[linux] SQUID+firewall+www.intel.com

M.F. PSIkappa psi na platon.atlantis.sk
Pátek Červenec 6 09:49:12 CEST 2001


Takze moj postreh, mal som to nakonfigurovane podla mini-howto ...
Transparent proxy mi behala bez problemov, okrem stranok mail.yahoo.com,
www.pobox.sk , www.post.sk, konkretne na tychto site neslo postu posielat
a vacsinou aj mazat, citat islo.
Problem bol s tym, ze server mi vracal ako odpoved prazny string, co
urcite nieje ocakavana hodnota a preto to nechodi...
Stranky intelu mi chodili ...
Viac ti neviem pomoct.

Mam to inak nastavene takto:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Inak ten port 80 je tam preto, ze squid nerozumiem priamo http requestom a
ak som to spravne z dokumentacie pochopil, tak nato moze pouzivat apache
alebo sa ma squid skompilovat s nejakou options, ktoru si uz nepamatam...

PSIkappa
psi na atlantis.sk

On Fri, 6 Jul 2001, Martin Mosny wrote:

> ahojte,
> mam jeden malinky problem. Mam firewall, na ktorom stoji v ceste
> http protokolu SQUID2-2.4STABLE (port 3128, je nastaveny ako transparent
> proxy). Presmerovanie portu 80 na 3128 je pomocou iptables nasledovne:
> 
> ${IPTABLES} -t nat -A PREROUTING -i ${LAN_IFACE} -p tcp --dport 80 \
> -j REDIRECT --to-port ${PROXY_PORT}
> 
> firewall ma dve rozhrania (eth0 = Internet iface, eth1 = Lan iface)
> na eth0 su povolene len porty:
> 
> TCP_ALLOW="20 21 22 25 53 69 110 123 323"
> UDP_ALLOW="20 21 22 53 69 110 123 323"
> 
> Dnu su povolene spojenia len ESTABLISHED < 1024 a 1024:65535 len RELATED
> 
> Na eth1 je mozne pripojit vsetko (no censoring).
> 
> Ak skusim z klienta pripojeneho na eth1 (LAN) www.intel.com (IE 5.00)
>  dostanem " connection refused , blabla, generated by squid"
> 
> Ak to skusim rovno z firewallu lynx www.intel.com tak, tiez to iste.
> 
> Skusal som dorobit do Squida nasledovne veci:
> 
> hierarchy_stoplist intel.com
> 
> acl intel dstdomain .intel.com
> always_direct allow intel
> no_cache deny intel
> 
> V mini-HOWTO som nasiel, ze httpd_accel_port ma byt 80, ale zasa niekde na
> webe, ze 3128. tak aky??
> 
> No a teraz k podstate otazky stretol sa niekto niekedy s $SUBJ podobnym??
> ako to riesit??
> 
> P.S.: hotmail ide aj bez zakazania cache, a dania do hierarchy_stoplist,
> ale pre istotu som ho tam dal!!
> 
> 				Martin Mosny <mmosny na postel.sk>





Další informace o konferenci linux