forum.opennet.ru

Составление сообщения

Исходное сообщение

"Fedora8 + Squid + GRE + CISCO"
Отправлено Timothy, 23-Дек-08 19:56

Огромное спасибо за оперативный ответ!
Даже не ожидал, что так быстро откликнитесь, iles и Андрей.
Через час после поста iles-a я уже сверял настройки и к 3-м часам ночи у меня уже всё работало :-)
Теперь по пунктам.
1. С ядром НИЧЕГО не делал. То есть вообще ничего :-)
2. То что ip_wccp вообще не нужен, стало для меня открытием. С удовольствием от него избавился (убрал все упоминания о нем из конфигов).
3. GRE поднял полностью в rc.local (заменив при этом реальные ip на фейковые)
modprobe ip_gre
ip tunnel add gre0 mode gre local 175.175.175.254 dev eth1
ip addr add 175.175.175.254/32 dev gre0
ip link set gre0 up
4. iptables у меня выглядит так:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 5902 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5902 -j DROP
-A RH-Firewall-1-INPUT -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 3128 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 3128 -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -s xxx.xxx.xxx.0/21 -d xxx.xxx.xxx.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s xxx.xxx.xxx.0/21 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
Я закрываю фаерволом ssh,http и vnc с внешних сетей. Прероутинг сделал по iles-у, с поправкой, что к данной машине я обращаюсь на 2-й адрес, а не на 30-й, который настроен на связку с циской.
5. На циске убрал "ip wccp web-cache group-listen" с интерфейса GigabitEthernet0/2.5, т.к. нигде в мануалах не встречал такую директиву (её поставил наш цискарь).
В остальном оставил прежние настройки.
Вопрос iles: у вас NAT используется? или мы говорим о прозрачном прокси?
6. Конфиг сквида у нас практически не различается, но так по мелочам поправил...
Не знаю, какое из моих действий повлияло, но прокси "мэджикалли" заработал. Пока еще не разбирался, где именно решающее отличие. Сначала надо выспаться :-))
Вообщем, не вижу смысла использовать реальные ip для связки SQUID-Cisco, тем более что задача у меня стоит специфичная. Я поднимаю сквид не для проксирования клиентов, а для
http://wiki.bgbilling.ru/index.php/Детальное_информирование_абонентов_о_причинах_ошибки_691
Так что, мне предстоит еще заточить сквид под конкретную задачу.
Еще раз спасибо.

