Re: AW: AW: Squid

2003-11-07 Wątek Grzegorz Szyszlo 

 Czy jeden serverek ze squidem wytrzyma 150 uzytkownikow i czy wybiore wersje
 z bridgem, to czy bede mogl w jakis sposob uzywac SNMP.

mi wytrzymuje 200. przy okazji obniza zuzycie lacza.
ale dziala jako transparent.

znik.

AW: Squid

2003-11-06 Wątek Wojciech Firlej 
Czesc,

Fajnie ze zaczeliscie ten temat, bo wlasnie mam zrobic plan dostepu sieci z
laczem 2 MBit/s. Klient koniecznie chce miec transparent proxy z Viruswallem
i do tego najlepiej jeszcze content filtering. To ostatnie zalatwie chyba na
cisco pix, bo jest to bajecznie proste do konfiguracji, ale zastanawiam sie
nad proxy.
Problem jest w tym, ze to proxy nie moze natowac (bo nie bede mogl
dostosowac content filtering do konkretnych IP - szef moze ogladac pornole,
a inni nie...).

Sa dwie mozliwosci:

- Squid na Proxy Arp
- Squid na Bridge

Ktora z wersji polecacie jesli wziasc pod uwage, ze musze miec mozliwosc
obserwacji kompa przez SNMP i z proxy ma kozystac okolo 150 osob.

Pozdrowienia

Wojciech Firlej

SCS-GmbH
Bodenseestraße 101
88138 Sigmarszell

Tel. 08382 / 966426
Fax. 08382 / 966425

http://www.scs-gmbh.net


-Ursprüngliche Nachricht-
Von: Lth [mailto:[EMAIL PROTECTED]
Gesendet: Donnerstag, 6. November 2003 12:17
An: Debian User-pl
Betreff: Re: Squid


Janes napisał:

1. WYtnij _caly_ ruch iptablesami.

No dobra, to się da zrobić i tak mam  w planie.

2. www i ftp pusc przez squida - IMHO najkorzystniejsza jest jawna
konfiguracja przegladarki przez klienta (z paru drobnych powodow, o
ktorych nie miejsce, ani czas sie rozpisywac) - jak klient sobei
przegladarki nie skonfiguruje, to nic nie zobaczy :P

Jeśli chodzi o tą kwestię to musi być transparentny.
Zamęczyli by mnie na śmierć, czemu net im nie chodzi.
Po 3 razy można by było tłumaczyć...

3. poczte wychodzaca pusc przez serwer smtp (jesli nie masz 101000
userow - standardowy exim w zupelnosci sobie poradzi)

Akurat poczty nie miałem w planie, ale pomyślę nad tym aspektem.
Konfiguracja exima to na razie dla mnie magia...

4. Poczte przychodzaca h. przyznam sie szczerze, ze ja w
kilku takich instalacjach (w malych firmach) ide po lini najmniejszego
oporu, czyli wypuszczam na swiat tcp/110, mozna ew. pokusic sie o
limit (www.mr0vka.eu.org Netfilter FAQ po polsku) - w takim ukladzie
przynajmniej zaden user nie zawraca ci du^H^H^H^H^H przeszkadza
spozywac piwa ;) bo sobie nowe konto na łoniecie zalozyl - i mu nie
dzial

5. Nie zapomnij o DNS - bind doskonale sie do tego nadaje ;)

DNS bedzie, o tym mam troche materiałów więc sobie poradzę...

6. Wszystkie pozostale potrzebne uslugi - przez stosowny serwer proxy, ew
prosto
w swiat, jak sie nie da, lub nie warto inaczej.

No dobra, ale wróćmy do mojego poprzedniego postu...
Nie wiem jak skonfigurować Squida!!

Wdzięczny byłbym za przykłady jakichs konfiguracji, najlepiej z opisem, no
ale jak już będzie bez to i tak będę dźwięczny i spróbuje jakoś odcyfrować.

Przydatne były by też jakieś bardziej szczegółowe arty.
Ten ze żłobka adminów czytałem i jest za ogólny...


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]

Re: AW: Squid

2003-11-06 Wątek Grzegorz Szyszlo 

 Fajnie ze zaczeliscie ten temat, bo wlasnie mam zrobic plan dostepu sieci z
 laczem 2 MBit/s. Klient koniecznie chce miec transparent proxy z Viruswallem
 i do tego najlepiej jeszcze content filtering. To ostatnie zalatwie chyba na
 cisco pix, bo jest to bajecznie proste do konfiguracji, ale zastanawiam sie
 nad proxy.
 Problem jest w tym, ze to proxy nie moze natowac (bo nie bede mogl
 dostosowac content filtering do konkretnych IP - szef moze ogladac pornole,
 a inni nie...).

a w czym masz problem? jak chcesz miec transparent, to po pierwsze
komputery do squida musza miec bezposredni routing. po drugie,
pakiety adresowane w swiat na webserwery musza byc na firewallu
zawracane do squida, a squid pyta dalej. po trzecie,
na squidzie nawet w domyslnym konfigu sa porobione
strefy na bazie numerow IP. uzytkownikow (tzn. komputery po IP)
przypisujesz do stref, a w strefie opisujesz gdzie mozna,
a gdzie nie mozna. kazda strefe mozesz definiowac osobno.
po czwarte, kazdy komputer musi miec nadawany caly czas
ten sam IP. czyli albo konfig statyczny na kazdym kompie
z osobna, albo robisz stale przypisanie IP do MAC
na DHCP. po piate, aby uzytkownicy nie oszukiwali,
robisz na firewallu albo squidzie (jak jest na firewallu)
transparent proxy.

sam squid moze byc na zewnatrz natowany, jesli zachodzi
taka potrzeba, np. squid znajduje sie w DMZ.

niestety sa problemy ze squidem, jesli sie siega
do serwerow www, ktore wisza na niestandardowych portach.
chocby strony sejmowe i akty prawne, ktore wisza
na jakichs dziwnych portach. takie cos trzeba
dokonfigurowywac albo osobno z pominieciem squida,
albo w samym squidzie ale nie wiem jak.

znik.

AW: AW: Squid

2003-11-06 Wątek Wojciech Firlej 
Nie potrzeba mi tego na squidzie, poniewaz:

Internet
|_
|Firewall| - - - - Linux z Websense
--
|
|___
| Squid |
-
|
   LAN

Firma chce migrowac na Active Directory w przyszlym roku, a websence moze
autoryzowac uzytkownikow tez po LDAP lub AD. Teraz bedzie jeszcze
autoryzacja po IP, ale pozniej AD.

Czy jeden serverek ze squidem wytrzyma 150 uzytkownikow i czy wybiore wersje
z bridgem, to czy bede mogl w jakis sposob uzywac SNMP.

Pozdrowienia

Wojtek

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact
[EMAIL PROTECTED]