Настройка прокси Squid на прокси через родительский прокси

  1. Обзор окружающей среды
  2. Конфигурация Squid Proxy
  3. Внутренний дочерний Squid Proxy
  4. Внешний родительский прокси Squid
  5. Заключение

Здесь мы собираемся взглянуть на настройку двух Squid прокси серверы для пересылки запросов из внутренней сети без подключения к Интернету в сеть DMZ, а затем, при необходимости, в Интернет.

Конфигурация позволит нам выбирать, какие домены следует или не следует пересылать на следующий прокси-сервер, позволяя не перенаправлять запросы, предназначенные для доменов во внутренней сети, следующему прокси-серверу Squid, а другие запросы в сеть DMZ или Интернет будет перенаправлен на следующий прокси.

Обзор окружающей среды

Прежде чем мы застрянем в конфигурации, мы кратко рассмотрим общую среду в этой конкретной ситуации и объясним, почему это то, что вы, возможно, захотите сделать.

В этом сценарии у нас есть две отдельные сети, внутренняя сеть и внешняя сеть. Внутренняя сеть не имеет прямого доступа к Интернету, но может подключаться к внешней сети. Внешняя сеть, с другой стороны, может подключаться к Интернету через прокси-сервер Squid. Существуют серверы, работающие как во внутренней, так и во внешней сети, к которым клиентский ПК должен обращаться из внутренней сети.

Сервисы во внутренней сети доступны в домене internal.example.com, а сервисы во внешней сети доступны в домене external.example.com.

На приведенной ниже схеме показан путь, по которому клиентский ПК будет обращаться к веб-сайту в Интернете.

На приведенной ниже схеме показан путь, по которому клиентский ПК будет обращаться к веб-сайту в Интернете

С нашего клиентского ПК во внутренней сети мы хотим иметь доступ к другим службам во внутренней сети, службам во внешней сети DMZ и службам в Интернете. Мы собираемся сделать это, отправив запрос прокси-серверу Squid, расположенному во внутренней сети (proxy.internal.example.com), который будет перенаправлять запросы, направленные в одну и ту же локальную сеть, туда, куда им нужно перейти.

Запросы к external.example.com или Интернету будут перенаправлены с proxy.internal.example.com на то, что известно как родительский прокси-сервер Squid (proxy.external.example.com), который затем передает запросы на сервер во внешней сети, если это то, что было запрошено, в противном случае перенаправляет запрос в Интернет.

Родительский прокси-сервер Squid расположен во внешней сети и может подключаться к Интернету. Если клиентский ПК обращается к чему-то внутри * .internal.example.com, мы не хотим, чтобы внутренний прокси-сервер Squid пересылал запросы родительскому / внешнему прокси-серверу Squid на external.example.com, поскольку он не знает, что делать с этими запросами и они потерпят неудачу.

Таким образом, в основном любой запрос, который не предназначен для сети internal.example.com, должен быть перенаправлен на родительский прокси-сервер Squid proxy.external.example.com, откуда запросы могут направляться к сервисам в external.example.com. Сеть DMZ или выход в Интернет по мере необходимости.

Конфигурация Squid Proxy

Теперь давайте посмотрим на конфигурацию наших прокси-серверов Squid, чтобы это произошло. Мы рассмотрим конкретную конфигурацию, необходимую для переадресации, как описано, вместо того, чтобы обсуждать полную конфигурацию Squid.

Внутренний дочерний Squid Proxy

acl локальные серверы dstdomain .internal.example.com cache_peer proxy.external.example.com parent 3128 0 по умолчанию no-query cache_peer_domain proxy.external.example.com! .internal.example.com never_direct запретить локальным серверам never_direct разрешить все

Во-первых, мы указываем список контроля доступа (ACL), называемый локальными серверами, который определяется как что-либо в домене * .internal.example.com, который будет представлять собой полные доменные имена (FQDN) наших служб во внутренней сети.

Далее мы указываем родительский прокси-сервер Squid с помощью cache_peer В этом случае мы используем proxy.external.example.com на порту 3128 в качестве родительского прокси-сервера по умолчанию.

После этого мы используем cache_peer_domain ограничить домены, которые мы будем запрашивать у родительского прокси-сервера. В этом случае мы хотим пересылать запросы только на родительский прокси-сервер Squid по адресу proxy.external.example.com, если запросы НЕ предназначены для * .internal.example.com, а «!» Не указывает.

директива never_direct позволяет нам использовать ACL, где запросы НИКОГДА не должны перенаправляться непосредственно на исходные серверы. Это вынуждает использовать прокси-сервер для всех запросов, кроме тех, которые находятся во внутренней сети, так как мы отказываем local-server.

Поскольку эта конфигурация обрабатывается в порядке сверху вниз, после того, как мы отказываем в доступе к родительскому прокси-серверу для домена, указанного в локальных серверах, мы затем разрешаем пересылать все остальное на proxy.external.example.com.

В моей первоначальной попытке получить эту работу я не включил ни одну из директив never_direct (или ACL, поскольку он используется только этим), и все работало по большей части, внутренние запросы HTTP / HTTPS работали нормально и проходили через внутренний прокси-сервер Squid и не передается на внешний прокси-сервер, как ожидалось.

Однако я обнаружил, что при запросе любых услуг * .external.example.com или чего-либо в Интернете, только HTTP-запросы выполнялись успешно. HTTPS-запросы не передаются на родительский прокси-сервер и даже не отображаются в /var/log/squid/access.log на внешнем прокси. Внутренний прокси-сервер Squid пытался отправить их напрямую в Интернет, что, конечно, не разрешено в этой среде, поэтому это не удалось.

