squid через ftp proxy

Hi, comp!
Умеет ли squid ходить через ftp прокси (не парент) или есть ли
способы обучить его этому?
А http пусть ходит через парент?
--
Best regards,
Artem
mailto:arch***@l*****.ru
ICQ UIN:72609515
JID: arc***@j*****.ru
← Февраль 2005 → | ||||||
27
|
||||||
---|---|---|---|---|---|---|
За последние 60 дней ни разу не выходила
Сайт листа:
http://www.linuxrsp.ru
Открыт:
04-03-2004
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.bsd.all-list@subscribe.ru
Адрес
модератора: comp.soft.bsd.all-owner@subscribe.ru
Hi, comp!
Умеет ли squid ходить через ftp прокси (не парент) или есть ли
способы обучить его этому?
А http пусть ходит через парент?
--
Best regards,
Artem
mailto:arch***@l*****.ru
ICQ UIN:72609515
JID: arc***@j*****.ru
Hello BLIZING,
Monday, February 7, 2005, 2:30:26 PM, you wrote:
Не подойдет, он не умеет ходить через ftp-proxy...
Hello Artem,
Tuesday, February 8, 2005, 6:47:25 AM, you wrote:
frox - это и есть транспарент фтп прокси.
что конкретно нужно? не совсем я видать понял. можно по подробнее?
Hello BLIZING,
Tuesday, February 8, 2005, 7:18:12 PM, you wrote:
Интересовало умеет ли сквид или еще какой прокси ходить через другой
ftp прокси типа как парент у сквида... Сквид уже занят, так как
смотрит в http парент, который не умеет ftp проксить...
Hello Artem,
Tuesday, February 8, 2005, 11:27:33 PM, you wrote:
что делать понятно, не понятно для чего это делать.
вот тебе конфиг фрокса там есть секция про http proxy
почитай мож это то чё надо.
Суть вот в чём. Фильтр пакетов принимая конект на порт 21 переводит
его на порт 3121 далее фрокс получив коннект на порт 3121 отправляет
его на 21 порт конечного хоста(всё прозрачно). если это прикрутить ещё и к сквиду
то
можно рулить сквидовыми ацээльками отделно фтп и хттп.
если пояснишь для чего надо мож другое решение будет.
# Configuration file for frox transparent ftp-proxy.
# Send SIGHUP after editing and it will be reread. This will fail
# completely if we are chrooted and the config file isn't within the
# dir we have chrooted to, or if we have dropped priveleges and no
# longer have permission to read the config file! Some options cannot
# be reread - namely those which require special privelidges (ie.
# BindToDevice, Listen, Port, TransparentData) and the caching stuff.
####################################################################
# Network Options #
####################################################################
# Address to listen on - default is 0.0.0.0
#
# Listen firewall.localnet
# Port to listen on. Must be supplied.
#
Port 3121
# If specified then bind to this device
#
BindToDevice eth0
# Whether to run from inetd. You should still define Port above, but
# it isn't used for much.
#
# FromInetd yes
# A hack that may allow you to get away without putting resolver libraries
# into the chroot jail. Set this to a hostname that does not appear in
# /etc/hosts. It doesn't matter if this doesn't resolve, but it will delay
# startup if it doesn't. See FAQ section 3.2.
#
# ResolvLoadHack www.google.com
####################################################################
# General Options #
####################################################################
# User and group to drop priveliges to. This must be specified - if
# you really want to run as root (not a good idea) you must say so
# specifically, and have compiled with --enable-run-as-root.
#
User nobody
Group nobody
# This is frox's working directory - it must be specified. Temporary
# files and sockets will be created here. If you are using local
# caching then the cache will be stored in this directory too. It
# should be owned by frox with permissions 700. By default frox will
# also chroot to this dir on startup. To avoid this you must specifically
# set DontChroot to Yes.
#
WorkingDir /var/lib/frox
# DontChroot Yes
# Logging level. 0=No logging. 5=Critical errors only. 10= All errors.
# 15=Errors, other important stuf. 20= Errors, connections, cache
# hits/misses etc.
# By default frox will log through syslog as facility daemon. If you
# additionally want frox to log to a file specify this in LogFile
# below. You may set LogFile to "stderr" if you wish it to log there.
#
LogLevel 20
LogFile /var/log/frox.log
# File to store PID in. Default is not to. If this file is not within
# the Chroot directory then it cannot be deleted on exit, but will
# otherwise work fine.
#
PidFile /var/run/frox.pid
####################################################################
# Ftp Protocol Options #
####################################################################
# Active --> Passive conversion. If set then all outgoing connections
# from the proxy will be passive FTP, regardless of the type of the
# connection coming in. This makes firewalling a lot easier. Defaults
# to no.
#
# APConv yes
APConv yes
# Block PORT commands asking data to be sent to ports<1024 and
# prevent incoming control stream connections from port 20 to
# help depend against ftp bounce attacks. Defaults to on.
#
BounceDefend yes
# If true then only accept data connections from the hosts the control
# connections are to. Breaks the rfc, and defaults to off.
#
# SameAddress yes
# Try to transparently proxy the data connections as well. Not
# necessary for most clients, and does increase security risks. N.V.
# You probably do _NOT_ need this option. It increases the complexity
# of what frox has to do, increases the difficulty of setting frox up
# correctly, and increases potential security risks. This has nothing
# to do with whether your clients will be transparently proxied. If
# you still want to use this option then read README.transdata for
# details.
#
# TransparentData yes
# TransparentData yes
# Specify ranges for local ports to use for outgoing connections and
# for sending out in PORT commands. By default these are all between
# 40000 and 50000, but you might want to split them up if you have
# complicated firewalling rules.
#
# ControlPorts 40000-40999
# PassivePorts 41000-41999
# ActivePorts 42000-42999
####################################################################
# Caching Options #
####################################################################
# Caching options. There should be at most one CacheModule line, and
# Cache lines to give the options for that caching module. CacheModule
# is HTTP (rewrites ftp requests as HTTP and sends them to a HTTP
# proxy like squid), or local (cache files locally). The relevant
# module needs to have been compiled in at compile time. See FAQ for
# details. If there are no CacheModule lines then no caching will be
# done.
#
# CacheModule local
# CacheSize 400
#
#CacheModule http
#HTTPProxy 192.168.1.1:3128
#MinCacheSize 65536
#
# StrictCaching no # Read FAQ for details.
# CacheOnFQDN yes # Read FAQ for details.
# Virus scanning -- see FAQ
#
# VirusScanner '"/usr/bin/viruscan" "--option" "%s"'
# VSOK 0
# VSProgressMsgs 30
####################################################################
# Access control #
####################################################################
# Allow non-transparent proxying support. The user can connect
# directly to frox, and give his username as user@host:port or
# user@host. Defaults to no. NTPAddress gives the address to which
# incoming connections must be addressed if the client is to be offered
# non-transparent proxying. Defaults to allowing all connections.
#
# DoNTP yes
# NTPAddress 192.168.2.1:2121
# Number of seconds of no activity before closing session
# Defaults to 300
#
# Timeout 300
#Maximum number of processes to fork.
