Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Linux Linux Netzwerk

GELÖST

Squid soll verschiedene Absender-IPs liefern

Mitglied: S3dr1ck

S3dr1ck (Level 1) - Jetzt verbinden

21.04.2009, aktualisiert 17:45 Uhr, 5188 Aufrufe

Brauche Hilfe bei der Konfiguration meiner Squid-Proxys für eine bestimmte Anwendung...

Hallo zusammen!

Hier erstmal die Problemstellung:

Es gibt 2 Webserver hinter einem Loadbalancer. Die beiden Webserver sind im Optimalfall synchronisiert. Um eben diese Synchronisation und andere Dinge zu testen, wollen unsere Entwickler möglichst einfach gezielt auf diese beiden Server zugreifen.

Ein Kollege von mir hat sich da folgende Lösung ausgedacht:

Der Loadbalancer soll eingehende Verbindungen unterscheiden und entsprechend an den richtigen der beiden Webserver weiterleiten. Die Unterscheidung funktioniert in diesem Script wohl nur anhand der IPs und nicht anhand des Ports. Diesen Umstand muss ich als gegeben hinnehmen.

Somit habe ich nun einen Squid-Proxy aufgesetzt. Dieser hat auf 2 Interfaces 2 verschiedene IP-Adressen. Der Proxy soll nun eingehende Verbindungen entweder anhand des Ports über den der Zugriff auf den Proxy stattfindet oder aber anhand der IP, die die Clients nutzen um sich mit dem Proxy zu verbinden unterscheiden und den clients dann seine entsprechende IP als Absenderadresse mitgeben.

Also mal ganz praktisch:

Ich verbinde mich als user mit der URL des Webs. Habe ich nun bei meiner Proxykonfiguration den Port 8080 eingegeben, dann gibt der Proxy die Verbindung über die IP seiner ersten Schnittstelle weiter. Benutze ich Port 8081, so verbindet der Proxy mich über seine 2. Schnittstelle weiter. Der Loadbalancer erkennt nun anhand der IP, ob meine Anfrage an Webserver1 oder an Webserver2 geleitet werden muss. Die Unterscheidung muss nicht zwingend über den Port stattfinden. Es kann wie gesagt auch über die 2 verschiedenen Interfaces passieren.

Wichtig ist halt nur, dass der Loadbalancer mit 2 verschiedenen Absender-IPs gefüttert werden kann.

Ich habe das ganze nun so gelöst, dass ich Squid mit 2 verschiedenen Konfigurationsfiles 2mal starte. Die eine Konfiguration lässt Squid auf der ersten IP-Adresse auf Port 8080 lauschen und die andere Konfiguration lauscht auf der 2. IP auf Port 8081. Das funktioniert super, da so die Clients verschiedene Absenderadressen bekommen, je nachdem welches Interface vom Squid sie in Ihrer lokalen Proxykonfiguration eintragen.

Ich finde es aber sehr unschön, 2 Instanzen von Squid laufen zu lassen. Ich bin mir sicher, dass man das auch in einer einzelnen Konfiguration hinbekommen kann und hab auch 2 halbe Arbeitstage die Dokumentation gelesen und sehr viel rumgetestet, aber ich bekomme es irgendwie nicht hin, dass mir eine Instanz des Squid seine 2 verschiedneen Interfaces als Absenderadresse liefert. Ich bekomme immer die gleiche.

Man kann nun zwar ACLs anlegen und für jede ACL eine bestimmte tcp_outgoing_address angeben, allerdings kann ich mithilfe der ACLs zwar Ports oder bereiche definieren, aber tcp_outgoing_address erwartet wohl eine ACL die eine IP-Adresse beinhaltet, aber keine einfache Portangabe.


Ich glaube ich habe in meiner Planung einen groben Denkfehler oder ich hab gerade ein Brett vorm Kopf. Die ganze Sache läuft so zwar, aber ich finde es mehr als unschön.

Wenn mir also evt.. wer mit einem Zaunpfahlwink oder einem Tip oder Stichwort weiterhelfen könne, wie ich das eleganter mit einer einzelnen Squidinstanz und über dst und src ACLs regeln kann, wäre ich sehr dankbar. Oder aber wenn Ihr sagt, das was ich hier gemacht habe, ist die einfachste Lösung, die Squid hergibt für diesen Fall, dann wär ich auch mehr oder weniger zufrieden, aber so wie es jetzt ist, kann ich nicht in Ruhe schlafen:P


EDIT:

Ok, habs hinbekommen!

Seit Version 2.7 gibt es einen neuen ACL-Typ namens myport (bzw. myportname für SSL). Dieser gibt den Port an, auf dem die Clients anfragen. Also zum Beispiel:

acl clients_port1 myport 8080
acl clients_port2 myport 8081

Nun kann man mit tcp_outgoing_address den clients eine bestimmte Absenderadresse, entsprechend ihres Ports verpassen:

tcp_outgoing_address 10.11.12.13 clients_port1
tcp_outgoing_address 10.11.12.14 clients_port2

Wenn ich jetzt in den Proxy über Port 8080 connecte, komme ich über dessen lokale IP 10.11.12.13 raus und über 8081 halt über die 10.11.12.14.


Hoffe das hilft evtl. mal jemandem weiter. War jedenfalls nicht so einfach zu finden in der Doku. In der deutschen steht davon garnichts...Habs irgendwie über die Wiki gefunden.
Ähnliche Inhalte
E-Mail
Zusammenführen verschiedener Email-Konten - Absender auswählen
Frage von Hennes2014E-Mail1 Kommentar

Hallo Zusammen, ich habe folgendes Problem: Ich arbeite zur Zeit für mehrere Unternehmen bei denen ich mehrere EMail-Konten habe. ...

Windows Server
Datei gelöscht während Backup lief
gelöst Frage von itze80Windows Server8 Kommentare

Hallo zusammen, ich habe ein Problem: Auf einer uralt Windows 2003 Server Installation dauert das Backup einer Verwaltungssoftware (Firebird ...

CPU, RAM, Mainboards
Prozessor übertakten lief schief
gelöst Frage von gamiiiiCPU, RAM, Mainboards6 Kommentare

Guten Tag liebe Informatiker unserer Welt. Ein Freund von mir übertaktete seinen Prozessor von 3.5 GHz auf 4.0 GHz. ...

Windows Server
WSUS. Clients liefern keinen Status mehr
gelöst Frage von EnriqeWindows Server6 Kommentare

Hallo Admins, ich bin mit meinem WSUS mal wieder am Verzweifeln. Vielleicht bin ich ja selbst schuld. Ich musste ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 4 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk9 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...