+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с перенаправлением 80 на 8080 из MT в Squid на Linux.

Проблемы с перенаправлением 80 на 8080 из MT в Squid на Linux., RouterOS

jalokim

Guest

15.01.2007 17:44:00

Привет! Я пытался перенаправить трафик на порт 80 на другой компьютер в моей сети для прокси: `/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.3 to-ports=8080`. Вижу, что запросы отправляются на Squid, но есть проблема с отображением страницы. Когда ввожу IP Squid вручную в браузере — всё нормально, а в этом случае (при перенаправлении порта) не работает. Может, кто-нибудь сможет помочь? Миколай.

savagedavid

Guest

17.01.2007 21:13:00

Это довольно подробно описано в других местах. Если вам нужен прозрачный прокси для Squid, вам нужно правило accept для обратного трафика от прокси Squid, иначе обратный трафик будет перенастроен NAT и никогда не дойдёт до клиента. ip firewall add chain=dstnat in-interface=ether-internal src-address=x.x.x.x protocol=tcp dst-port=80 action=accept. x.x.x.x – это адрес вашего Squid прокси. in-interface – это интерфейс, к которому подключен прокси. Как уже упоминалось, вы также можете использовать webproxy test. Указание родительского прокси довольно самоочевидно. Проверьте руководство для этого – это очень просто сделать.

savagedavid Guest	#3 0 17.01.2007 21:14:00 Также обратите внимание, что это правило нужно разместить выше вашего правила `proxy dstnat`.

nikolaz

Guest

22.01.2007 15:45:00

Вот пример работающей прозрачной прокси с Mikrotik и выделенным сервером Squid на Linux. Моя сеть 10.4.0.0/24, а адрес прокси-сервера 10.0.10.1:8080. В IP Firewall NAT добавьте:
add chain=dstnat src-address=10.4.0.0/24 protocol=tcp dst-port=80
action=dst-nat to-addresses=10.0.10.1 to-ports=8080 comment="nat to squid" disabled=no
Также в squid.conf нужно добавить эти строки:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Nikola

hci

Guest

02.02.2007 05:50:00

Какая версия Squid у тебя установлена? Какая версия Linux? Я использую 2.6STABLE9 на CentOS 4.4 и мне пришлось скомпилировать Squid с поддержкой netfilter и добавить опцию transparent в squid.conf. Те опции, которые ты перечислил, я думал, предназначены для BSD-систем, насколько я понимаю. http://www.visolve.com/squid/sqguide.php Как эта настройка работает для тебя? Я недавно перешёл с интегрированных кэшей Mikrotik (пробовал оба) на DST-NAT к внешнему Squid. В целом работает отлично. Сайты, которые используют форму аутентификации NTLM, работают нормально с Squid 2.6, где они не работали с Mikrotik или Squid 2.5. Кажется, работает намного быстрее. Загрузка процессора на Mikrotik в пиковые периоды достигала 100 процентов, когда он осуществлял кэширование. Теперь, когда он просто DST-NAT’ит на Squid, он достигает пика в 9 процентов. Загрузка процессора на Squid-боксе составляет 1.5 процента. Есть одна проблема. В определённое время, обычно в пиковые периоды, определённые IP-адреса, пытающиеся использовать кэш, теряют доступ. Они могут делать всё, кроме HTTP. Они даже могут пинговать кэш. В то же время другие пользователи используют его нормально. Статистика на Squid выглядит отлично, и, судя по статистике Squid, есть достаточно свободного количества 'file descriptors'. Через несколько минут этот пользователь возвращается. Не уверен, что происходит. Может быть, таблица DST-NAT Mikrotik не справляется с 400+ IP-адресами с большим количеством подключений каждый в пиковые периоды? Это на Mikrotik версии 2.9.39. Какие идеи? Matt

