Squid problème

sayf1987

Bonjour les amis j'aimerai bien quelqu'un qu'il m'aide au sujet de squid -v 2.7.

l'existant:

–---------------------proxy_pére---------------
                                      |
                                      |
                                    (NAT)
-----------------------Proxy_fils(pfsense)--------
                                      |
                                      |Lan

le problème c'est: j'aimerai bien voir les adresses IP de mon lan dans les log du proxy pére, pour le moment je  ne vois que l'@ip du NAT c tt.

merci

ccnet

Inévitable avec une telle solution dont je ne comprend pas toutes les nécessités. Des infos peut être ?

jdh

Je complète ccnet :

A partir du moment où le proxy fils effectue une translation d'adresse, le proxy père ne voit qu'une adresse passer au travers de lui.
C'est parfaitement logique !
D'où des logs avec cette adresse ip.

La seule chose utile possible serait d'utiliser "X-forward" qui précise l'ip réelle qui fait la demande.
(Certains outils de visualisation de logs peuvent utiliser "X-forward" me semble-t-il …)

De toute façon, il doit y avoir une logique pour enchainer 2 proxy.
N'étant pas indiqué, on ne peut rien en déduire.
Mais "la logique" s'oppose quelque fois aux réalités ...

AMPSHA, je ne vois peu d'intérêt à utiliser un proxy sur pfSense : au delà de 10 utilisateurs dans le LAN, il est clairement à recommander d'utiliser un proxy dédié.
Alors à fortiori enchainer 2 proxy au risque de masquer l'ip réelle me parait pas être une logique intéressante.

Juve

En résumé, utilisez un seul proxy puisque le chaînage ne vous semble pas nécessaire.

sayf1987

l'objectif du cache pére pour moi c'est pour d'autre raison, mais moi ce que je cherche c'est comment faire de ne pas masquer les @ip des clients LAN au niveau du cache Pére, le X-forward je l'ai mis en ON mais sa marche pas , les clients reste visualisé avec l'@ du NAT.

il y a d'aytre piste

ccnet

Oups l'orthographe, ménagez un peu ceux qui vous lisent ! Votre dernière phrase est une question ou une affirmation ?

jdh

Au delà de l'orthographe, il y a la justification qui nous échappe …

Quelle est votre réponse à ce conseil pratique : au delà de 10 utilisateurs, nous déconseillons d'utiliser Squid sur pfSense ?

Nous avons du mal à comprendre pourquoi on n'irait chercher les logs à un autre endroit que le proxy le plus proche ! (sur une hypothèse d'un squid dédié au lieu d'un Squid/pfSense).

Néanmoins, je ne connais pas bien l'enchainement de proxy (cache hierachy ou ICQ ...) et ses fonctionnalités ...