    > #Recommended minimum configuration:
    > acl all src 0.0.0.0/0.0.0.0
    > acl manager proto cache_object
    > acl localhost src 127.0.0.1/255.255.255.255
    > acl localnet src 192.168.0.0/255.255.255.0 #am adaugat-o eu
    > acl SSL_ports port 443 563
    > acl Safe_ports port 80          # http
    > acl Safe_ports port 21          # ftp
    > acl Safe_ports port 443 563     # https, snews
    > acl Safe_ports port 70          # gopher
    > acl Safe_ports port 210         # wais
    > acl Safe_ports port 1025-65535  # unregistered ports
    > acl Safe_ports port 280         # http-mgmt
    > acl Safe_ports port 488         # gss-http
    > acl Safe_ports port 591         # filemaker
    > acl Safe_ports port 777         # multiling http
    > acl CONNECT method CONNECT
    > #Default:
    > # http_access deny all
    > #Recommended minimum configuration:
    > # Only allow cachemgr access from localhost
    > http_access allow manager localhost
    > http_access deny manager
    > # Deny requests to unknown ports
    > http_access deny !Safe_ports
    > # Deny CONNECT to other than SSL ports
    > http_access deny CONNECT !SSL_ports
    > # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
    > http_access allow localhost
    > http_access allow localnet
    > http_access deny all
    > cache_mgr [EMAIL PROTECTED]
    > cache_effective_user squid
    > cache_effective_group squid
    > dns_testnames www.test.ro
    > logfile_rotate 4
    > log_icp_queries off
    > cachemgr_passwd gicatest all
    > buffered_logs on
    > anonymize_headers deny User-Agent #default este pe none
    > fake_user_agent Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.6+)
    Gecko/20011122
    >
    > ###END CACHE PROXY###
    > Ceea ce nu mai pricep eu acum, este cum o sa fac sa fie si TRANSPARENT.
    > Am citit in disperare o gramada de documente dar TOT nu pricep citeva
    > lucruri:
    >
    > 1. Ce este acela un proxy transparent?
    > 2. Cind am nevoie de un proxy transparent, sau cind se foloseste?
    > 3. In documentatie se spune ca este suficient sa mai configurez
    > urmatoarele linii in squid.conf
    > ###transparent proxy###
    > httpd_accel_host virtual
    > httpd_accel_port 80
    > httpd_accel_with_proxy on
    > httpd_accel_uses_host_header on
    > ###end transparent proxy###
    >
    > Aici am o mare dilema: La mine pe portul 80, asculta serverul de web.
    > In sectiunea CACHE PROXY, am configurat squidul sa asculte pe 8080,
    > asa cum se vede mai sus, in sectiunea CACHE.
    > Este corect sa pun in sectiunea transparent proxy ca squidul sa acsculte
    > pe portul 80, sau trebuie pus tot 8080?
    >
    > Daca da, atuci browserele clinetilor din lan pe ce port vor trebui
    configurate
    > sa lucreze cu squidul pe HTPP : 80 sau 8080? Ce o sa se intimple cu
    serverul de
    > web, care asculta si el pe 80? Va mai putea raspunde la intrebarile
    clientilor?
    > 4. Sunt foarte confuz intrucit un windows guru mi-a spus ca daca ai
    > transparent proxy, nu mai
    > trebuie sa le spui nimic clientilor din LAN, cum sa-si configureze
    > browserele. Zice ca treba o face automat Proxy-ul transparent. ca de aia
    > se numeste transparent. Eu personal nu cred
    > asa ceva, atit timp cit toata reteaua mea interna este pe neroutabile si
    > am folosit mascarea IP-ului pentru a putea oferi servicii in LAN.
    > Probabil ca mai trebuie sa treci o regula in firewall pe gateway, a.i.
    > sa rediretezi tot traficul din LAN catre squid pentru a obtine
    > redirectare automata.
    >
    > 5. La compilarea squidului, se mai spune ca: daca aveti kernel 2.4.x si
    > vreti transparent proxy,
    > atunci trebuie compilat squidul cu optiunea --enable-linux-netfilter.
    >
    > La mine problema sta cam asa: Intr-adevar am kernel 2.4.x pe masina, dar
    > folosesc ipchains si
    > nu iptables. Nu cumva ei doreau sa spuna cam asa: Daca ai kernel 2.4.x
    > si folosesti iptables si nu ipchains, atunci trebuie sa compilati
    > squidul cu optiunea --enable-linux-netfilter?
    >
    > Va rog foarte mult sa nu dati cu flama sau sa ma trrimiteti pe google,
    > ca am fost pe acolo si nu am priceput mare lucru. Doar am nevoie de
    > citeva lamuriri, ca sa pot intelege ce este un transparent proxy.
    >
    > Va multumesc anticipat pentru rabdarea pe care ati avut-o de a citi
    > mesajul pina la capat.
    >
    > Iulian Mihaescu.
    >
    >
    >
    >
    >
    > ---
    > Pentru dezabonare, trimiteti mail la
    > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
    > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
    >
    
    ---
    Pentru dezabonare, trimiteti mail la 
    [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
    REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
    
    
    
    


---
Pentru dezabonare, trimiteti mail la 
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/

[rlug] Re: Transparent proxy- foarte newbie :-)

Raspunde prin e-mail lui