squid - нестандартная ситуация
Вообщем такая ситуация. Есть госорганизация, у которой имеется корпоративная сеть на уровне области. Все отделения этой организации конектятся через различные каналы к областным ресурсам (я работаю в одном из этих отделений). В моём распоряжении есть сервер с FreeBSD 6.2 - никак не обновлю :), - на нём ipfw, samba, ftp. Выход в инет возможен только через областной прокси. До недавнего времени доступ к инет-ресурсам строго регламентировался (доступ только на несколько государственных сайтов). Сейчас же доступ неограничен, потому и встал вопрос о поднятии локального прозрачного прокси-сервера. Вот только запустить его не удаётся, так как днс-сервера в областом управлении нет :), squid не может резолвить адреса. Что можете посоветовать, уважаемые BSD-шники?
|
| BuGfiX |
06-03-2008 12:52 754587 |
Но провайдер то у вас есть? Используйте его DNS-сервера.
|
Он не продоставляет их для нас (канал выделенный) - он только направляет наш траф в облуправление, без прохождения по инетканалам.
|
| BuGfiX |
06-03-2008 13:10 754599 |
Странно.. В таком случае у вас должен быть доступ к серверам облуправления.
|
Цитата:
Цитата mor
Он не продоставляет их для нас »
|
а любые другие? в поисковиках наберите "хостинг". пройдитесь про провайдерам... кое у кого могут быть ДНС прописанны в FAQ. если вам нужен ДНС только для резолва... |
Вот мы и добрались к сути. Дело в том, что в облуправление районы конектятся либо через фреймрилей, либо через спутниковый канал. Так вот, те, которые через фреймрилей идут, те видят реальные обл-айпи, а те кто, через спутник - виртуальные (в т.ч. и я). Так получилось, что мы видим только самые основные обл-ресурсы - днс в них не входит :), потому адресация на обл-ресурсы жёсткая - строго по айпи.
|
mor, а что мешает поднять свой DNS (BIND)? В нем можно прописать и черта лысого...
Цитата:
Цитата mor
squid не может резолвить адреса »
|
Цитата:
Цитата mor
видим только самые основные обл-ресурсы - днс в них не входит »
|
Ну а ip-адрес у областного DNS сервера есть? Или до него не достучишься? Можно просто прописать этот адрес в конфиге squid'a.
|
Виртуального адреса, который бы я видел у него нет, в том то и дело. А поднять свой днс много раз порывался, но убей, никак не пойму его настройку. Тоесть, выход только в поднятие своего днс. Спасибо, буду ботанить.
|
| BuGfiX |
06-03-2008 14:16 754657 |
А чем поможет поднятие своего DNS ? Ему ведь тоже нужно что-то в forwarders прописывать...
|
| ruslandh |
06-03-2008 15:11 754702 |
bind ?
|
mor,
т.е. /etc/resolv.conf у Вас вообще пустой?
если так, то может быть самое простое - поговорить с провайдером?
|
Пустой. А какой смысл с ним говорить, если он просто транзит даёт? Выход в инет, как я уже писал, только через областную проксю.
|
Цитата:
Цитата BuGfiX
Ему ведь тоже нужно что-то в forwarders прописывать... »
|
????? Я что-то не догоняю? Это ведь нужно, если как раз ссылаемся на DNS-сервер провайдера.
Код:
zone "." {
type hint;
file "named.root";
};
Далее свою зону, (+ slave, если есть дружественные зоны с DNS-серверами в других подразделениях)
ЗЫ. Это сработает, если разрешен DNS-трафик наружу. |
| Dm1try |
06-03-2008 20:31 754928 |
У Вас в управлении есть DNS-серверы?
Как в управлении с разрешением DNS-имен - все ходят к локальным DNS, а те уже перенправляют запрос к DNS-серверам провайдеров?
Разрешены ли запросы к ним (DNS-серверам Управления) с Ваших подсетей?
Когда ответите на эти вопросы все станет на свои места.
А может своему сквиду сказать, что следует обращаться в proxy-серверу Управления (parent proxy) за кэшем?
|
| ruslandh |
06-03-2008 21:41 754968 |
Можно вообще брать с коневых DNS (как и делает bind по-умолчанию).
|
Dm1try, отвечаю по-порядку:
1. В облуправлении днс-сервер есть.
2. Да, днс-сервер перенаправляет запрос с днс-серверу провайдера.
3. А вот запросы то может и разрешены, но со своей сети я днс-сервер не вижу (как уже говорил, нет у него видимого мне адреса).
Кеш - хорошее предложение, напиши, пожалуйста, точнее, что нужно в конфиг добавить.
|
mor, мне кажется, мы пошли не стого конца. Сначала скажи: как будет происходить выход в интернет твоего прокси? Желательно со схемой. Тогда можно будет советовать конкретно.
|
gf100, хорошо, подготовлю ;)
|
Вложений: 1
gf100, весь траф на 80 порт будет заворачиватся файерволом на локальній прокси, и после анализа, он либо отобьёться, либо пойдёт дальше, на обл-прокси.
З.Ы. схемка
|
mor, тот, кто заведует "Областной сетью" как и каком объеме (разрешенные порты и протоколы) будет выпускать твой трафик чезез свой канал в интернет? Там выход может быть организован физически через прокси (т.е. через одну сетевую карту входит, через другую выходит) или прокси может стоять в стороне, а выход наружу может быть разрешен только с него. Это только один из вопросов.
Я хочу сказать, что при указанной схеме есть смысл обговорить с тем админом схему и технологию прохождения твоего трафика мимо его прокси или через него. А на пути есть еще маршрутизаторы, фильтры и т.п. + твой интернет-трафик может слишком сильно грузить канал до области, что будет сказываться на работе.
|
Пока объём трафа неограничен, кто сколько может, тот столько и тянет :). Выход организован физически, тоесть выход в инет проходит жёстко через прокси. Канал сильно я не гружу, так как он довольно широкий. И последнее - с админом я уже говорил по этому поводу, но он сильно занят, как всегда :), и я думал решить этот вопрос самостоятельно.
|
Цитата:
Цитата mor
я думал решить этот вопрос самостоятельно »
|
Не получиц-ц-ца. Т.к.:
Цитата:
Цитата mor
выход в инет проходит жёстко через прокси »
|
У областного прокси есть адрес? Поробуй задать его как адрес днс-сервера для любой своей тачки и попробовать как резолвятся внешние адреса. Если админу некогда, тогда придется использовать метод "научного тыка".
ЗЫ. А у областного прокси есть авторизация? :) |
Адрес задать попробую, а авторизации на проксе сейчас нет :)
|
Время: 18:39.
© OSzone.net 2001-
