Frage zur Konfiguration von Squid

Hans-Dietrich Kirmse hd.kirmse at gmx.de
So Feb 8 12:38:13 CET 2015 

Hallo Niels,

herzlichen Dank für deine Antwort.

Am 08.02.2015 um 09:33 schrieb Niels Dettenbach (Syndicat IT & Internet):
> Hi Hans-Dietrich
>
>
> habe die Konfigurationspolicies grad nicht sicher im Kopf, soweit ich mich richtig erinnere, kannst Du mehrere Interfaces gezielt mit mehreren http_port Direktiven angeben.
>
> Also zB:
>
>
> http_port a.b.c.d:8080
> http_port c.d.e.f:8080
>
> oder
>
> http_port a.b.c.d:8080 c.d.e.f:8080
>
> prüfe das morgen nochmal nach - bitte melden, wenn nicht geht.

habe ich gerade erfolgreich getestet.

> Allerdings ist es nicht zwingend nötig, squid auf bestimmte Interfaces zu binden, da squid per http_port 8080 an allen Interfaces horcht, Du per ACLs in der squid.conf eh festlegen solltest, aus welchen Netzen der squid wie genutzt werden darf.
>
> Das/die "ausgehenden" Interfaces ergeben sich aus dem Routing der squid box.

okay, eine ACL für das lokale Netz ist definiert. Ich empfand dieses 
Binden an die IP-Adressen als eine weitere Absicherung.

> Mit IPv6 habe ich am squid noch nicht gearbeitet, sehe aber Probleme bei URLs, die IP-Adressen enthalten, da DNS für HTTP ja nicht zwingend ist. D.h. die HTTP Clients müssen dann zumindest mit IPv6 Adressschemen sicher umgehen können.

Das war so nicht gedacht. Nach Aussagen eines ehemaligen Schülers der 
jetzt an der Uni Dresden ein paar Rechner betreut, wird bei IPv6 nicht 
mit Adressen sondern defacto nur mit (Domain-)Namen in den URLs 
gearbeitet. Für die Schule (insbesondere in kleineren Klassen) wäre ein 
Arbeiten mit URLs, die IPv6-Adressen enthalten wohl nicht sinnvoll bzw. 
leistbar. Wenn es aber nur um URLs ohne (IPv6-)Adressen geht, dann kann 
und sollte das Squid leisten können.

Außerdem, wenn die Clients mit IPv6-Adressen zurecht kommen sollen, dann 
muss im Schulnetz auch IPv6 bereitgestellt werden. Genau das haben wir 
nicht und will ich auch nicht. Ich weiss das mein Vorhaben geht, aber 
ich weiss nicht, ob und gegebenenfalls was man dann in der squid.conf 
einstellen muss bzw. aus Sicherheitsgründen einstellen sollte.

> Daher würde ich den squid nur an IPv4 laufen lassen und ev. IPv6 vor dem squid entsprechend auf IPv4 umsetzen, wenn Du nur noch IPv6 bekommst (was ich nicht annehme).

also ich weiss nicht, wie man ohne Squid IPv6 auf IPv4 umsetzen kann. 
Ich will es ja auch gar nicht. Wir bekommen seit einigen Wochen beides, 
also IPv4 und IPv6. Die IPv4-Adresse wechselt natürlich täglich, bei der 
IPv6-Adresse weiss ich es nicht. Da DynDNS nicht mehr kostenfrei zur 
Verfügung steht, wäre hier ein weiteres Interesse zur Nutzung von IPv6, 
damit ich von zu Hause per SSH auf den Server zugreifen könnte. Aber da 
habe ich überhaupt keinen Plan. Allerdings habe ich zu Hause auch IPv6 
(Anbieter ist hier Primacom). Da weiss ich allerdings, dass das nicht 
immer dieselbe IP ist. m.E. kann man das selbst einstellen, aber wie 
gesagt - keinen Plan.

> Falls neueste squid versionen allerdings eigene Mechanismen der Adressumsetzung mitbringen, kann man ev. auch die einsetzen.

Ja, genau diese Adressumsetzung von Squid will ich einsetzen und Squid 
so konfigurieren, dass das einerseits stabil und andererseits auch 
sicher ist, also an eth0 Beides (IPv4 und IPv6) genutzt werden kann und 
an eth1 und eth2 nur IPv4 aus dem lokalen Netz.

Erst jetzt beim Schreiben wird mir klar, dass genau das mit der Angabe

   http_port 10.100.0.1:8080
   http_port 10.101.0.1:8080

und einer ACL für das lokale Netz und localhost erreicht sein sollte.

Ich danke dir sehr für deine Ausführungen. Mir ist einiges dadurch klar 
geworden und ich betrachte meine 2 Fragen als vollständig beantwortet.

Viele Grüße
Hans-Dietrich