Исходное сообщение
"Fedora8 + Squid + GRE + CISCO" Отправлено Timothy, 23-Дек-08 19:56
Огромное спасибо за оперативный ответ! Даже не ожидал, что так быстро откликнитесь, iles и Андрей. Через час после поста iles-a я уже сверял настройки и к 3-м часам ночи у меня уже всё работало :-) Теперь по пунктам. 1. С ядром НИЧЕГО не делал. То есть вообще ничего :-) 2. То что ip_wccp вообще не нужен, стало для меня открытием. С удовольствием от него избавился (убрал все упоминания о нем из конфигов). 3. GRE поднял полностью в rc.local (заменив при этом реальные ip на фейковые) modprobe ip_gre ip tunnel add gre0 mode gre local 175.175.175.254 dev eth1 ip addr add 175.175.175.254/32 dev gre0 ip link set gre0 up 4. iptables у меня выглядит так: filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j DROP -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 5902 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5902 -j DROP -A RH-Firewall-1-INPUT -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 3128 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 3128 -j DROP COMMIT nat :PREROUTING ACCEPT [0:0] -A PREROUTING -s xxx.xxx.xxx.0/21 -d xxx.xxx.xxx.2 -p tcp -m tcp --dport 80 -j ACCEPT -A PREROUTING -s xxx.xxx.xxx.0/21 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 COMMIT Я закрываю фаерволом ssh,http и vnc с внешних сетей. Прероутинг сделал по iles-у, с поправкой, что к данной машине я обращаюсь на 2-й адрес, а не на 30-й, который настроен на связку с циской. 5. На циске убрал "ip wccp web-cache group-listen" с интерфейса GigabitEthernet0/2.5, т.к. нигде в мануалах не встречал такую директиву (её поставил наш цискарь). В остальном оставил прежние настройки. Вопрос iles: у вас NAT используется? или мы говорим о прозрачном прокси? 6. Конфиг сквида у нас практически не различается, но так по мелочам поправил... Не знаю, какое из моих действий повлияло, но прокси "мэджикалли" заработал. Пока еще не разбирался, где именно решающее отличие. Сначала надо выспаться :-)) Вообщем, не вижу смысла использовать реальные ip для связки SQUID-Cisco, тем более что задача у меня стоит специфичная. Я поднимаю сквид не для проксирования клиентов, а для http://wiki.bgbilling.ru/index.php/Детальное_информирование_абонентов_о_причинах_ошибки_691 Так что, мне предстоит еще заточить сквид под конкретную задачу. Еще раз спасибо.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Огромное спасибо за оперативный ответ! > Даже не ожидал, что так быстро откликнитесь, iles и Андрей. > Через час после поста iles-a я уже сверял настройки и к 3-м > часам ночи у меня уже всё работало :-) > Теперь по пунктам. > 1. С ядром НИЧЕГО не делал. То есть вообще ничего :-) > 2. То что ip_wccp вообще не нужен, стало для меня открытием. С > удовольствием от него избавился (убрал все упоминания о нем из конфигов). > 3. GRE поднял полностью в rc.local (заменив при этом реальные ip на > фейковые) > modprobe ip_gre > ip tunnel add gre0 mode gre local 175.175.175.254 dev eth1 > ip addr add 175.175.175.254/32 dev gre0 > ip link set gre0 up > 4. iptables у меня выглядит так: > filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > :RH-Firewall-1-INPUT - [0:0] > -A INPUT -j RH-Firewall-1-INPUT > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 > --dport 22 -j ACCEPT > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 > -j DROP > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 > --dport 80 -j ACCEPT > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 > -j DROP > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s xxx.xxx.xxx.0/21 > --dport 5902 -j ACCEPT > -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5902 > -j DROP > -A RH-Firewall-1-INPUT -m tcp -p tcp -s xxx.xxx.xxx.0/21 --dport 3128 -j ACCEPT > -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 3128 -j DROP > COMMIT > nat > :PREROUTING ACCEPT [0:0] > -A PREROUTING -s xxx.xxx.xxx.0/21 -d xxx.xxx.xxx.2 -p tcp -m tcp --dport 80 > -j ACCEPT > -A PREROUTING -s xxx.xxx.xxx.0/21 -p tcp -m tcp --dport 80 -j REDIRECT > --to-ports 3128 > COMMIT > Я закрываю фаерволом ssh,http и vnc с внешних сетей. Прероутинг сделал по > iles-у, с поправкой, что к данной машине я обращаюсь на 2-й > адрес, а не на 30-й, который настроен на связку с циской. > 5. На циске убрал "ip wccp web-cache group-listen" с интерфейса GigabitEthernet0/2.5, т.к. > нигде в мануалах не встречал такую директиву (её поставил наш цискарь). > В остальном оставил прежние настройки. > Вопрос iles: у вас NAT используется? или мы говорим о прозрачном прокси? > 6. Конфиг сквида у нас практически не различается, но так по мелочам > поправил... > Не знаю, какое из моих действий повлияло, но прокси "мэджикалли" заработал. Пока > еще не разбирался, где именно решающее отличие. Сначала надо выспаться :-)) > Вообщем, не вижу смысла использовать реальные ip для связки SQUID-Cisco, тем более > что задача у меня стоит специфичная. Я поднимаю сквид не для > проксирования клиентов, а для > http://wiki.bgbilling.ru/index.php/Детальное_информирование_абонентов_о_причинах_ошибки_691 > Так что, мне предстоит еще заточить сквид под конкретную задачу. > Еще раз спасибо.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру