[LUGargano] Problemone con squid (lungo).
Carmine Malice
instarvega_capitanlug@yahoo.it
Lun 9 Feb 2009 14:22:08 CET
Io e Alessandro stiamo puntando alla stessa ipotesi, ma credo ci siano
delle imprecisioni.
Fondamentalmente, un web proxy "trasparente", e pertanto "obbligatorio"
ma privo di autenticazione - e perciò di tracciamento - degli utenti,
funge da router/gateway secondo il seguente schema
###
client chiede servizio presso server esterno su porta 80
-->
router/gateway/proxy raccoglie la richiesta destinata a porta 80 *ma* al
proprio interno la gira al proprio servizio di web proxy
-->
la richiesta raggiunge il servizio esterno su porta 80 *ma* oramai a
tutti gli effetti è una richiesta del web proxy
###
In questo modo non c'e' bisogno che un firewall blocchi le richieste
verso le porte 80 e men che meno verso servizi "innoqui" come il DNS,
semplicemente tali richieste vengono "catturate e rigirate all'interno",
poi chiaramente si potra' desiderare di bloccare le richieste verso
altri servizi p.e. FTP su porta 21 (non ricorrendo ad un analogo
meccanismo di FTP proxy trasparente).
Certo l'ipotesi "autonoma" che le richieste per DNS siano state bloccate
rimane a margine, e d'altra parte pare non si abbia a che fare con un
sistema DHCP.
In tutto questo non scorgo ancora punti di "frattura" tranne una
situazione che ho gia' sperimentato: l'insistenza di entrambe le
interfacce di rete di un router+proxy sullo stesso switch, nel mio caso
preferii però un web proxy non trasparente perche' necessito di
autenticazione&tracciamento (percio' la soluzione fu configurazione
"pseudomanuale" degli IE e blocco di tutte le richieste verso una serie
di porte, mediante regola di iptables che mandava in DROP).
Nella mia situazione i client erano tutti IE in Windows ma il
router/proxy (macchina con IPCop con estensioni) si "addormentava"
inesplicabilmente in momenti e per periodi imprevedibili.
La soluzione fu *isolare fisicamente* la LAN mediante il ricorso a 2
switch: uno per l'interfaccia di rete "interna" del router proxy e la
LAN da questo servita e l'altro per collegare l'interfaccia di rete
"esterna" del router/proxy al "resto del mondo".
Attenzione: questo accorgimento e' successivo e subordinato al primo e
piu' fondamentale accorgimento di *dover* collocare la LAN servita in
una subnet logicamente diversa da quella che porta al "resto del mondo",
io addirittura collocai la LAN servita in una classe B (172.16.x.y) che
era poi instradata dal router/proxy verso una classe A (10.x.y.z).
Facci sapere.
Pietro Tamburrano ha scritto:
> Il giorno sab, 07/02/2009 alle 17.36 +0100, Alessandro Rendina ha
> scritto:
>> Io ipotizzo questo:
>> il sysadmin ha bloccato tutto con iptables, e ha abilitato il proxy per far
>> passare solamente http, tra le porte bloccate ci sono anche quelle del DNS.
>> Per ovviare a questo problema il sysadmin ha impostato una dns cache su
>> 192.168.0.1.
>> Per qualche motivo questa informazione viene passata ai sistemi windows ma non
>> hai sistemi linux. I sistemi windows funzionano anche con ip statico o sono
>> con dhcp?
>>
>> Se ho ragione potresti fare questo test:
>>
>> 1) impostare il proxy di firefox su 192.168.0.1 (le porte utilizzate di solito
>> sono 3128 oppure 8080) così secondo me dovrebbe andare in qualunque
>> situazione (a meno di problemi di configurazione di squid).
>>
>> 2) impostare sui client in /etc/resolv.conf il nameserver a 192.168.0.1,
>> verificare anche:
>> ifconfig
>> route
>>
>> in pratica per questo secondo test la configurazione da shell dovrebbe essere
>> la seguente:
>>
>> echo "nameserver 192.168.0.1" > /etc/resolv.conf
>> ifconfig eth0 192.168.0.2 up
>> route add default gw 192.168.0.1
>>
>> mi è venuto in mente che su ubuntu/debian c'è un software (resolvconf) che
>> quando non riesce a ricevere un server dns, ti azzera automaticamente il file
>> resolv.conf il che vorrebbe dire che perdi automaticamente le impostazioni
>> del dns, il file esegue questa roba ogni "tot" tempo quindi potrebbe essere
>> il tuo problema.
>> Nel caso non usi dhcp puoi disinstallarlo (anzi io lo disinstallo sempre
>> perchè ci ho litigato, non mi piacciono i software che mi cambiano i files di
>> configurazione di domenica, ps: è successo veramente)
>
>
> Lunedì faccio qualche prova e vi faccio sapere.
>
> Ciao.
>
> --
> La permanenza in lista LUGargano e` regolata dal rispetto degli altri e della Netiquette:
> http://www.nic.it/NA/netiquette.txt
>
Maggiori informazioni sulla lista
LUGargano