На маршрутизаторе (сервере) Linux+UTM4+ipcad+Squid.
Трафик считается на интерфейсе, смотрящем в локальную сеть. При этом входящим (интернетовским) считается трафик не из локалки в локалку, а локальным - трафик с локального адреса на локальный адрес.
Трафик с сервера (192.168.0.1) к юзеру (192.168.0.х) естественно будет тоже считаться локальным.
Так вот, скачиваем из интернета страничку - всё ОК, трафик считается как внешний (входящий). Скачиваем её повторно ещё раз (обновляем) - львиная доля трафика считается как локальный. Почему?
Выходит, зря squid называют "прозрачным"?
Как сделать так, чтобы весь трафик, в том числе и кэшированных страниц, считался как внешний (входящий)?
Страницы, кэшируемые Squid, считаются как локальный трафик.
Вот цитата из описания сквида:
Написано, что адрес подменяется. А если адрес подменяется на внешний, то и трафик должен (но не хочет) считаться как входящий...Прнцип его работы такой, что при запросе документа из Интернета пакет принудительно "заворачивается" на порт прокси-сервера. Если сервер нашел требуемый документ в своем кеше, то он его отдает клиенту, подставляя при этом IP-адрес требуемого веб-сервера.
Елки-палки, ну совсем голову заморочили!
Вод цитата из другого форума (тоже NetUP):
http://www.netup.biz/phorum/viewthread.php?tid=2430
Вод цитата из другого форума (тоже NetUP):
http://www.netup.biz/phorum/viewthread.php?tid=2430
Совершенно противоположное мнение, которое поддержали сразу 2 человека!Skynet
Junior Member
Сообщений 15
Зарегистрирован: 1-6-2004
добавлено 8-9-2004 в 11:55
Проблемы с классами трафика.
Привет, всем!
Подскажите что я делаю не так. Есть класс трафика "Входящий" из 0.0.0.0/0.0.0.0 в 172.16.17.0/255.255.255.0
Есть локальный из х.х.х.х/255.255.255.0 в 172.16.17.0/255.255.255.0 с портов 20 и 21. И из 172.16.17.0/255.255.255.0 в х.х.х.х/255.255.255.0 на порты 20 и 21
Работает прозрачный прокси для сетки 172.16.17.0 Соответственно в классе "Входящий" завел еще вот такую штуку из х.х.х.х./255.255.255.0 с порта 3128 в 172.16.17.0/255.255.255.0, но почему то именно вот это всегда попадает в класс "Локальный"! Пробовал указывать не х.х.х.х а реальный адрес проксика х.х.х.2, все равно валится в "Локальный". Как это дело исправить?
admin
Super Administrator
Сообщений 1066
Зарегистрирован: 15-11-2002
добавлено 9-9-2004 в 11:27
Если вы используете ПРОЗРАЧНЫЙ прокси, то настройка класов трафика никак не отличается от настройки при использовании NAT.
Никакого порта 3128 нигде указывать не надо
dalex
Member
Сообщений 324
Зарегистрирован: 4-12-2003
добавлено 9-9-2004 в 13:53
если трафик подпадает под 2 разных класса он будет записан на тот класс у которого больше идентификатор (у локального он больше)
а вообще действительно не нужен лишний класс просто надо следить чтобы юзеры прокси в настройках браузера не выставляли
Вообще-то, я тоже попался на эту рекламу.
Раз пишут, что прокси "прозрачный" и что пользователь даже не знает, что работает не напрямую, то я (наивный) этому верю.
А оказывается в заголовке пакета локальный адрес... Чтобы не догадаться откуда пришел пакет нужно быть не просто наивным, а ..., ладно не будем об этом.
Короче, в программе явный глюк. Может быть кто-нибудь подскажет, а есть такой прокси, который будет по настоящему "прозрачен"? Неужели нет такого, который смог бы обмануть любого, даже дотошного пользователя?