Это странное поведение в основном связано с отсутствием конфигурации never_direct, которая необходима для предотвращения прямых соединений, даже если родительский прокси-сервер был определен.

Внешний родительский прокси Squid

acl child_proxy src 192.168.0.5/32 http_access allow child_proxy

Первая строка - это просто создание списка контроля доступа child_proxy, который содержит исходный IP-адрес 192.168.0.5, это IP-адрес внутреннего прокси-сервера, который будет подключаться к родительскому прокси-серверу Squid.

Во второй строке просто разрешается использование дочернего прокси-сервера для трафика HTTP / HTTPS, без этой конфигурации запросы от внутреннего дочернего прокси-сервера будут отклонены.

Если у вас возникли проблемы при загрузке страницы, посмотрите журналы в каталоге / var / log / squid на внутреннем и внешнем прокси-серверах Squid, так как они могут помочь вам лучше понять, что происходит. ,

На этом этапе мы можем подключить журнал доступа на обоих серверах доступа и загрузить страницу из сети * .internal.example.com и увидеть, что запрос проходит только через proxy.internal.example.com. Любые другие запросы, включая запросы на * .external.example.com или из Интернета, такие как google.com, будут передаваться через сервер proxy.external.com, который затем будет отправлять трафик по мере необходимости.

Заключение

Как показано, мы успешно настроили прокси-сервер Squid во внутренней сети без прямого доступа к Интернету для пересылки выбранного трафика, предназначенного для внешних сетей, на родительский прокси-сервер Squid, который способен выполнять эти запросы. Все запросы на внутреннюю сеть будут оставаться во внутренней сети и не будут перенаправляться во внешнюю сеть DMZ или Интернет.

связанные с

Похожие

Обзор Samsung Galaxy J3 (2016)
Samsung запущенный Galaxy J3 (2016) , это новый смартфон 4G с новым режимом S bike
AVS Audio Editor Обзор
Для получения дополнительной информации посетите их веб-сайт Посмотреть предложение Изображение 1 из 6 Изображение AVS Audio Editor. Вы выделяете
Обзор Microsoft Lumia 640 Dual SIM
Lumia 640 - один из последних телефонов, которые Microsoft объявила о поглощении Nokia. Это преемник Lumia 630. 640 был анонсирован вместе со своим старшим братом, 640 XL на MWC (Mobile World Congress) в Испании в прошлом месяце. Оба телефона работают под управлением Windows 8.1 из коробки. Давайте погрузимся в обзор,
Подключение и настройка роутера
Каждая эффективная сеть должна состоять из маршрутизатора, способного удовлетворить требования сети. Структуры, в которых мы намереваемся разделить интернет-соединение (предлагаемое одним из польских провайдеров), требуют использования маршрутизатора, оснащенного модемом ADSL, потому что устройства, предлагаемые интернет-провайдерами, обычно не позволяют разделение канала. Только когда нам нужно расширить существующую локальную сеть, просто используйте обычный маршрутизатор без модема или
WD My Cloud Home Обзор
Вступление WD My Cloud Home - это внешний жесткий диск, который можно использовать в качестве персонального облачного сервера для всех ваших файлов. Он подключается непосредственно к вашей домашней системе Wi-Fi, и, пока он включен и подключен, вы можете получить к нему доступ со всего мира. Мы тестировали версию 8TB Single Drive, но существует диапазон размеров от 2TB до 16TB, как для одного, так и для двух
Обзор iPad Pro с диагональю 9,7 дюйма
Примечание редактора, 31 октября 2018 года : Apple объявила два новых iPad Pro - совершенно новая 11-дюймовая модель, которая начинается с 799 долларов (769 фунтов стерлингов, 1229 австралийских долларов) и переработанная 12,9-дюймовая версия, которая сейчас стоит 999 долларов (969 фунтов стерлингов, 1529 австралийских долларов).
Обзор Windows 10: удерживайте, если вы используете Windows 7
После действительно жалкий Windows 8 и чуть менее убогий Windows 8.1, Windows 10 - это глоток свежего воздуха. Windows 10 гораздо удобнее в использовании, чем Wndows 8 или 8.1, и с гордостью предлагает набор новых функций, в том числе
Обзор LG G Flex 2
LG любит кривые. Это ясно, если взглянуть на некоторые телевизоры. Но эти кривые распространяются и на смартфоны. LG G Flex 2 - это вторая изюминка компании в изогнутом смартфоне, и благодаря лучшей эргономике и более четкому экрану это значительное улучшение по сравнению с оригиналом. дизайн Основной момент? Эта кривая. Вы получите похвалу или недоумение
Обзор LG Optimus L7 II (видео)
LG Optimus L7 II (P710) является прямым преемником предыдущего года
Обзор Adobe Photoshop Mix: Photoshop Mix получает смешанные оценки
Примечание редактора, 19 июня 2014 года: дополнено дополнительной информацией от Adobe. Adobe взяла новый курс с последней попыткой вывести Photoshop на мобильные устройства. Photoshop Mix имеет более современный и менее загроможденный интерфейс, который мы ожидаем от приложения для iPad в 2014 году, наряду с более рационализированным и сфокусированным набором инструментов, чем мы видели в предыдущих выпусках, таких как
Видео курсы работают? Тест и обзор курса по обработке видео
Меня попросили рассмотреть один из тренингов, предлагаемых компанией, предлагающей видео курсы Зона Курсов , Я оставила Наталью, которая работает со мной, и она является автором этого поста - она ​​описывает свои впечатления в науке. Я позволил себе написать резюме в конце поста. Видеокурс - обзор Натальи Я выбрал курс - Пиннакл 17 - редактирование фильмов от А до Я. Я никогда
Дизайн Основной момент?