Re: squid и имя хоста
"Dmitry E. Oboukhov" writes: > однако есть проблема: > обрабатывается только 128 директив http_port, остальные просто игнорируются. > причем что странно ни записи в лог об ошибке ни какого другого сообщения > тишь гладь и благодать. > а мне надо 1500 айпишников/портов распределить (конфиг генерился скриптом) > > что-то я гуглю гуглю и ненагуглю в чем может быть проблема? > > лимит на количество сокетов? врядли, он бы ругался во первых > а во вторых поставил в стартовом скрипте 4096 > > вообще если бы упиралось в какой-то лимит, то squid бы видимо ругался > про ошибки такие-то и сякие-то, но ругани совсем нет. > > не знаю что ковырять, посоветуйте куда посмотреть В исходники; #define MAXHTTPPORTS128 if (MAXHTTPPORTS == NHttpSockets) { debug(1, 1) ("WARNING: You have too many 'http_port' lines.\n"); debug(1, 1) (" The limit is %d\n", MAXHTTPPORTS); continue; } -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
Dmitry E. Oboukhov wrote: PS: возможно ли squid запустить под inetd? нет ссылки на пример? По остальным вопросам не отвечу (возможно стоит посмотреть, с какими опциями собран squid что лежит в пакете), а тут спрошу сам, а зачем, если не секрет? Учитывая, что сама по себе процедура запуск squid'а не быстрая, идея дергать сквида по каждому запросу представляется мне очень странной фантазией. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
On Friday 16 January 2009 11:58:03 Dmitry E. Oboukhov wrote: > может можно заставить squid слушать множество портов можно. > и менять номер порта? Кто кого? клиент может менять номер порта, к которому подключается. сквид после забиндивания на порт менять его не будет. > можно ли в acl'ях узнать номер порта с которого зашел клиент? можно
Re: squid и имя хоста
On Fri, Jan 16, 2009 at 12:58:03PM +0300, Dmitry E. Oboukhov wrote: > AGG> Нет, нельзя. Вспомни, что передает клиент серверу или прокси в > AGG> протоколе HTTP. > > хорошо, переформулируем задачу. > > имеется фирма, которая владеет хостом с N IP-шниками. > IP-шники разных подсетей. > > на хосте ставим squid. > > нужно чтобы разные отделы (или даже сотриудники) используя этот > сквид ходили бы с разных IP в интернет (рабочий процесс этого > требует) > > вопрос как наиболее просто, не привязываясь к локалкочным > IP это реализовать? желательно не привязываясь и к авторизации > на проксе. > > то есть чтобы пользователь сменил какую-то настройку > и пошел с другого IP-адреса в инет. Да, можно: DNAT'ом разные сети разводятся по разным портам squid'а, acl-ями разные порты разводятся по разным tcp_outgoing_address, а они уже роутером разводятся по разным каналом. Это работает. Теоретически можно было бы сделать гораздо проще, задав acl на src клиента, но для tcp_outgoing_address это не работает из-за особенностей реализации acl'ей в сквиде. Отдельных сотрудников тоже можно развести по разным каналам, связав правилами доступа порты с авторизацией. > может можно заставить squid слушать множество портов и менять номер > порта? можно ли в acl'ях узнать номер порта с которого зашел клиент? Можно: "читайте доки, они рулёз". (c) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
16.01.09, 15:40, "Alexander GQ Gerasiov" : > На Fri, 16 Jan 2009 15:31:36 +0300 > George Shuklin записано: > > 16.01.09, 13:22, "Alexander GQ Gerasiov" : > > > > > некоторый софт позволяет задавать bind к интерфейсам не > > > айпишниками, а dns именами... > > Это означает, что софт делает ресолв перед биндингом. Если у тебя два > > адреса указывают на один ИП ты не сможешь забиндить на один и тот же > > порт слушать две программы, хоть ты им разные имена и укажешь. > Так Дима и написал, что у него все же несколько локальных ip Если так, то самым простым решением будет несколько сквидов на разных интерфейсах (со своими АЦЛ). Если при этом ещё думать про кеширование, то "слушающие" сквиды без кеша и с маленьким кешем памяти, а "кеширующий" сквид биндится на локалхост и, собственно, кеширует. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
