Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2148 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Direct Connection with Transparent Proxy??

jskala
I am running Astaro 3.2 with squid in transparent mode. I have a little experince with squid so I was looking at the documents for squid and noticed this was a config file feature. Now what I am wondering is does the squid proxy on Astaro take the same commands? Is the config file to edit the one located in /var/chroot-squid/etc/squid.conf-default

Squid Documentation states to add a acl something like this
acl aclname dst ipaddress/subnet or
acl aclname dstdomain .domainname
then add a line that says
always_direct allow aclname.

Now I tried this with my own, because I need to be able to access one site direct, for my Tivo unit that is using my Broad Band Connection to get updates from. However even after adding the lines to the config file and stoping and starting squid. My tivo will still fail to make the connection. I don't know if the log files from the tivo will help at all but if someone thinks they will I will post them.. Any help with this would be great..


This thread was automatically locked due to age.
Parents
  • 0
    Have you found this to be working? 
  • 0 in reply to devilrunner
    doesn't work. I have been unable to get it to work as of yet with squid config files DNAT/SNAT rules.. I am still looking. this is keeping me from using ASL as my firewall. 
  • 0 in reply to jskala
    Do you have a lot of people behind ASL that makes you require transparent Squid?  If not then turn it off and set proxy manually for users and apps that should have it.
      
  • 0 in reply to pablito
    Well what may be alot to you and me are 2 differnet things. But no there aren't that many users behind it right now. I am testing it for company use at which time yes there will be a lot of users behind it. Aprox 400 
  • 0 in reply to jskala
    Most of those Squid directives that appear to allow direct access is actually refererring to proxy server chains (parent/sibling).  Certain traffic goes directly from Squid instead of quering a parent/sibling proxy.  It doesn't mean the traffic bypasses Squid completly.

    You would be best to create network definitions to put in the Squid allow rules that exclude IPs that need to bypass Squid.  Easiest if you have a block of IPs at the near or far end of the subnet for those devices and the normal clients have the rest.  I usually reserve the first block of IPs for servers and special devices and DHCP the far end for clients.  Then I have Squid only proxy the DHCP clients and allow servers direct (MASQ) access, if I allow them access at all.


       
  • 0 in reply to pablito
    This is the first good answer I have gotton on this so far.
    What I was thinking of doing was putting the clients that don't need/I don't want going through the proxy on the DMZ. So what you are saying I should do is in HTTP Proxy allowed network put in lan(internal) and then leave dmz out. And it will still get Internet access but not through the proxy is this correct? If I am understanding it how I said, I will give that a test run this weekend and see how it works out.. Thanks for the help I will let you know if it works. 
  • 0 in reply to jskala
    Very easy to have DMZ avoid the proxy, just don't include the subnet in the Allow list.  You can go further by building  Network Definitions for the internal net that also keep certain machines off the proxy.  You may have to build several.
    Instead of eth0_network as an Allow entry create one say High_IPs_subnet 192.168.1.128/255.255.255.128 and then maybe some smaller ones.  Idea is to only Allow the IPs of regular clients and exclude servers or devices you want excluded. 

    It might involve reassigning some machines but with DHCP it is easy.  Hardcode only the servers and special machines.

     There is a lot you can do within Squid but the ASL interface so far isn't including all the variables.  
  • 0 in reply to pablito
    Well I tried it here at home just as you said excluding the DMZ from the allowed list, and only having the lan included. Tested and well it worked going direct to the internet and bypassing the proxy as I wanted. Thanks very much for your help. You know I had actually asked this question long ago and no one else was able to tell me that. Thanks again pablito. Now if ASL can only through on IDS to there system, then they will be at the top.. 
Reply
  • 0 in reply to pablito
    Well I tried it here at home just as you said excluding the DMZ from the allowed list, and only having the lan included. Tested and well it worked going direct to the internet and bypassing the proxy as I wanted. Thanks very much for your help. You know I had actually asked this question long ago and no one else was able to tell me that. Thanks again pablito. Now if ASL can only through on IDS to there system, then they will be at the top.. 
Children
No Data