[PLUTO-security] Squid cache server separato?

Luca sollazzo tailgunner75 a email.it
Ven 21 Nov 2003 12:55:07 CET 

Alle 11:47, venerdì 21 novembre 2003, Piviul ha scritto:
> Giuseppe wrote:
> > Quanti PC dovra' gestire ???
>
> Saranno una ventina di client collegati con una HDSL a 2Mbit.
>
> Andrea Dinale wrote:
>  > Dipende da cosa deve fare lo squid.
>  > Per 5 - 6 client, solo http (dato che parli di proxy trasparente), e
>  > poco traffico, uso una macchina PII 266 96 Mb ram, e lavora benissimo,
>  > in un altro ufficio, ho piu' di 30 client, che utilizzano in modo piu'
>  > pesante il proxy, ed un P3 1000 con 512 Mb di ram ogni tanto arranca.
>  > Fai qualche prova e vedi i risultati.
>
> Sembra che tu mi dica che il proxy trasparente si possa fare solo su
> http: non posso fare passare tutto il traffico da squid? Certo, ha senso
> cachare solo il traffico http ma potrebbe essere utile controllare e
> loggare tutto il traffico da e per internet...
>
io l'ho installato su un vecchio p166 con 256 MB di ram, tanto per vedere che 
succede...  e devo dire che per gestire una rete con 4-5 client non va 
affatto male...
comunque le prestazioni dipendono anche dal livello di caching che imposti in 
squid.. dall'ampiezza di banda che hai a disposizione, e dal traffico (http 
ne caso di squid trasparente) da gestire

per loggare il traffico diverso da http, puoi usare l' estensione target LOG 
di iptables, per esempio

iptables -A INPUT -i eth0 -p tcp --dport ! 80 -j LOG

in questo caso vengono loggate tutte le connessioni in ingresso 
sull'interfaccia eth0  che hanno porta tcp di destinazione diversa dall'http

questa regola comunque si limita a loggare il traffico che la interessa, e non 
intraprende alcuna azione, quindi va seguita da altre regole atte ad 
intraprendere le azioni che vuoi, es. se vuoi loggare quelli che tentano di 
accedere alla tua macchina dall'esterno sarenno necessarie due regole:

iptables -A INPUT -i ppp0 -j LOG ---------> logga il traffico 
iptables -A INPUT -i ppp0 -j DROP--------> blocca il traffico

per ulteriori informazioni man iptables

in genere poi, sarebbe sempre meglio evitare di accorpare troppe funzioni su 
una sola macchina, anche tenendo conto di eventuali problemi, ( es. se va giù 
il proxy server, non mi si blocca pure la posta o la connettività internet, 
ecc.)

Maggiori informazioni sulla lista pluto-security