Раз пишут, что прокси "прозрачный" и что пользователь даже не знает, что работает не напрямую, то я (наивный) этому верю.
А оказывается в заголовке пакета локальный адрес... Чтобы не догадаться откуда пришел пакет нужно быть не просто наивным, а ..., ладно не будем об этом.
Короче, в программе явный глюк. Может быть кто-нибудь подскажет, а есть такой прокси, который будет по настоящему "прозрачен"? Неужели нет такого, который смог бы обмануть любого, даже дотошного пользователя?
Идеально прозрачного прокси имхо не реализовать 
Любой дотошный всеравно просекет это дело, обратившись например к тем-же http://www.all-nettools.com/toolbox
У меня работает прозрачный прокси через WCCP, трафик с прокси, как и положено идет как-бы с запрашиваемых адресов... Правда нужна кошка, и соблюдение одного ньюанса, прокси должен стоять на том же интерфейсе, откуда льется интернет.
Любой дотошный всеравно просекет это дело, обратившись например к тем-же http://www.all-nettools.com/toolboxУ меня работает прозрачный прокси через WCCP, трафик с прокси, как и положено идет как-бы с запрашиваемых адресов... Правда нужна кошка, и соблюдение одного ньюанса, прокси должен стоять на том же интерфейсе, откуда льется интернет.
NetUP UTM 4.0 [1 +update 17 may 2004], NetUP RADIUS SERVER [], RH Linux 9.0
в какой программе?Короче, в программе явный глюк.
Этот прокси должен работать на уровне ядра системы, пропуская фильтруя и изменяя пакеты. Иначе ядро измененные пакеты просто не пропустит.Может быть кто-нибудь подскажет, а есть такой прокси, который будет по настоящему "прозрачен"? Неужели нет такого, который смог бы обмануть любого, даже дотошного пользователя?
надо верить людямРаз пишут, что прокси "прозрачный" и что пользователь даже не знает, что работает не напрямую, то я (наивный) этому верю.
А оказывается в заголовке пакета локальный адрес...
Правильно, больше надо доверять людям!Раз пишут, что прокси "прозрачный" и что пользователь даже не знает, что работает не напрямую, то я (наивный) этому верю.
А оказывается в заголовке пакета локальный адрес...
надо верить людям Smile
После того, как поставил новый ipcad (теперь видно с каких и на какие порты идет трафик) смог более тщательно проанализировать работу прокси. Теперь со всей ответственностью могу заявить, что если правильно настроить файерволл, то никакого локального трафика не будет. Весь трафик, в том числе и с кешированных страниц, тарифицируется, как входящий. Мало того, трафик с адреса 192.168.0.1 (сервер, на котором стоит прокси) полностью отсутсвует.
Эксперименты показывают, что если с двух компов открыть одну и ту же страницу, то второй раз трафик на входящем интерфейсе иногда в три раза меньше (в зависимости от того, какая была страница), чем первый раз. При этом на оба компа считается одинаковый по обьему трафик. Никаких кошек у меня нет - обычный маршрутизатор под линуксом. А насчет дотошных пользователей, это да. Скрыть наличие прокси невозможно.
Маркировать. Только не в FORWARD а в MANGLE. А в INPUT пропускать только маркированные.
Я использую именно этот прием. Дешево и сердито.
И, главное, тщательней разобраться на этот предмет с файерволом, чтобы не оставить лазеек.
Я, например, заворачиваю на прокси только пакеты, идущие на 80 порт (http), а 443 порт (https) оставил юзерам для того чтобы они при выключенном интернете могли входить в пользовательскую часть UTM и сами включать себе интернет.
Я использую именно этот прием. Дешево и сердито.
И, главное, тщательней разобраться на этот предмет с файерволом, чтобы не оставить лазеек.
Я, например, заворачиваю на прокси только пакеты, идущие на 80 порт (http), а 443 порт (https) оставил юзерам для того чтобы они при выключенном интернете могли входить в пользовательскую часть UTM и сами включать себе интернет.