Доброго времени суток!

Есть задача - настроить iptables-box(linux-роутер: debian+iptables) и стоящий отдельно squid-box(squid 2.7 на debian) в режиме transparent-proxy.

Вопросы:

1)Может ли Squid висеть на том же интерфейсе роутера, что и машины, которые он будет обслуживать? (Или он таки закончит беседами с самими собой, как написано у O'Reilly?)

2)Куда(интерфейс, порт роутрера) Squid отправляет обработанные запросы?(в данном случае вопрос подразумевает, что у самого Squid только один интерфейс).

В литературе хорошо описано, что происходит с запросами, идущими от машин в локальной сети через внутренний интерфейс роутера, где они заворачиваются на порт 3128 и обрабатываются сквидом.
Возможно, для всего цивилизованного интернет-сообщества очевиднен их обратный путь, но, мне, увы, пока нет. ((

Спасибо за помощь!

• Stand Aside Squid-Box on The Same LAN as PC's IT Serves,reader, 13:04 , 14-Фев-11
  • Stand Aside Squid-Box on The Same LAN as PC's IT Serves,hel, 15:17 , 14-Фев-11
    • Stand Aside Squid-Box on The Same LAN as PC's IT Serves,reader, 16:30 , 14-Фев-11
      • Stand Aside Squid-Box on The Same LAN as PC's IT Serves,hel, 17:31 , 14-Фев-11

> Доброго времени суток!
> Есть задача - настроить iptables-box(linux-роутер: debian+iptables) и стоящий отдельно
> squid-box(squid 2.7 на debian) в режиме transparent-proxy.
> Вопросы:
> 1)Может ли Squid висеть на том же интерфейсе роутера, что и машины,
> которые он будет обслуживать? (Или он таки закончит беседами с самими
> собой, как написано у O'Reilly?)

может, при этом нужно смотреть что бы ответы правильно ходили, а для этого лучше между iptables-box и squid-box делать адреса не из подсети локалки. и так же следить какие пакеты на iptables-box будите заворачивать на squid-box

> 2)Куда(интерфейс, порт роутрера) Squid отправляет обработанные запросы?(в данном случае
> вопрос подразумевает, что у самого Squid только один интерфейс).

на шлюз по умолчанию.

> В литературе хорошо описано, что происходит с запросами, идущими от машин в
> локальной сети через внутренний интерфейс роутера, где они заворачиваются на порт
> 3128 и обрабатываются сквидом.
> Возможно, для всего цивилизованного интернет-сообщества очевиднен их обратный путь, но,
> мне, увы, пока нет. ((
> Спасибо за помощь!

>[оверквотинг удален]
>> Есть задача - настроить iptables-box(linux-роутер: debian+iptables) и стоящий отдельно
>> squid-box(squid 2.7 на debian) в режиме transparent-proxy.
>> Вопросы:
>> 1)Может ли Squid висеть на том же интерфейсе роутера, что и машины,
>> которые он будет обслуживать? (Или он таки закончит беседами с самими
>> собой, как написано у O'Reilly?)
> может, при этом нужно смотреть что бы ответы правильно ходили, а для
> этого лучше между iptables-box и squid-box делать адреса не из подсети
> локалки. и так же следить какие пакеты на iptables-box будите заворачивать
> на squid-box

поясните суть такой конфигурации, пожалуйста.

перефразирую вопрос 1: "а может ли свид сидеть в той же подсети, что и машины, которые он обслуживает и возвращать пакеты на тот же внутренний интерфейс с которого идет к нему на 3128 перенаправление tcp/80?"

предполагаю, что может, но нужно плясать с таблицами айпитейблов.

усложню условия, сказав, что на роутере должно быть только 2 интерфейса(в локалку и в интернет).

в таком случае, как представлена возможность "между iptables-box и squid-box делать адреса не из подсети локалки"?

>> 2)Куда(интерфейс, порт роутрера) Squid отправляет обработанные запросы?(в данном случае
>> вопрос подразумевает, что у самого Squid только один интерфейс).
> на шлюз по умолчанию.

по порту информации нету?

>> В литературе хорошо описано, что происходит с запросами, идущими от машин в
>> локальной сети через внутренний интерфейс роутера, где они заворачиваются на порт
>> 3128 и обрабатываются сквидом.
>> Возможно, для всего цивилизованного интернет-сообщества очевиднен их обратный путь, но,
>> мне, увы, пока нет. ((
>> Спасибо за помощь!

Это мне спасибо или вы как бы за меня себя поблагодарили? ;)

>[оверквотинг удален]
>>> собой, как написано у O'Reilly?)
>> может, при этом нужно смотреть что бы ответы правильно ходили, а для
>> этого лучше между iptables-box и squid-box делать адреса не из подсети
>> локалки. и так же следить какие пакеты на iptables-box будите заворачивать
>> на squid-box
> поясните суть такой конфигурации, пожалуйста.
> перефразирую вопрос 1: "а может ли свид сидеть в той же подсети,
> что и машины, которые он обслуживает и возвращать пакеты на тот
> же внутренний интерфейс с которого идет к нему на 3128 перенаправление
> tcp/80?"

можно , но ответ должен вернуться через iptables-box, если запрос был завернут с нее.
для этого придется сделать nat на iptables-box и после этого в логах squid все запросы будут от ip iptables-box, а это не всегда удобно.

> предполагаю, что может, но нужно плясать с таблицами айпитейблов.
> усложню условия, сказав, что на роутере должно быть только 2 интерфейса(в локалку
> и в интернет).

да хоть 1, на интерфейсе может быть несколько ip, в том числе и из разных подсетей

> в таком случае, как представлена возможность "между iptables-box и squid-box делать адреса
> не из подсети локалки"?

alias на iptables-box.

>>> 2)Куда(интерфейс, порт роутрера) Squid отправляет обработанные запросы?(в данном случае
>>> вопрос подразумевает, что у самого Squid только один интерфейс).
>> на шлюз по умолчанию.
> по порту информации нету?

порт и адрес назначения в пакете будет тот же что и в клиентском запросе, если мы говорим о прозрачном прокси.

>>> В литературе хорошо описано, что происходит с запросами, идущими от машин в
>>> локальной сети через внутренний интерфейс роутера, где они заворачиваются на порт
>>> 3128 и обрабатываются сквидом.
>>> Возможно, для всего цивилизованного интернет-сообщества очевиднен их обратный путь, но,
>>> мне, увы, пока нет. ((
>>> Спасибо за помощь!
> Это мне спасибо или вы как бы за меня себя поблагодарили? ;)

это ваши слова.

спасибо!