Squid Proxy in der Wüste...

Niels Dettenbach linux at eichsfeld.net
Don Mar 16 23:06:33 CET 2006 

Hallo Listenleutz,

diesmal wieder mit einer Frage - hoffe damit nicht allzu off topic zu liegen - 
versuch es einfach mal:

Ein Kollege der da unten irgendwo in der Wüste ISP "spielt" will an seinen 
verh. langsame und recht teuren Sat IP-Uplink per Squid einen transparenten 
Proxy

aktuell:

)-- SAT modem <---> Access Router Box <---> modem dialup und DSL (3xC)
				|
				[privates subnet ]
				[192.168.1.x]
geplant:
)-- SAT modem <--[squid]-->[Access Router Box]<-->[modem dialup und DSL]

dabei gibt's Folgendes zu beachten:

- der RIPE Netzwerker seines IP-Anbieters/Peers hat ihm 3 offizielle class c 
subnetze - sowas wie

(3xC)
2xx.1x.56.0
2xx.1x.57.0
2xx.1x.43.0

gegeben, die je auch eigene Gateways usw. haben. BGP o. dyn. Routring etc. 
gibt's aktuell nicht. Mal hatte er anstelle des geplanten Squid eine 
Gateway / Router Box gehabt - die aber wg. irgendwelcher Netzwerkpprobleme 
herausgenommen und direkt auf das Ethernet Interface am SAT-Modem (eine Linux 
Box) die 3 Gateways je als IP-Alias eingetragen, sagt er.

Wir wollen nun dort den Squid unter Linux als transparenten Proxy einbauen. 
Die Box hat 3x Ethernet (1x geht zum SAT Modem, 1x zu den dialups und 1x für 
die lokal stehenden PCs am privaten subnet - OK. Alle "internen" IPs sollen 
dabei vom transp. Proxy bedient werden.

Alle Details (die anderen Geräte o. deren Konfigs) sind mir darüber hinaus 
auch net bekannt... Der Access Server ist ne ältere Cisco (95xx?!? für modem 
dialup)

Die Squid Box darf sich dabei an IPs aus 2xx.1x.56.12/24 (mit Gateway 
2xx.1x.56.2) nach Bedarf bedienen - hat er dafür also noch frei.

- Wie statten wir nun die Interfaces des Squid am besten mit IP Adressen aus?

- Lasse ich die 3 Gateways am SAT Modem oder lege ich die auf das interne 
squid ethernet iface? Was mache ich dann am SAT Modem? Müssen "statisch 
konfigurierte" Dialup-User eine andere Konfig bekommen oder kommt man ohne 
aus (GWs bleiben ja gleich)?

- Muss ich bei den iptables (fürden transparenten Proxy) etwas besonderes 
beachten bzw. wie konfiguriere ich die NAT darauf optimal, damit alles mögl. 
schlicht, übersichtlich und vor allem performant bleibt (die eingesetzte HW 
ist ev. nicht die Neueste)?

- Hat das Performance Einflüsse, mit den IP Aliasen zu arbeiten?

Aus meiner Sicht habe ich da zwar einen Ansatz im Kopf - der klingt mir aber 
selbst zu wirr - oder zu simpel, als das ich mich damit hier ggf. "blamieren" 
möchte - irgendwie habe ich da etwas auf den Augen...

Über Eure Tipps und Hints freue ich mich sehr - auch versch. Ansätze sind 
willkommen...

Vielen Dank und beste Grüße,
-- 
  Niels Dettenbach
-- 
  Niels Dettenbach
  ---
  Eichsfelder Linux/UNIX Stammtisch (EICLUSt)
  business: Syndicat IT&Internet - http://www.syndicat.com
  Heilbad Heiligenstadt - germany / cape town - south africa

  Kryptoinfo - GPG/PGP public key: 651CA20D
  https://syndicat.com/pub_key.asc
  Key fingerprint = 55E0 4DCD B04C 4A49 1586  88AE 54DC 4465 651C A20D
  ---