squid.conf: "acl src" i dinamički dns...

[ pisac @ 17.01.2010. 16:01 ] @

Hoću da namestim da mi squid prihvata određene klijente, ali ne po IP adresi već po imenu domena (tj. FQDN).

To i nije neki problem, stavi se "acl ime src neki.domen.com"

Problem je što to ne radi kada je u pitanju dinamički DNS. Odnosno, kada se IP adresa promeni, Squd nastavlja da pušta klijente sa stare IP adrese a odbija sa nove. Tj. ne proverava da li je IP adresa za neki.domen.com i dalje ta ista ili neka druga.

Negde sam pročitao da umesto "acl ... src ..." treba staviti "acl ... srcdomain ...", ali to u mom slučaju uopšte ne radi (valjda ima veze sa nedostatkom PTR zapisa).

[ igor.vitorac @ 18.01.2010. 13:13 ] @

A zasto bi hteo da prihvatas po imenu domena? Sta zelis da postignes?

[ pisac @ 18.01.2010. 17:13 ] @

Odgovor na to je upravo u pitanju: Dinamički DNS! Odnosno klijenti koji menjaju svoju IP adresu. Jasnije od toga ne može biti

[ igor.vitorac @ 19.01.2010. 21:17 ] @

Citat:

pisac: Odgovor na to je upravo u pitanju: Dinamički DNS! Odnosno klijenti koji menjaju svoju IP adresu. Jasnije od toga ne može biti :)

Razumeo sam te na pocetku... ali moje pitanje je vise u smislu koja je to situacija u kojoj bi koristio proxy samo sa odredjene FQDN klijente. Tesko mi je da zamislim situaciju u kojoj bi koristio FQDN umesto IP-a za ACL-ove kada je u pitanju selekcija (filtriranje) klijenata iz lokalnih mreza. Ako ti je dobro isplanirana lokalna mreza i ako imas dobro isplanirane "restriktivne" polise lokalne mreze, odrzavanja squid ACL-ova sa IP adresama ne bi trebao da bude problem.

[ pisac @ 21.01.2010. 08:37 ] @

Nije lokalna mreža :-)

[ igor.vitorac @ 21.01.2010. 16:00 ] @

Ako upravljas (DNS) domenima kojima zelis da dozvolis pristup proxy-iju, smanji im TTL vrednosti, pa ce ti squid biti brze dostupan ako imas promenu IP adrese kod klijenta.

Toliko od mene. Sledeci put objasni malo bolje situaciju. "Gledanje u pasulj" mi bas ne ide od ruke. :-)

[ pisac @ 21.01.2010. 17:36 ] @

Ma TTL je već samo 1 minut, ali squid ne kapira da treba nakon tog minuta ponovo da razreši FQDN u IP adresu. Jednostavno, koristi IP adresu koju prvi put dobije i ne menja je.