On Wed, 4 Feb 2004 15:47:55 +0100, Rafal Ramocki wrote
No ja na sieci w ktorej w momecie testu bylo wlaczonych blisko 200 komputerow mam czas 0.010. PTen czas waiting to jest czas na zamkniecie, po tym jak squid forkuje jeszcze chwila uplywa na przebudowanie cache'u.
Co do gorszego i lepszego pomyslu. Jezeli ktos chce po prostu blokwoac neta to nie widze powodu dkla ktorego do tego mial by sie poslugiwac squidem. Jezeli ktos kozysta z winietkowania i ma transparentego squida to rozwiazanie ze squidem jest bardzo dobre. I to nie tylko do wyswietlania komunikatuow lecz ogolnei do blokowania. Przy normalnym zablokowaniu z winietka trzeba doi firewalla fprowadzic regoly:
- zablokowac dostep do squida
iptables -A INPUT -p tcp -s IP_GOSCIA --dport 8080 -j DROP
- przekierowac do lokalnego demona http
iptables -t nat -A PREROUTING -p tcp -s IP_GOSCIA --dport 80 -j REDIRECT --to-port 8080
- zablokowac caly ruch wychodzacy na swiat.
iptables -t nat -A PREROUTING -s IP_GOSCIA -j DROP
Przy blokowaniu z winietkowaniem i wykozystaniem transparetnego proxa wszystko ogranicza sie do jednej regoly
iptables -t nat -A PREROUTING -s IP_GOSCIA -j DROP
Tyle tylko ze wczesniej pakiet musi przejsc przez regole redirektujacaa normalnie ruch do squida ktora znajduje sie w srod standardowcyh regol dajacych net. Logicznie to to wyglada tak ze pakiet idac po lancuchu prerouting 0. Trafia na regoly dajace zawsze i wszystkim dostep do strony firmowej, testera konfiguracji i samego serwera.
- Trafia do lancucha z redirectami i na regole redirektujaca
pakiety www do serwera proxy oraz na regoly dajace dostep do portu na ktorym pracuje serwer proxy. 2. Trafia do lancucha z blokadmi gdzie jest podejmowana decyzja czy zablowac resztre usulug poza dostepem do proxa czy nie
- Trafia do lancucha z pozostalymi regolami dajacymi userowi internet
- Trafia na domyslne regoly dla kart neizarejestrowanych w systemie
i z blednymi konfioguracjami (redirect do lokalnego httpd wyswietlajacego info o konfiguracji IP i udzielajacego pomoc co zrobic zeby dzialalo)
W zwiazku z powyzszym z 3 regol robi sie 1. I reload regolek iptables w zwiazkuz tym trwa 1/3 normalnego czasu. Jest to wazne gdy na przyklad ma sie zablokownych 100 userow z ktorych 80% zglasza sie do biura i prostuje sparwy w ciagu 1-2 dni.
Na malych sieciach to nie ma najmniejszej roznicy czy sie wykona 5, 10 czy 30 regolek. Ale jak trzeba co pewien czas (kilkadziesiat razy na dzien) reloadowac wieksza lcizbe to roznica pomiedzy 300 a 100 jest znaczna. Tym bardziej ze czas reloadu squida jak sprawdizlem jest zalezny od ilosci adresow ip tylko w nieznacznym stopniu.
Prawdę mówiąc blokowanie usera i pozwolenie mu na odblokowanie sobie dostępu (nie może potem narzekać, że nie miał internetu przez np. miesiąc) to po prostu usunięcie jednej regułki za pomocą iptables, a nie jak ktoś pisał przegenerowanie całego zestawu reguł!
z powazaniem Rafal Ramocki
Pozdrawiam Tomasz Chiliński