anyone Geschrieben 30. März 2004 Teilen Geschrieben 30. März 2004 Hallo zusammen. Hat jemand von euch eine Ahnung, wie man für squid eine Angabe für einen weiteren Proxyserver (nicht squid) machen kann? Soll heißen zwischen anfragenden Client und dem Proxy, der ins WWW geht, soll squid zwischengeschalten werden, um betsimmten usern den Zugang vorher zu verwehren. Funktioniert auch alles ganz gut, leider bekomme ich keine Verbindung hin. Grundsätzlich klappt die Namensauflösung schon nicht, kann beispielsweise keinen DNS Server anpingen... Wie kann ich also (entweder direkt per squid.conf oder wie auch immer, hauptsache webproxy) eine standard-route angeben...? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 30. März 2004 Teilen Geschrieben 30. März 2004 Hallo, wenn die Namensauflösung nicht funktioniert, deutet das auf DNS bzw. Routing-Problem hin (ein Proxy routet nicht sondern arbeitet auf den höheren Schichten des OSI-Modells). Wo funktioniert denn die Namensauflösung nicht? Auf den Endsystemen oder auf dem Proxy? Sind die DNS-Server richtig eingestellt (auf dem Proxy und den Endsystemen)? Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nachtgeist Geschrieben 30. März 2004 Teilen Geschrieben 30. März 2004 Einen 'Parent' mit dessen IP eintragen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 30. März 2004 Autor Teilen Geschrieben 30. März 2004 Auf dem squid Server findet schon keine Namensauflösung statt, er ist über das LAN ans Internet angeschlossen (oder sollte es zumindest sein). "Am LAN Ende" steht der Webproxy, der alle Anfragen weiterleitet. Problem ist, daß dieser in einem anderen Netz ist, so daß als Standard Gateway ein Router eigetragen ist. Somit ist es nicht möglich, per default Gateway den Proxy einzutragen. Per cache_peer funktioniert es auch nicht, dort habe ich den Proxy eingetragen, dessen IP durch die /etc/hosts Aufgelöst wird (kann ihn auch pingen, aber das nützt nur nichts ;-) )... Habe übrigens vorher schon das Board durchsucht und gegoogel.de/linuxt und nicht gefunden, wegen der Meldung am Anfang und etwaiger Meldungen in der Zukunft... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nachtgeist Geschrieben 1. April 2004 Teilen Geschrieben 1. April 2004 Original geschrieben von anyone Problem ist, daß dieser in einem anderen Netz ist, so daß als Standard Gateway ein Router eigetragen ist. Somit ist es nicht möglich, per default Gateway den Proxy einzutragen. Das ginge ja auch nicht, weil das nichts miteinander zu tun hat. Per cache_peer funktioniert es auch nicht, dort habe ich den Proxy eingetragen, dessen IP durch die /etc/hosts Aufgelöst wird (kann ihn auch pingen, aber das nützt nur nichts ;-) )... Verraetst du uns, was du da genau eingetragen hast? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 1. April 2004 Autor Teilen Geschrieben 1. April 2004 Habe es hinbekommen, in den cache_peer Einstellungen mußte für icp Port "7" eingetragen werden und "no-query", da der Proxy keine icp Antworten gibt. Deshalb kam es zum Timeout... ABER, das nächste Problem ließ nicht lange auf sich warten ;-) Webseiten werden nun Problemlos angezeigt, versuche ich mich aber z.B. bei Hotmail oder so anzumelden und schicke meine Benutzerdaten ab, kommt es zum selben Timeout. Fehlermeldung ist TCP_MISS:FIRST_UP_PARENT Hat jemand eine Ahnung...? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 1. April 2004 Autor Teilen Geschrieben 1. April 2004 Hier die squid.conf: http_port 8080 icp_port 0 cache_peer x.x.x.x parent xxxx 7 no-query proxy-only acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY hierarchy_stoplist cgi-bin ? cache_mem 16 MB cache_dir ufs /var/cache/squid 256 32 320 cache_mgr root cache_store_log none ipcache_size 2000 emulate_httpd_log on acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl all src 0.0.0.0/0.0.0.0 acl xxx src x.x.x.x/x.x.x.x http_access allow manager localhost http_access deny manager http_access allow xxx http_access deny all acl CONNECT method CONNECT Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nachtgeist Geschrieben 2. April 2004 Teilen Geschrieben 2. April 2004 Original geschrieben von anyone hierarchy_stoplist cgi-bin ? Versuchs mal ohne die Zeile. