22.01.01, 13:31
Hi all,
ich habe auf EINEM Rechner zwei mal Squid laufen (mit zwei verschiedenen Caches). Dazu habe ich zwei verschiedene .conf - Dateien (squid_intern.conf und squid_extern.conf). In jeder dieser beiden Dateien habe ich einen anderen Nameserver eingetragen. Squid1 (squid_intern.conf) (Port80) ist da, um die Clients zu den Servern im Intranet weiterzuleiten (der eingetragene Nameserver kennt nur diese Adressen). Alles was er nicht auflösen kann, schickt er über die Ports 3128 und 3130 zu squid2 (squid_extern.conf). Dieser kann dann über seinen Nameserver alles auflösen, was in's Internet soll. Das funktioniert soweit auch ziemlich gut.
Nun zu dem Problem:
Ich würde gerne an jedem dieser Squids eine extra Accessliste pflegen. Ursprünglich habe ich mir das so gedacht:
es gibt zwei listen:
- intern.acl (da stehen dann z.B. zwei Adressen drinn: 10.1.1.1 und 10.1.1.2
- extern.acl ( mit folgender Adresse: 10.1.1.2 )
D.h. 10.1.1.2 darf sowohl ins Internet als auch ins Intranet und 10.1.1.1 darf nur ins Intranet und nicht ins Internet.
Squid1 schaut in beide Listen rein, Squid2 nur in die extern.acl. kommt jetzt von 10.1.1.1 eine Anfrage ans Intranet (www.intranetserver1.de), lässt Squid1 sie durch (intern.acl), löst sie auf und der Kuchen ist gegessen. Will diese Adresse ins Internet (www.pro-linux.de), kann Squid1 das nicht auflösen und schickt die Anfrage weiter an Squid2. Dieser schaut nur in die extern.acl, dort steht diese Adresse nicht drinn, also darf sie auch nicht surfen. Kommt eine Anfrage von 10.1.1.2 in Richtung Internet, lässt Squid 1 sie durch, kann nicht auflösen, schickt sie weiter an Squid2, der prüft die Accessliste extern.acl, dort steht diese Adresse drinn, und schon darf sie surfen.
Ich hoffe, das war halbwegs verständlich.
DAS DUMME IST NUR:
Alle Anfragen, die Squid1 nicht auflösen kann, schickt er mit der IP 127.0.0.1 an Squid2. D.h. ich kann an Squid2 gar keine Accessliste pflegen weil dieser keine Anfragen von einzelnen IP's bekommt sondern nur von einer einzigen (127.0.0.1)!!!
MEINE FRAGE:
Kann ich in der squid_intern.conf z.B einstellen, dass die Ports 3128 und 3130 nur für IP-Adressen erlaubt sind, die in einer Accessliste stehen? D.H. Squid1 muss in dieser Liste schauen, ob er z.B. die Adresse 10.1.1.2 übehaupt an Squid2 weiterschicken kann.
Falls irgendwer halbwegs verstanden hat, was mein Problem ist und (oh Wunder) auch noch weiss, wie man es lösen könnte - BITTE MELDE DICH!!!!!!!
Falls es nicht verständlich ist - mailto:michael.kettel@rz-as.de oder fragt in diesem Forum.
Gruss Michael
ich habe auf EINEM Rechner zwei mal Squid laufen (mit zwei verschiedenen Caches). Dazu habe ich zwei verschiedene .conf - Dateien (squid_intern.conf und squid_extern.conf). In jeder dieser beiden Dateien habe ich einen anderen Nameserver eingetragen. Squid1 (squid_intern.conf) (Port80) ist da, um die Clients zu den Servern im Intranet weiterzuleiten (der eingetragene Nameserver kennt nur diese Adressen). Alles was er nicht auflösen kann, schickt er über die Ports 3128 und 3130 zu squid2 (squid_extern.conf). Dieser kann dann über seinen Nameserver alles auflösen, was in's Internet soll. Das funktioniert soweit auch ziemlich gut.
Nun zu dem Problem:
Ich würde gerne an jedem dieser Squids eine extra Accessliste pflegen. Ursprünglich habe ich mir das so gedacht:
es gibt zwei listen:
- intern.acl (da stehen dann z.B. zwei Adressen drinn: 10.1.1.1 und 10.1.1.2
- extern.acl ( mit folgender Adresse: 10.1.1.2 )
D.h. 10.1.1.2 darf sowohl ins Internet als auch ins Intranet und 10.1.1.1 darf nur ins Intranet und nicht ins Internet.
Squid1 schaut in beide Listen rein, Squid2 nur in die extern.acl. kommt jetzt von 10.1.1.1 eine Anfrage ans Intranet (www.intranetserver1.de), lässt Squid1 sie durch (intern.acl), löst sie auf und der Kuchen ist gegessen. Will diese Adresse ins Internet (www.pro-linux.de), kann Squid1 das nicht auflösen und schickt die Anfrage weiter an Squid2. Dieser schaut nur in die extern.acl, dort steht diese Adresse nicht drinn, also darf sie auch nicht surfen. Kommt eine Anfrage von 10.1.1.2 in Richtung Internet, lässt Squid 1 sie durch, kann nicht auflösen, schickt sie weiter an Squid2, der prüft die Accessliste extern.acl, dort steht diese Adresse drinn, und schon darf sie surfen.
Ich hoffe, das war halbwegs verständlich.
DAS DUMME IST NUR:
Alle Anfragen, die Squid1 nicht auflösen kann, schickt er mit der IP 127.0.0.1 an Squid2. D.h. ich kann an Squid2 gar keine Accessliste pflegen weil dieser keine Anfragen von einzelnen IP's bekommt sondern nur von einer einzigen (127.0.0.1)!!!
MEINE FRAGE:
Kann ich in der squid_intern.conf z.B einstellen, dass die Ports 3128 und 3130 nur für IP-Adressen erlaubt sind, die in einer Accessliste stehen? D.H. Squid1 muss in dieser Liste schauen, ob er z.B. die Adresse 10.1.1.2 übehaupt an Squid2 weiterschicken kann.
Falls irgendwer halbwegs verstanden hat, was mein Problem ist und (oh Wunder) auch noch weiss, wie man es lösen könnte - BITTE MELDE DICH!!!!!!!
Falls es nicht verständlich ist - mailto:michael.kettel@rz-as.de oder fragt in diesem Forum.
Gruss Michael