На Fri, 16 Jan 2009 15:31:36 +0300 George Shuklin записано: > 16.01.09, 13:22, "Alexander GQ Gerasiov" : > > > некоторый софт позволяет задавать bind к интерфейсам не > > айпишниками, а dns именами... > Это означает, что софт делает ресолв перед биндингом. Если у тебя два > адреса указывают на один ИП ты не сможешь забиндить на один и тот же > порт слушать две программы, хоть ты им разные имена и укажешь. Так Дима и написал, что у него все же несколько локальных ip -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
16.01.09, 13:22, "Alexander GQ Gerasiov" : > некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а > dns именами... Это означает, что софт делает ресолв перед биндингом. Если у тебя два адреса указывают на один ИП ты не сможешь забиндить на один и тот же порт слушать две программы, хоть ты им разные имена и укажешь. -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
На Fri, 16 Jan 2009 12:58:03 +0300 "Dmitry E. Oboukhov" записано: > AGG> Нет, нельзя. Вспомни, что передает клиент серверу или прокси в > AGG> протоколе HTTP. > > хорошо, переформулируем задачу. > > имеется фирма, которая владеет хостом с N IP-шниками. > IP-шники разных подсетей. > > на хосте ставим squid. > > нужно чтобы разные отделы (или даже сотриудники) используя этот > сквид ходили бы с разных IP в интернет (рабочий процесс этого > требует) > > вопрос как наиболее просто, не привязываясь к локалкочным > IP это реализовать? желательно не привязываясь и к авторизации > на проксе. некоторый софт позволяет задавать bind к интерфейсам не айпишниками, а dns именами... -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
16.01.09, 12:58, "Dmitry E. Oboukhov" : > AGG> Нет, нельзя. Вспомни, что передает клиент серверу или прокси в > AGG> протоколе HTTP. > хорошо, переформулируем задачу. > имеется фирма, которая владеет хостом с N IP-шниками. > IP-шники разных подсетей. > на хосте ставим squid. > нужно чтобы разные отделы (или даже сотриудники) используя этот > сквид ходили бы с разных IP в интернет (рабочий процесс этого > требует) > вопрос как наиболее просто, не привязываясь к локалкочным > IP это реализовать? желательно не привязываясь и к авторизации > на проксе. > то есть чтобы пользователь сменил какую-то настройку > и пошел с другого IP-адреса в инет. > может можно заставить squid слушать множество портов и менять номер > порта? можно ли в acl'ях узнать номер порта с которого зашел клиент? Почему ты боишься IP? DHCP в сети? Правильное решение проблемы - динамическая регистрация PTR'ов на DNS сервере и ACL по имени хоста пользователя. Есть другое правильное решение (для виндов) - NTLM авторизация (в этом случае авторизация идёт по имени пользователя или по группе AD). -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: squid и имя хоста
На Fri, 16 Jan 2009 12:24:11 +0300 "Dmitry E. Oboukhov" записано: > > есть squid на хосте. > > этот хост имеет несколько DNS имен. > > имеется несколько клиентов, которые идут в интернет прописав > прокси в таком виде: > > клиент1: squid.first.host.name:3121 > клиент2: squid.second.host.name:3121 > и так далее > > при этом все имена прокси squid.first.host.name, > squid.second.host.name, итп указывают на один IP адрес. > > Задача: написать разные acl для клиента1 и клиента2 > > можно ли? Нет, нельзя. Вспомни, что передает клиент серверу или прокси в протоколе HTTP. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:g...@cs.msu.su Jabber: g...@jabber.ru Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org