On Wed, 04 Feb 2004 12:11:24 +0100, Tomasz Jezierski wrote

Łukasz Jarosław Mozer wrote:

...

To pozwolisz by sobie sam luser włączył internet? Znajdziesz strony wszystkich banków w polsce? Squid się reloaduje płynnie? Hem :-) No dobra, tak sobie to tłumacz.

zeus:~# time /etc/init.d/squid reload Reloading squid configuration files: done.

real 0m0.082s user 0m0.020s sys 0m0.010s zeus:~# time /etc/init.d/squid restart Restarting proxy server: Waiting .................squid.

real 0m35.326s user 0m0.040s sys 0m0.050s zeus:~#

0.082s to calkiem plynnie... chociaz i tak mi sie wydaje ze ten pomysl ze squidem jest gorszy :)

No ja na sieci w ktorej w momecie testu bylo wlaczonych blisko 200 komputerow mam czas 0.010. PTen czas waiting to jest czas na zamkniecie, po tym jak squid forkuje jeszcze chwila uplywa na przebudowanie cache'u.

Co do gorszego i lepszego pomyslu. Jezeli ktos chce po prostu blokwoac neta to nie widze powodu dkla ktorego do tego mial by sie poslugiwac squidem. Jezeli ktos kozysta z winietkowania i ma transparentego squida to rozwiazanie ze squidem jest bardzo dobre. I to nie tylko do wyswietlania komunikatuow lecz ogolnei do blokowania. Przy normalnym zablokowaniu z winietka trzeba doi firewalla fprowadzic regoly:

1. zablokowac dostep do squida iptables -A INPUT -p tcp -s IP_GOSCIA --dport 8080 -j DROP

2. przekierowac do lokalnego demona http iptables -t nat -A PREROUTING -p tcp -s IP_GOSCIA --dport 80 -j REDIRECT --to-port 8080

3. zablokowac caly ruch wychodzacy na swiat. iptables -t nat -A PREROUTING -s IP_GOSCIA -j DROP

Przy blokowaniu z winietkowaniem i wykozystaniem transparetnego proxa wszystko ogranicza sie do jednej regoly

iptables -t nat -A PREROUTING -s IP_GOSCIA -j DROP

Tyle tylko ze wczesniej pakiet musi przejsc przez regole redirektujacaa normalnie ruch do squida ktora znajduje sie w srod standardowcyh regol dajacych net. Logicznie to to wyglada tak ze pakiet idac po lancuchu prerouting 0. Trafia na regoly dajace zawsze i wszystkim dostep do strony firmowej, testera konfiguracji i samego serwera. 1. Trafia do lancucha z redirectami i na regole redirektujaca pakiety www do serwera proxy oraz na regoly dajace dostep do portu na ktorym pracuje serwer proxy. 2. Trafia do lancucha z blokadmi gdzie jest podejmowana decyzja czy zablowac resztre usulug poza dostepem do proxa czy nie 3. Trafia do lancucha z pozostalymi regolami dajacymi userowi internet 4. Trafia na domyslne regoly dla kart neizarejestrowanych w systemie i z blednymi konfioguracjami (redirect do lokalnego httpd wyswietlajacego info o konfiguracji IP i udzielajacego pomoc co zrobic zeby dzialalo)

W zwiazku z powyzszym z 3 regol robi sie 1. I reload regolek iptables w zwiazkuz tym trwa 1/3 normalnego czasu. Jest to wazne gdy na przyklad ma sie zablokownych 100 userow z ktorych 80% zglasza sie do biura i prostuje sparwy w ciagu 1-2 dni.

Na malych sieciach to nie ma najmniejszej roznicy czy sie wykona 5, 10 czy 30 regolek. Ale jak trzeba co pewien czas (kilkadziesiat razy na dzien) reloadowac wieksza lcizbe to roznica pomiedzy 300 a 100 jest znaczna. Tym bardziej ze czas reloadu squida jak sprawdizlem jest zalezny od ilosci adresow ip tylko w nieznacznym stopniu.

z powazaniem Rafal Ramocki