Firefox vs яндекс

[artflam]

если правильно понял, то у Вас так - все ходят в инет через прокси, в браузерах и на сервере(он тоже идет через прокси?) и на клиентах не корректно отображается, а Thunderbird не работает только на клиентах.
Возможно, что Thunderbird на сервере идет мимо прокси(просто имеет такую возможность), а в конфигурации прокси (squid ? ) нет параметров acl типа

Код: [Выделить]

acl Safe_ports port 443    # HTTPS
acl SSL_ports port 443    # HTTPS (C)
http_access deny !Safe_ports   
http_access deny CONNECT !SSL_ports

  опять-таки, предполагаю, что часть контента страниц веб-почты может идти по http, а часть по https. Поэтому так криво отображается.

а говорят еще что телепатов не существует :)

вы понял верно. на сервере инет идет через прокси, а ТБ на самом деле в обход. дело в том что в браузере на сервере прописаны настройки прокси и инет есть, а в ТБ я ничего не писал. он сам заработал. :)  яндекс (только этот сайт, а точнее его внутренние страницы) криво отображаются как на сервере, так и на клиентах. (кстати опять же наверно неясно выразился, на сервере какое-то время внутренние страницы яндекса работали.)

в сквиде параметры посмотрю. на память такое само-собой не помню.

по поводу http и https - можно ли в таком случае разрешить доступ и по обоим протоколам? (в веб-интерфейсе сервера отмечал галочками разрешить HTTP и HTTPS, но возможно, этого не достаточно?

проверил сквид, вот что в нем есть:

Код: [Выделить]

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 563 # snews
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl CONNECT method CONNECT

[artflam]

NAT как раз таки и нельзя использовать из-за настроек инет фильтра,

Это всё та же беда с терминологией. Интернет - это не только веб. А фильтр Вам нужен для веб-контента, очевидно. Ну так не разрешайте NAT для http и https. Или, даже, наоборот, разрешайте только для icmp, pop, imap и smtp.

по поводу NAT. посмотрел сейчас настройки сервера через веб интерфейс - в общем сервер работает в режиме роутера, а не NAT (шлюз).  почему роутер? дело в том, что когда настраивал фильтрацию, сами понимаете, выбрал наиболее простой путь для себя, т.е. нашел подробную инструкцию по настройке фильтра, и там как раз-таки указывалось, что сервер должен работать в режиме роутера. если же сделать NAT, то согласно инструкции локальные пользователи смогут обходить фильтр, попросту меняя настройки сетевого соединения в браузере. За недостаточностью опыта, поверил инструкции  на слово. Наверное, конечно, можно как-то разгрничить права на смену настроек.. НО.. чтобы зайти в альтератор требуется пароль рута. пользователи его не знают конечно. а вот настройки браузера им ничто не помешает изменить. а вот можно внести запрет на это или нет, к сожалению, не знаю.

[asy]

и там как раз-таки указывалось, что сервер должен работать в режиме роутера. если же сделать NAT, то согласно инструкции локальные пользователи смогут обходить фильтр, попросту меняя настройки сетевого соединения в браузере. За недостаточностью опыта, поверил инструкции  на слово.

Это всё верно написано, но для упрощённого случая, когда NAT включается разом и для всего. Но никто же не мешает включить NAT не разом на всё, а только для определённых TCP (и/или UDP) портов. Надо в Альтераторе посмотреть, можно ли там свои правила делать.

[artflam]

Это всё верно написано, но для упрощённого случая, когда NAT включается разом и для всего. Но никто же не мешает включить NAT не разом на всё, а только для определённых TCP (и/или UDP) портов. Надо в Альтераторе посмотреть, можно ли там свои правила делать.

угу.. вот точно знаю, что там есть возможность создавать правила для перенаправления портов. Но это перенаправление. а вот запрет/разрешение - проверю.

[palex]

В альтераторе есть ручная настройка брандмауэра. Остается только создать правила, а чем выше я уже говорил

[asy]

а вот запрет/разрешение - проверю.

Можно и так. Включить полный NAT, а для ненужного перекрыть FORWARD.

[xdsl]

Про ТБ: В своей сетке для получения почты с яндекса делал на шлюзе проброс портов 110 и 995 на pop3.yandex.ru, а в ТБ указывал почтовым сервером - адрес шлюза. Все работало и работает.

Правда у меня форвардинг на шлюзе вообще отключен и все ходят в инет только через сквид. Очень помогает такая схема от всяких клиентских вирусов, торрентов, сетевых игр и прочих виндовсов.

[ovk]

Про ТБ: В своей сетке для получения почты с яндекса делал на шлюзе проброс портов 110 и 995 на pop3.yandex.ru, а в ТБ указывал почтовым сервером - адрес шлюза. Все работало и работает.

Правда у меня форвардинг на шлюзе вообще отключен и все ходят в инет только через сквид. Очень помогает такая схема от всяких клиентских вирусов, торрентов, сетевых игр и прочих виндовсов.

Аналогично. Только используем несколько разных почтовых серверов (yandex, mail.ru и т.д.), поэтому назначены различные порты для разных серверов, а на шлюзе прописаны правила типа:

Код: [Выделить]

#imap.yandex.ru                                                                                   
$IPTABLES -t nat -A PREROUTING --dst $LAN_IP -p tcp --dport 4143 -j DNAT --to-destination 87.250.250.124:143                                                                                       
$IPTABLES -t nat -A PREROUTING --dst $LAN_IP -p tcp --dport 4993 -j DNAT --to-destination 87.250.250.124:993 
У пользователя на клиенте в качестве сервера указывается адрес шлюза и порты, соответствующие используемому почтовому серверу и протоколу (pop, imap, smtp).

[asy]

Про ТБ: В своей сетке для получения почты с яндекса делал на шлюзе проброс портов 110 и 995 на pop3.yandex.ru, а в ТБ указывал почтовым сервером - адрес шлюза. Все работало и работает.

Если работает, то хорошо. Но, в общем случае, тут есть засада. В этой ситуации, если, вдруг, понадобится, не сработает вот это http://en.wikipedia.org/wiki/Path_MTU_Discovery, со всеми вытекающими.

[artflam]

Про ТБ: В своей сетке для получения почты с яндекса делал на шлюзе проброс портов 110 и 995 на pop3.yandex.ru, а в ТБ указывал почтовым сервером - адрес шлюза. Все работало и работает.

Правда у меня форвардинг на шлюзе вообще отключен и все ходят в инет только через сквид. Очень помогает такая схема от всяких клиентских вирусов, торрентов, сетевых игр и прочих виндовсов.

Аналогично. Только используем несколько разных почтовых серверов (yandex, mail.ru и т.д.), поэтому назначены различные порты для разных серверов, а на шлюзе прописаны правила типа:

Код: [Выделить]

#imap.yandex.ru                                                                                   
$IPTABLES -t nat -A PREROUTING --dst $LAN_IP -p tcp --dport 4143 -j DNAT --to-destination 87.250.250.124:143                                                                                       
$IPTABLES -t nat -A PREROUTING --dst $LAN_IP -p tcp --dport 4993 -j DNAT --to-destination 87.250.250.124:993 
У пользователя на клиенте в качестве сервера указывается адрес шлюза и порты, соответствующие используемому почтовому серверу и протоколу (pop, imap, smtp).

так-так, уже интереснее и понятнее мне становится. но, прошу не кидать в меня помидорами, хочу просто уточнить чтоб не запутаться самому.
вы пишете, что порты пробрасываются на шлюзе и во втором посте тоже - ссылка с клиентской машины стоит на шлюз.
вот с этим шлюзом - вопрос. у меня такая схема. инет приходит на роутер с него идет на сервер со сквидом, а с него в хаб ин а всю локалку.  Роутер - обычный Zyxel. Я так понимаю что шлюзом является сам роутер? Или я понимаю неверно и шлюз это сервер который получает инет и фильтрует его? А то сейчас понастраиваю, да нето :))

[ovk]

... Я так понимаю что шлюзом является сам роутер? Или я понимаю неверно и шлюз это сервер который получает инет и фильтрует его? ...

В моем случае шлюз - это сервер, на котором работает пакетный фильтр (iptables) - брандмауэр между локальной и внешней сетями. Проще - это сервер, на eth0 которого висит инет со статическим адресом (роутер включен мостом), а с eth1 раздается интернет в локальную сетку (через сквид). Почта идет в обход сквид.

[asy]

вот с этим шлюзом - вопрос. у меня такая схема. инет приходит на роутер с него идет на сервер со сквидом, а с него в хаб ин а всю локалку.  Роутер - обычный Zyxel. Я так понимаю что шлюзом является сам роутер? Или я понимаю неверно и шлюз это сервер который получает инет и фильтрует его? А то сейчас понастраиваю, да нето :))

Шлюз - этот тот роутер, который знает, что делать с трафиком дальше. Это может быть шлюз какой-то сети или шлюз по умолчанию. И сервер, и Zyxel для кого-то шлюзы куда-то. ZyXEL - в смысле ADSL-устройство ? Тогда перевод его в режим бриджа - неплохой совет: оно так ещё и работать будет лучше, так как процессоры слабоваты у ZyXEL-ей для маршрутизации. И схема будет проще сразу.

[artflam]

вот с этим шлюзом - вопрос. у меня такая схема. инет приходит на роутер с него идет на сервер со сквидом, а с него в хаб ин а всю локалку.  Роутер - обычный Zyxel. Я так понимаю что шлюзом является сам роутер? Или я понимаю неверно и шлюз это сервер который получает инет и фильтрует его? А то сейчас понастраиваю, да нето :))

Шлюз - этот тот роутер, который знает, что делать с трафиком дальше. Это может быть шлюз какой-то сети или шлюз по умолчанию. И сервер, и Zyxel для кого-то шлюзы куда-то. ZyXEL - в смысле ADSL-устройство ? Тогда перевод его в режим бриджа - неплохой совет: оно так ещё и работать будет лучше, так как процессоры слабоваты у ZyXEL-ей для маршрутизации. И схема будет проще сразу.

ясно
да, ADSL модем. работает в режиме роутера щас.
спасибо за разъяснения, стало гораздо понятнее. на выходных, когда компы будут свободны буду пытаться сделать все это.

[xdsl]

artflam, если в вашей сетке схема типа

инет<------->модем<----->сервер_со_сквидом<------->локальная_сеть

то вам гораздо проще проще считать шлюзом сервер со сквидом, у которого, как я понимаю, две сетевых карты, одна - на модем, вторая - в локалку. Вот на этом сервере и проводите все модификации.

[wecheslaw]

имелось ввиду http-прокси, хотя скажу честно, это для меня уже не совсем понятно, хотя и по гуглу ходил и мануалы по прокси читал, далеко не все ясно :( вот и подозреваю потому, что проблема с настройками прокси...

По протоколам вам уже много советов дали. А вот кривое отображение Яндекса у Вас скорей всего по тому, что в белом списке указан только домен yandex.ru  и может еще ya.ru. А страница строится из множества кусков загружаемых с разных доменов типа  yandex.st, yandex.net и еще вроде других с неосмысленными именами. Полный список попробуйте выяснить у службы поддержки Яндекса.