PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : squid im lan


meinereinerseiner
04.03.10, 21:42
Hi,

mal eine Frage.
Habe hier ein Lan. dort soll ein seperater squid server laufen. die clients sollen transparent über den squid surfen.

dazu habe ich auf der firewall (kein linux) 2 regeln, die besagen, das aller http trafic vom squid server ok ist und die zweite wirft alle anfragen von intern nach extern port 80 auf den squid server auf port 3128.

so, nun mein problem ist, das da irgendwo noch nen config oder denkfehler ist.
trage ich den proxy bei den clients ein, ist alles schön. ohne den eintrag sehe ich mit einem tcpdump auf dem proxy die redirekteten pakete, beim squid selber kommt laut log aber nix an.

meine frage ist nun - fehlt dem proxy server noch ein paar parameter?
netztechnisch sollte es doch aber egal sein, ob ich den traffic von einem anderen system redirekte, oder den direkt anspreche, oder?
"http_port 3128 transparent" brachte erstmal keinen erfolg.
oder aber ist die stelle bei der firewall zu suchen, wobei ich aber meine, das das dortige redirekt erstmal klappt, weil ansich die pakete ja ihren weg zum proxy server finden.


achja, die kiste ist ein centos 5.4 mit 2.6er squid

thx,
tom
muell200
05.03.10, 14:36
so, nun mein problem ist, das da irgendwo noch nen config oder denkfehler ist.

wenn ich alles richtig verstanden habe, dann ist das ok!



ohne den eintrag sehe ich mit einem tcpdump auf dem proxy die redirekteten pakete, beim squid selber kommt laut log aber nix an.


wohin werden die pakete geleitet?

blöde frage:
- squid läuft und die firewall erlaubt alles...
meinereinerseiner
05.03.10, 15:52
so, versuch ichs mal so:

LAN: 192.168.100.0/24
Firewall/Internet GW: 192.168.100.254
Proxy: 192.168.100.253
Client1: 192.168.100.1

Client1 hat die Firewall als Standard GW, die Firewall redirected alle Packete von Client1 mit dem DST any und DST Port 80 auf die Proxy IP Port 3128.
Dort soll dann eigentlich der squid die Sache in die Hand nehmen.

Hier mal der dump auf der firewall, wo man das redirecten eigentlich ganz gut sieht:

16:41:41.042690 IP 192.168.100.1.50403 > 83.246.119.19.80: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270160 0,nop,wscale 7>
16:41:41.042752 IP 192.168.100.1.50403 > 192.168.100.253.3128: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270160 0,nop,wscale 7>
16:41:44.040987 IP 192.168.100.1.50403 > 83.246.119.19.80: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270910 0,nop,wscale 7>
16:41:44.041007 IP 192.168.100.1.50403 > 192.168.100.253.3128: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270910 0,nop,wscale 7>
16:41:48.384011 IP 192.168.100.1.57853 > 74.125.39.103.80: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374271995 0,nop,wscale 7>
16:41:48.384080 IP 192.168.100.1.57853 > 192.168.100.253.3128: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374271995 0,nop,wscale 7>
16:41:48.946647 IP 192.168.100.1.55774 > 32.58.161.205.80: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272136 0,nop,wscale 7>
16:41:48.946714 IP 192.168.100.1.55774 > 192.168.100.253.3128: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272136 0,nop,wscale 7>
16:41:50.040988 IP 192.168.100.1.50403 > 83.246.119.19.80: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374272410 0,nop,wscale 7>
16:41:50.041010 IP 192.168.100.1.50403 > 192.168.100.253.3128: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374272410 0,nop,wscale 7>
16:41:51.381054 IP 192.168.100.1.57853 > 74.125.39.103.80: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374272745 0,nop,wscale 7>
16:41:51.381077 IP 192.168.100.1.57853 > 192.168.100.253.3128: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374272745 0,nop,wscale 7>
16:41:51.944970 IP 192.168.100.1.55774 > 32.58.161.205.80: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272886 0,nop,wscale 7>
16:41:51.945007 IP 192.168.100.1.55774 > 192.168.100.253.3128: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272886 0,nop,wscale 7>
16:41:57.380927 IP 192.168.100.1.57853 > 74.125.39.103.80: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374274245 0,nop,wscale 7>
16:41:57.380946 IP 192.168.100.1.57853 > 192.168.100.253.3128: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374274245 0,nop,wscale 7>
16:41:57.944961 IP 192.168.100.1.55774 > 32.58.161.205.80: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374274386 0,nop,wscale 7>
16:41:57.944982 IP 192.168.100.1.55774 > 192.168.100.253.3128: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374274386 0,nop,wscale 7>
16:42:02.040987 IP 192.168.100.1.50403 > 83.246.119.19.80: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374275410 0,nop,wscale 7>
16:42:02.041011 IP 192.168.100.1.50403 > 192.168.100.253.3128: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374275410 0,nop,wscale 7>

und das ist auf dem proxy zu sehen:

16:48:13.219151 IP 192.168.100.1.50403 > 192.168.100.253.squid: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270160 0,nop,wscale 7>
16:48:16.217424 IP 192.168.100.1.50403 > 192.168.100.253.squid: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374270910 0,nop,wscale 7>
16:48:16.217457 IP 192.168.100.253.squid > 192.168.100.1.50403: S 2892333930:2892333930(0) ack 3954577262 win 5792 <mss 1460,sackOK,timestamp 2547901058 374270910,nop,wscale 7>
16:48:16.217926 IP 192.168.100.1.50403 > 192.168.100.253.squid: R 3954577262:3954577262(0) win 0
16:48:20.560455 IP 192.168.100.1.57853 > 192.168.100.253.squid: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374271995 0,nop,wscale 7>
16:48:21.123135 IP 192.168.100.1.55774 > 192.168.100.253.squid: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272136 0,nop,wscale 7>
16:48:22.217513 IP 192.168.100.1.50403 > 192.168.100.253.squid: S 3954577261:3954577261(0) win 5840 <mss 1460,sackOK,timestamp 374272410 0,nop,wscale 7>
16:48:22.217544 IP 192.168.100.253.squid > 192.168.100.1.50403: S 2898334018:2898334018(0) ack 3954577262 win 5792 <mss 1460,sackOK,timestamp 2547907059 374272410,nop,wscale 7>
16:48:22.218012 IP 192.168.100.1.50403 > 192.168.100.253.squid: R 3954577262:3954577262(0) win 0
16:48:23.557501 IP 192.168.100.1.57853 > 192.168.100.253.squid: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374272745 0,nop,wscale 7>
16:48:23.557522 IP 192.168.100.253.squid > 192.168.100.1.57853: S 2891082459:2891082459(0) ack 4064316576 win 5792 <mss 1460,sackOK,timestamp 2547908399 374272745,nop,wscale 7>
16:48:23.558001 IP 192.168.100.1.57853 > 192.168.100.253.squid: R 4064316576:4064316576(0) win 0
16:48:24.121430 IP 192.168.100.1.55774 > 192.168.100.253.squid: S 4085146687:4085146687(0) win 5840 <mss 1460,sackOK,timestamp 374272886 0,nop,wscale 7>
16:48:24.121448 IP 192.168.100.253.squid > 192.168.100.1.55774: S 2905105016:2905105016(0) ack 4085146688 win 5792 <mss 1460,sackOK,timestamp 2547908963 374272886,nop,wscale 7>
16:48:24.121930 IP 192.168.100.1.55774 > 192.168.100.253.squid: R 4085146688:4085146688(0) win 0
16:48:29.557590 IP 192.168.100.1.57853 > 192.168.100.253.squid: S 4064316575:4064316575(0) win 5840 <mss 1460,sackOK,timestamp 374274245 0,nop,wscale 7>
16:48:29.557620 IP 192.168.100.253.squid > 192.168.100.1.57853: S 2897082556:2897082556(0) ack 4064316576 win 5792 <mss 1460,sackOK,timestamp 2547914400 374274245,nop,wscale 7>


das wars dann aber auch schon.

tom
muell200
05.03.10, 15:57
Client1 hat die Firewall als Standard GW, die Firewall redirected alle Packete von Client1 mit dem DST any und DST Port 80 auf die Proxy IP Port 3128.
Dort soll dann eigentlich der squid die Sache in die Hand nehmen.


wie werden die anfragen vom squid behandelt?

werden die auch wieder redirected? :)
meinereinerseiner
05.03.10, 15:59
nein, der proxy darf und kommt auch raus.
es geht ja auch problemlos, sobald ich den proxy im browser des clients eintrage, insofern klappt die ausgehende verbindung des proxy problemlos.

tom
muell200
05.03.10, 16:01
nein, der proxy darf und kommt auch raus.


denke ein masq problem...

aber dein netz ist etwas komisch aufgebaut oder?

client - firewall - squid - internet
meinereinerseiner
05.03.10, 16:06
denke ein masq problem...

aber dein netz ist etwas komisch aufgebaut oder?

client - firewall - squid - internet

wieso ist das komisch, steht doch nirgendwo geschrieben, das der proxy nicht im lan stehen darf, mal abgesehen davon, das ich, wenn er in der dmz stehen würde, das gleiche problem hätte, wäre unterm strich nur ein anderes redirect ziel.

und auf der firewall hat er nix zu suchen, die hat andere aufgaben.

tom