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 2. April 2004 Autor Teilen Geschrieben 2. April 2004 Habe ich schon probiert, derzeitiger Stand ist eine minimierte Fassung der squid.conf: http_port 8080 icp_port 0 cache_peer x.x.x.x parent xxxx 0 default no-query proxy-only cache_mem 8 MB cache_dir ufs /var/cache/squid 256 32 320 cache_mgr root cache_store_log none emulate_httpd_log on acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY acl all src 0.0.0.0/0.0.0.0 acl xxx src x.x.x.x/x.x.x.x acl all_ports port 1-65535 acl CONNECT method CONNECT http_access allow xxx http_access allow all_ports http_access allow CONNECT http_access deny all Leider keine Änderung, zwischenzeitlich hatte ich auch schon die acl QUERY herausgenommen...Nichts! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nachtgeist Geschrieben 2. April 2004 Teilen Geschrieben 2. April 2004 Dann faellt mir jetzt auch nurnoch ein, dass du vielleicht ein 'allow-miss' (?) an die Optionen fuer den Parent setzen koenntest. Wenns dann immer noch nicht tut, waere mal interessant, was der Proxy ins Log schreibt ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 2. April 2004 Autor Teilen Geschrieben 2. April 2004 Allow-miss ist nach der Doku für squid nur bei siblings anwendbar, habe es aber trotzdem einmal probiert ;-). Hat aber leider auch nicht funktioniert... Auf die log-Files des kaskadierten Proxies habe ich leider keinen Zugriff. Ist irgendwie echt blöd die ganze Sache ;-) Ich persönlich denke ja, daß die URLs zu lang sind, denn wenn er bei Hotmail.com auch schlapp macht, ist das doch ein Hinweis darauf oder? Bei Anmeldungen in Formularen werden die Daten ja auch per URL übergeben, soll heißen, gibt es eine Option, die URL Länge zu erweitern bzw. bestimmte Zeichen zuzulassen? Die max. Länge ist wohl im Normalfall auf 4 KB beschränkt, das sollte doch reichen, nicht wahr? Was sagt Ihr? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Nachtgeist Geschrieben 2. April 2004 Teilen Geschrieben 2. April 2004 Original geschrieben von anyone Allow-miss ist nach der Doku für squid nur bei siblings anwendbar, habe es aber trotzdem einmal probiert ;-) Ich weis - mein Gedanke war ja auch 'einfach mal probieren' Auf die log-Files des kaskadierten Proxies habe ich leider keinen Zugriff. Vielleicht sollte in den Logs deines Proxys auch was zu finden sein? Debuging-Option nicht vergessen! Und mit dem Admin des anderen Proxys solltest du vielleicht auch mal reden ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 5. April 2004 Autor Teilen Geschrieben 5. April 2004 Habe bei den Linuxforen die Antwort gefunden: http://www.linuxforen.de/forums/showthread.php?t=50921&highlight=cache_peer Falls jemand einmal das Selbe Problem hat... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 7. April 2004 Autor Teilen Geschrieben 7. April 2004 Die Leidensgeschichte ist natürlich noch nicht zu Ende ;-) Hat jemand eine Ahnung, warum squid die ACLs einfach nicht ernst nimmt? Folgendes Problem: Ich möchte nur bestimmten Clients zugriff auf bestimmte Seiten gewähren. Jedoch gilt momentan die Seitenbeschränkung nicht nur für den angegebenen PC, auch alle anderen PCs des gleichen IP Segments können die Seite anzeigen... Hier die squid.conf: #SQUID PORTEINSTELLUNGEN http_port 8080 icp_port 0. cache_peer x.x.x.x parent xxxx 7 no-query proxy-only # CACHE OPTIONEN hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 8 MB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/cache/squid 256 32 320 cache_mgr root cache_store_log none cache_effective_user squid cache_effective_group nogroup #BEI FEHLERMELDUNGEN ANZEIGEN: visible_hostname BLA #LOGFILES IM WEBLOG FORMAT emulate_httpd_log on #DEFINITION DER ACCESS CONTROL LISTS acl ALL src 0/0 acl NUMMER_EINS src x.x.x.x/26 acl NUMMER_ZWEI src x.x.x.x/24 acl GMX dstdomain .gmx.de acl GOOGLE dstdomain .google.de #DEFINITION VON ALLOW / DENY http_access allow NUMMER_EINS GMX http_access allow NUMMER_ZWEI GOOGLE http_access deny ALL icp_access deny ALL never_direct allow ALL Hat jemand eine Ahnung, woran das liegen kann? [nachtrag] Beim Starten des squid gibt es Warnungen: Netmask masks away part of the specified IP in x.x.x.x/24 Aber er arbeitet dann ohne weitere Probleme. Vorweg: Die Netzwerkeinstellungen der IP/SN sind für das Netz korrekt... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
anyone Geschrieben 7. April 2004 Autor Teilen Geschrieben 7. April 2004 Muahaha, umsonst bewegt, habe den Fehler gefunden (manchmal sieht man den Wald stundenlang vor lauter Bäumen nicht)... Als SN muß 255.255.255.255 eingestellt sein, damit wirklich nur dieser Client zugreifen darf! Trotzdem Danke! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.