Re: ISP Proxy über ipchains?
Moin.
Am Samstag, 23. Februar 2002 15:05 schrieb Philipp Adaktylos,,,:
> > Soweit ich das beurteilen kann ist die regel sinnfrei, Du
> > definierst eine Regel für Packete die als Quelle das interne Netz
> > (gehe ich mal von aus) haben und als Ziel proxy.irgendwas.net, was
> > die 3128 soll kann ich mir denken, ipchains sicher nicht. Du sagst
> > ipchains nicht was mit dem Packet passieren soll. Ich denke
> > ipchains wirft auch eine Fehlermeldung wenn Du es so aufrufst.
>
> ipchains -A forward -p TCP -s 192.168.0.0/24 www -d
> proxy.irgendwas.net 3128
>
> Das www entspricht port 80 und 3128 ist der port vom proxy.
> Desswegen auch meine Hoffnung das es funktioniert weil ich ja interne
> sachen von port 80 auf den proxy leite mit der Regel. Fehlermeldung
> bekomme ich übrigens keine...
Ich hatte die syntax von iptables im Kopf, da definiert man den Port
anders.
Du definierst doch gar nicht was mit dem Packet passieren soll. Das
Target fehlt. Auserdem matcht obige Regel auch nicht die von dir
gewünschten Pakete, der Webserver läuft auf port 80, nicht der Brauser,
sonnst könnte ja nur jmd. mit root-rechten surfen.
So weit ich weiß kann man mit ipchains auch nur Pakete redirekten die
entweder für den FW-Host bestimmt sind, oder das Ziel der Redirection
der FW-Host ist. D.h. es währe nicht möglich traffic der aus
irgendeinen Port 80 im I-Net geht auf Port 3128 vom rechner
proxy.irgendwas.net umzuleiten. Aber da kann sicher ein ipchains-profi
mehr zu sagen.
>
> > Warum Installierst Du auf deinem gateway (falls er reichlich RAM
> > hat) nicht Squid und benutzt den als Proxy? Wenn das dann
> > funktioniert kannst Du ja das ipchains-howto nochmal lesen und
> > überlegen wie Du aus dem Proxy einen transparenten Proxy machst.
> > Auserdem könntest Du die Squid Doku durchforsten und schauen ob Du
> > den Proxy des Providers als 'parent proxy' angeben kannst (Ob das
> > einen Geschwindigkeitsvorteil bringt weiß ich nicht, man bedenke
> > die zusätzlichen Hops).
>
> Pentium 1 60MHz mit 32MB RAM. wird wohl eher nicht funktionieren,
> oder?
Funktionieren tut das schon, ob es was bringt ist die Frage.
Für wieviele Clienten soll der Proxy denn sein?
Auserdem ist die Frage was der Proxy soll,
falls Du z.b. nur verhindern möchtest das ein Debian-packetdas auf
zwei Rechnern installiert wird auch zweimal heruntergeladen wird kannst
Du Squid so konfigurieren das er nur Objekte >500k und <10MB
zwischenspeichert und deine HW würde IMHO ausreichen.
Ich würde Dir raten Dir noch irgendwo 32-64MB Speicher für deinen
Pentium aufzutreiben und einen eigenen Squid aufzusetzen, mit
geeigneten logfile-analysern kannst Du dann schauen wieviele Cache
Hits/misses Du hast und an der Config von Squid drehen.
(Der Prozessor sollte nicht das Problem sein, vorrausgesetzt es geht um
weniger als 3 Clients)
Gruß,
--
Stefan
rm -rf :
remote mail, real fast.
Reply to: