squid soll auf einen anderen Proxy zugreifen

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
bertol
Beiträge: 145
Registriert: 07.10.2003 10:40:19
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

squid soll auf einen anderen Proxy zugreifen

Beitrag von bertol » 02.02.2005 10:29:40

Hallo zusammen!

Wir haben hier im lokalem netz von unserem externen-dienstanbieter ein Proxy zuverfügung gestellt bekommen. Dieser wird mit port 80 angesprochen. Unser netz ist nicht an das internet angeschlossen, so dass ich aus dem netz keine DNS-Anfragen, und somit auch keine pings in das weltweite-netz verschícken kann. Die Anfoerdung von unserem Chef war, das bestimmte Gruppen den "Vollen Zugriif" auf den externen Proxy haben sollen und bestimmte Gruppen nur auf bestimmte Seiten. Darum habe ich mir einen eigenen Proxy aufgebaut. Das Problem liegt jetzt in der Config. Bestimmte Angebote werden über eine IP-Adresse angesprochen bsp:

HTTPS://62.62.62.62 (eine erfunden IP, kann sein dass es die wirklich gibt)

Das Problem ist jetzt, dass die Anfragen relativ lange brauchen bis die seiten aufgebaut werden, vorallem bei https anfragen und bei manchen bringt der nur ne leere seite. gehe ich über den externen-Proxy ins weltweite netz ist alles kein problem. Wo muss ich jetzt den hebel ansetzen, um unserem Proxy klarzumachen, dass ALLE-Erlaubten Anfragen an den Externenproxy unverzüglich, ohne DNS-Prüfung etc, übergeben werden? Die Config sieht im moment so aus:

Code: Alles auswählen

# Netzwerkoptionen
#-----------------

http_port 3128
icp_port 0
htcp_port 0


# Routing-Optionen zu anderen Proxys
#-----------------------------------

cache_peer extern-proxy parent 80 7 proxy-only ttl=1 no-query closest-only no-digest no-netdb-exchange no-delay
icp_query_timeout 1
maximum_icp_query_timeout 500
mcast_icp_query_timeout 500
dead_peer_timeout 0.5 second

acl query urlpath_regex cgi-bin \?

# Cache Einstellungen
#--------------------

cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 1 GB
minimum_object_size 0 KB
maximum_object_size_in_memory 0 KB
ipcache_size 2048
ipcache_low 90
ipcache_high 95
fqdncache_size 2048
cache_replacement_policy heap LFUDA
memory_replacement_policy heap LFUDA

# Logfile Pfade und Cache Verzeichnis
#------------------------------------

cache_dir ufs /mnt/daten/squid 1024 16 256 
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
log_ip_on_direct on
mime_table /usr/share/squid/mime.conf
log_mime_hdrs on
useragent_log /var/log/squid/useragent.log
referer_log /var/log/squid/referer.log
log_fqdn on

# Optionen fuer Externe Programme
#--------------------------------

ftp_user anonymus@abc.de
ftp_list_width 64
ftp_passive off
ftp_sanitycheck off
dns_retransmit_interval 5 seconds
dns_timeout 1 second
hosts_file /etc/hosts
redirect_program /usr/bin/squidGuard -c /etc/chastity/squidGuard-chastity.conf
redirect_children 30
redirect_rewrites_host_header on
auth_param basic program /usr/lib/squid/smb_auth -W NT-Domain
auth_param basic children 15
auth_param basic realm Bitte Ihre Windowskennung kleinschreiben und das Paswort angeben.
auth_param basic credentialsttl 7 day
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 10 hour
authenticate_ip_ttl 7 day
request_header_max_size 10 KB

# Einstellungen fuer Cache-Tuning
#--------------------------------

request_body_max_size 0 KB
refresh_pattern -i ^ftp:	1440	20%	10080
refresh_pattern -i ^gopher:	1440	0%	1440
refresh_pattern -i .		129600	100%	129600
quick_abort_min 1 KB
quick_abort_max 1 GB
quick_abort_pct 1
negative_ttl 5 week
negative_dns_ttl 5 day
positive_dns_ttl 2 week
range_offset_limit 0 KB

# Timeouts
#---------

connect_timeout 2 second
peer_connect_timeout 10 second
read_timeout 2 minute
request_timeout 2 second
half_closed_clients off


# Optionen fuer Zugriffskontrollen (ACCESS CONTROLS)
#---------------------------------------------------

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object


acl GET_POST_PUT method GET POST PUT



acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl SSL_ports port 873
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 873
acl Safe_ports port 901
acl purge method HEAD CONNECT DELETE
acl CONNECT method CONNECT
acl 19x_netz src 194.0.0.0-194.255.255.255
acl deny url_regex "/var/www/admin/squid/squid_deny_AbtLeiter"
acl allow url_regex "/var/www/admin/squid/squid_allow_forall"
acl domainusers proxy_auth REQUIRED
acl Administratoren proxy_auth -i "/var/www/admin/squid/admins"
acl Abteilungsleiter proxy_auth -i "/var/www/admin/squid/abteilungsleiter"

acl SPERRE_DOMAINS dstdomain -i "/var/www/admin/squid/squid_deny_domains"
acl SPERRE_URLPARTS urlpath_regex -i "/var/www/admin/squid/squid_deny_urlparts"
acl Linuxserver dst 194.113.6.167-194.113.6.167
no_cache deny query GET_POST_PUT SSL_ports deny

http_access deny SPERRE_DOMAINS
http_access deny SPERRE_URLPARTS
http_access allow manager localhost
http_access allow localhost
http_access allow allow
http_access allow Abteilungsleiter !deny
http_access allow Administratoren
http_access deny all

http_reply_access allow all

miss_access allow all

ident_lookup_access allow all GET_POST_PUT

# Administrative Optionen
#------------------------

cache_mgr admin@abc.de
cache_effective_user proxy
cache_effective_group proxy
visible_hostname squid

# HTTPD-Accelerator-Optionen
#---------------------------

httpd_accel_single_host on
httpd_accel_with_proxy off
httpd_accel_uses_host_header off

# Versiedene Eisntellungen 
#-------------------------

dns_testnames linuxserver
logfile_rotate 0
forwarded_for off
error_directory /usr/share/squid/errors/German
maximum_single_addr_tries 1

# Weitere Optionem
#-----------------
nonhierarchical_direct off
prefer_direct off
ignore_unknown_nameservers on
always_direct allow Linuxserver
never_direct allow all GET_POST_PUT SSL_ports
Vieleicht könnt Íhr mir ein Paar Tips geben
Nach oben
koli7bri
Beiträge: 32
Registriert: 05.01.2005 09:23:05

Beitrag von koli7bri » 11.02.2005 07:59:24

Versuch doch einfach den Bind Server zu installieren.
DNS auf Debian. Der Debian-Proxy wird Client von sich selbst.
Die Clients lösen dann mit der DNS-Anfrage an den Debian - Proxy auf..


MfG koli7bri
Nach oben
Benutzeravatar
bertol
Beiträge: 145
Registriert: 07.10.2003 10:40:19
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Beitrag von bertol » 14.02.2005 09:14:42

koli7bri schrieb:
Versuch doch einfach den Bind Server zu installieren.
DNS auf Debian. Der Debian-Proxy wird Client von sich selbst.
Die Clients lösen dann mit der DNS-Anfrage an den Debian - Proxy auf
Wie meinst Du das mit DNS auf Debian? Die Debianmaschiene kann auf Grund Firewall-einstelleung (welche nicht im Unsrem Haus steht und nicht von uns administriert werden kann) keine Domains wie kernel.org etc auflösen.
Nach oben
Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 14.02.2005 10:12:50

von Netzwerk verschoben..
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
Nach oben
Antworten

Zurück zu „Internetrouter und Proxies“