LINUX.ORG.RU

named и squid


0

1

Здравствуйте, помогите разобраться, есть три вопроса:

1. Есть настроенный named на сервере на котором 2 сетёвки, одна смотрит наружу другая во внутрь. На самом сервере имена преобразуются нормально, а из внутренней сети нет. Пишет refuse отказано. по видимому что то связано с безопасностью. named запускается в chroot
Подскажите пожалуйста что необходимо прописать в конфиге, что бы заработало из локальной сети.

2. Есть настроенный squid какую необходимо опцию вписать в конфиг что бы не возможно было узнать внутренние ip адреса. forwarded_for off не помогло.

3. Так же по squid, если в браузере прописан ip прокси сервера, то всё работает нормально. Если же убираю эту запись в браузере, а на сервере где установлен squid перенаправляю пакеты с 80 порта на порт squid-а, то squid говорит что не правильный протокол, это происходит из за того что пакет предназначен был не ему, мы его принудительно перенаправили, что бы всё было нормально необходимо что то прописать в конфиге, кто знает что помогите пожалуйста.

За помощь заранее благодарен.

★★
Ответ на: комментарий от AnDoR

named

options
{
directory «/etc/namedb»;
pid-file «/var/run/named.pid»;
statistics-file «/var/run/named.stats»;
memstatistics-file «/var/run/named_mem.stats»;
allow-query
{
localhost;
};
listen-on port 53
{
127.0.0.1;
XXX.XXX.XXX.XXX; внутренний
XXX.XXX.XXX.XXX; внешний
};
recursion yes;
};

logging
{
channel default_syslog
{
file «/var/log/named.log» versions 3 size 100k;
// syslog daemon;
severity info;
print-time yes;
print-category yes;
};
channel default_debug
{
file «/var/run/named.run»;
severity dynamic;
};
channel security_syslog
{
file «/var/log/named.security.log» versions 3 size 100k;
severity info;
print-time yes;
print-category yes;
};
category default
{
default_syslog;
default_debug;
};
category security
{
security_syslog;
};
category unmatched
{
null;
};
channel default_stderr
{
stderr;
severity info;
};
channel null
{
null;
};
};

дальше описание файлов зон

squid

http_port 3128
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
icp_access allow all
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
#cache deny QUERY
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
cache_dir ufs /var/spool/squid/cache 1024 16 256
cache_store_log none
pid_filename /var/log/squid/squid.pid
minimum_object_size 1 KB
maximum_object_size 1024 KB
cache_swap_low 80
cache_swap_high 85
cache_effective_user squid
cache_effective_group squid
#access_log none
#logfile_rotate 1
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
visible_hostname metallista.com
error_directory /usr/share/squid/errors/Russian-1251
coredump_dir /var/spool/squid/cache
acl deny_ban url_regex «/etc/squid/deny_url»
acl deny_ban url_regex «/etc/squid/deny_ban»
acl banners url_regex «/etc/squid/banner.list»
http_access deny banners

далее идёт описание acl и http_access

кстати на acl all src 0.0.0.0/0.0.0.0 почему то ругается

v4567 ★★
() автор топика
Ответ на: комментарий от v4567

По squid:

http_port 3128 transparent

forwarded_for off не помогло.

Не правда

что бы не возможно было узнать внутренние ip адреса

forwarded_for off

И на вкусное:

request_header_access X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all

Так вообще штатными средствами не определить само наличие прокси
uspen ★★★★★
()

3. Это называется «прозрачный прокси». Чтобы сквид работал в таком режиме, надо вместо (или помимо, см. ниже) http_port 3128 сказать http_port 3128 transparent (или http_port PORTNUM transparent, где PORTNUM != 3128, если хочется одновременной работы в прозрачном и непрозрачном режимах; в этом случае перенаправлять 80/tcp следует на этот PORTNUM)

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

dexpl> если хочется одновременной работы в прозрачном и непрозрачном режимах

Позвольте, а сквид что, не может работать в непрозрачном режиме, если порт в конфиге указан, как transparent???

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

> Позвольте, а сквид что, не может работать в непрозрачном режиме, если порт в конфиге указан, как transparent???

Проверил на 2.7 — таки да, может (хотя, насколько я помню, когда-то не мог).

dexpl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.