#
# MaxForks 0 # For debugging -- only one connection may be served.
MaxForks 15
# Maximum number of connections from a single host (IP address).
MaxForksPerHost 20
# Access control lists:
# The format is: "ACL Allow|Deny|Config SRC - DST [PORTS]"
# SRC and DST may be in the form x.x.x.x, x.x.x.x/yy, x.x.x.x/y.y.y.y,
# a dns name, or * to match everything.
#
# PORTS is a list of ports. If specified then the rule will only match
# if the destination port of the connection is in this list. This is
# likely only relevant if you are allowing non-transparent proxying of
# ftp connections (ie. DoNTP is enabled above). Specifying * is equivalent
# to not specifying anything - all ports will be matched
#
# Any connection that matches no rules will be denied. Since there are
# no rules by default you'll need to add something to let any
# connections happen at all (look at the last example if you are
# feeling lazy/not bothered by security).
#
# # Examples:
# # Allow local network to ftp to port 21 only, and block host ftp.evil
# ACL Deny * - ftp.evil
# ACL Allow 192.168.0.0/255.255.0.0 - * 21
#
# # Allow local network to ftp anywhere except certain dodgy ports. Network
# # admin's machine can ftp anywhere.
# ACL Allow admin.localnet - *
# ACL Deny * - * 1-20,22-1024,6000-6007,7100
# ACL Allow 192.168.0.0/16 - * *
#
# # You don't really believe in this security stuff, and just want
# # everything to work.
ACL Allow * - *
# Command control program: This program will be executed for every ftp
# command received. This should work as in ftp-proxy - see the FAQ for
# details. You must have compiled with --enable-ccp to enable this.
#
# CCProgram /bin/true
####################################################################
# Subsections #
####################################################################
# Matching rules the same as ACLS. Only some options can be specified
# in a subsection (currently the yes/no options, timeout, and HTTP
# caching options).
#
# SubSection * - ftp.dodgy.server
# StrictCaching yes
# EndSection
#
# SubSection * - 10.0.0.0/24 # A low latency high bandwidth connection
# MinCacheSize 4096
# EndSection
Hello BLIZING,
Wednesday, February 9, 2005, 3:25:20 PM, you wrote:
сквиду
Видимо слишком сумбурно описал проблему...
my (squid) -> parent (proxy не умеет ftp) -> inet
my (need) -> parent (ftp-proxy) -> inet
my не является для сетки default gateway
Почему такая уродская конфигурация сети не спрашивай, не знаю, сам
смеюсь :) Просто было интересно умеет ли какой ftp-proxy ходить через
другой ftp-proxy типа parent =)
Вообщем, сделан маппинг портов.
Hello Artem,
Wednesday, February 9, 2005, 1:18:27 PM, you wrote:
my (squid) ->> parent (proxy не умеет ftp) -> inet
my (need) ->> parent (ftp-proxy) -> inet
Хм. изврат какойто. Доступ на parent под рутом есть?
если нет то не надо тут в таком случае никаких проксей
на самом деле можно лазить по фтп через сквид если запрос к фтп будет
оформлен типа а сквид будет указан в какчестве проксей http whith ftp:
поэтому в фтп клиенте на my ставишь подключаться через хттп прокси(сквид)
указываешь в качестве прокси такую конструкцию для my
ip.squid.host.tut:3128 и балдеешь.
Hello BLIZING,
Thursday, February 10, 2005, 7:03:21 PM, you wrote:
my (squid) ->>> parent (proxy не умеет ftp) -> inet
my (need) ->>> parent (ftp-proxy) -> inet
Про изврат мне известно, о чем я и писал. Парент не сквид и не умеет
ftp!!! По моему выше все предельно схематично изложено.
Так не пойдет, потому что сквид стоит перед другим прокси, который не
умеет ftp... Если чего то не понятно перечитай весь тред.
Я прекрасно знаю как работает сквид.
У меня был простой вопрос, умеет ли сквид работать по ftp мимо парента
через ftp прокси! Или есть ftp прокси, который может ходить через цепочку ftp
прокси...
Вообщем тема закрыта.
Hello Artem,
Тогда у меня вопрос
Подскажи пожалуйста как заставить транспарент хттп прокси(сквид)
авторизовать клиента (юзер,компутер - безразницы)?
Hello BLIZING,
Monday, February 14, 2005, 8:55:40 PM, you wrote:
В 2.4 никак, цитата из доки:
proxy_auth can't be used in a transparent proxy.
2.5 Не юзал?
Hello Artem,
Monday, February 14, 2005, 10:53:45 PM, you wrote:
Эт я тож читал.
Не юзал. Обновлять неохота - всё работает нормально.
Думаю что это должно быть в виде патча к сквиду.
Приблуда такая многие проблемы решила бы.
Ищу уже долго пока никак.
Ладно удачи.
Hello BLIZING,
Tuesday, February 15, 2005, 3:08:24 PM, you wrote:
Судя по рассылке это невозможно, так как будет конфликтовать с
авторизацией на других серверах. Патчей таких нет.
Hello Artem,
Thursday, February 3, 2005, 3:14:11 PM, you wrote:
На freshmeat.net поищи frox