nikolaz

Guest

02.02.2007 07:26:00

Версия Squid 2.5.STABLE6 и Linux CentOS 4.3. Те опции, которые ты перечислил, я думал, что они для BSD систем, как я понимаю. У меня был Squid на многих системах, и я могу сказать, что squid.conf уникален для всех (в зависимости от опций компиляции). Какое сообщение отображается клиентам, когда он зависает? Отказ в доступе или время ожидания соединения? Nikola

hci

Guest

02.02.2007 16:27:00

Что отображается клиентам, когда система зависает? Ошибка "доступ запрещен" или таймаут соединения? Они ничего не видят. Таймаутится и выдаёт сообщение об ошибке, что страницу невозможно отобразить. Через несколько минут начинает работать. По cachemgr всё в порядке, свободные file descriptors есть. Я добавил “ulimit -HSn 8192” в rc.local и перезагрузил систему, а потом пересобрал Squid с 8192 descriptors вместо 1024. Посмотрим, поможет ли это, но сомневаюсь. Я перенаправляю трафик на Squid с помощью DST-NAT в Mikrotik. Добавил статический маршрут на Linux-боксе Squid обратно к роутеру. Как я уже говорил, всё работает нормально, но изредка для определённых IP-адресов всё просто недоступно на несколько минут. На работе видел, как это происходило дважды с нашим IP. Подключился по VNC к другому ПК с другим IP, и всё работало отлично. Проблема разрешилась примерно за 3 минуты. Этот кэш обслуживает около 500 беспроводных подключений и 250 dial-up. Буду признателен за любую помощь, спасибо. Matt

virtualmystic

Guest

03.02.2007 17:51:00

httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

Я использую 2.6STABLE9 на CentOS 4.4 и мне пришлось скомпилировать squid с поддержкой netfilter и добавить опцию transparent в squid.conf. HCI и Nikola, вы оба правы... первая конфигурация требуется для использования squid как прозрачного прокси в версиях 2.5 и более ранних, в версии 2.6 достаточно просто добавить опцию transparent в http_port, чтобы всё заработало.

По поводу вашей проблемы, HCI, стандартной конфигурации squid недостаточно, чтобы обработать веб-трафик 500 беспроводных клиентов и 250 пользователей dial-up. Лучше использовать cachemgr, чтобы отслеживать, нет ли узких мест в squid. Во-вторых, попробуйте установить ручной прокси в браузере, когда просмотр прекращается, чтобы проверить, проблема в squid или mikrotik.

С уважением,
Asad Raza

savagedavid Guest	#9 0 04.02.2007 08:12:00 Да, согласен — чтобы обслуживать такое количество клиентов (750+), требуется гораздо больше, чем стандартная конфигурация Squid. И на каком железе вы работаете? Минимум 2.8 ГГц и 512 МБ ОЗУ.

hci

Guest

#10

15.02.2007 17:20:00

По поводу твоей проблемы с HCI. Конфигурация Squid по умолчанию не справляется с веб-трафиком 500 беспроводных и 250 dialup клиентов. Лучше использовать cachemgr, чтобы отслеживать, нет ли узких мест в Squid. Я увеличил количество файловых дескрипторов до 8192. Что еще нужно подкрутить? Я использую cachemgr, но не вижу явных проблем. Matt

virtualmystic

Guest

#11

15.02.2007 17:36:00

Файловый дескриптор – это не единственное, что важно… есть еще и предел числа соединений, файловая система, ядро и множество других вещей в конфигурационном файле. Обратитесь к консультанту, если вам нужен высокопроизводительный кэш, или можете связаться со мной по адресу born2be_loved@hotmail.com. С уважением, Асад Раза.

janisk Guest	#12 0 16.01.2007 07:47:00 Предлагаю тебе воспользоваться пакетом proxy-test и настроить функцию родительского прокси.

jalokim Guest	#13 0 17.01.2007 08:12:00 Хм… не могли бы вы рассказать об этом подробнее? МД

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры