forum.opennet.ru - "Transparent Squid + ipfw + keep-state" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Transparent Squid + ipfw + keep-state"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Transparent Squid + ipfw + keep-state"
Сообщение от Tuxper (??) on 20-Ноя-06, 05:44
Не работает принудительное проксирование при таких правилах: ................... 00001 check-state 00080 allow udp from 192.168.0.0/24 to any dst-port 53 00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 00110 divert 8668 ip from any to me in recv tun0 00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 00215 allow ip from 192.168.0.0/24 to any dst-port 25,110,53,5190 keep-state ...................... tun0 -внешний интерфейс xl0 - внутренний интерфейс Но при таких правилах прозрачное проксирование работает: ........................... 00080 allow udp from 192.168.0.0/24 to any dst-port 53 00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 00110 divert 8668 ip from any to me in recv tun0 00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 00215 allow ip from any to any ........................... Что мне делать с keep-state????
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Transparent Squid + ipfw + keep-state, Админ НАСА, 12:47 , 20-Ноя-06, (1)

Transparent Squid + ipfw + keep-state, Tuxper, 13:48 , 20-Ноя-06, (2)

Transparent Squid + ipfw + keep-state, Админ НАСА, 16:43 , 20-Ноя-06, (3)

Transparent Squid + ipfw + keep-state, Tuxper, 06:47 , 21-Ноя-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Transparent Squid + ipfw + keep-state"

Сообщение от Админ НАСА on 20-Ноя-06, 12:47

>Не работает принудительное проксирование при таких правилах:
>...................
>00001 check-state
>00080 allow udp from 192.168.0.0/24 to any dst-port 53
>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
>
>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
>00110 divert 8668 ip from any to me in recv tun0
>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
>00215 allow ip from 192.168.0.0/24 to any dst-port 25,110,53,5190 keep-state
>......................
>tun0 -внешний интерфейс
>xl0 - внутренний интерфейс
>
>Но при таких правилах прозрачное проксирование работает:
>...........................
>00080 allow udp from 192.168.0.0/24 to any dst-port 53
>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
>
>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
>00110 divert 8668 ip from any to me in recv tun0
>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
>00215 allow ip from any to any
>...........................
>
>Что мне делать с keep-state????
00001 check-state - это у тебя keep-state ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Transparent Squid + ipfw + keep-state"

Сообщение от Tuxper (??) on 20-Ноя-06, 13:48

>>Не работает принудительное проксирование при таких правилах:
>>...................
>>00001 check-state
>>00080 allow udp from 192.168.0.0/24 to any dst-port 53
>>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
>>
>>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
>>00110 divert 8668 ip from any to me in recv tun0
>>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
>>00215 allow ip from 192.168.0.0/24 to any dst-port 25,110,53,5190 keep-state
>>......................
>>tun0 -внешний интерфейс
>>xl0 - внутренний интерфейс
>>
>>Но при таких правилах прозрачное проксирование работает:
>>...........................
>>00080 allow udp from 192.168.0.0/24 to any dst-port 53
>>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
>>
>>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
>>00110 divert 8668 ip from any to me in recv tun0
>>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
>>00215 allow ip from any to any
>>...........................
>>
>>Что мне делать с keep-state????
>00001 check-state - это у тебя keep-state ?
Это проверка на установленные соединения... или я ошибаюсь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Transparent Squid + ipfw + keep-state"

Сообщение от Админ НАСА on 20-Ноя-06, 16:43

Нет )
keep-state только исходящий трафик
chek-state это вроде директивы описывающей keep-state работает вот так:
---
chek-state
allow all from any to any out via ppp0 keep-state
---
Вот вроде так :)
А у тебя вот и получаеться
00001 check-state описал что и куда непонятно
и что то в куске твоего конфига я вовсе не увидел keep-state
используються эти правила если нужно использовать различные сервисы, типа ftp mail, icq, которые для соединения используют случайно выбранные из некоторого списка порты, диапазон которых в общем случае неизвестен. В такой ситуации ничего лучше чем allow ip from me to any out keep-state не придумаешь :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Transparent Squid + ipfw + keep-state"

Сообщение от Tuxper (??) on 21-Ноя-06, 06:47

>Нет )
>keep-state только исходящий трафик
>chek-state это вроде директивы описывающей keep-state работает вот так:
>---
>chek-state
>allow all from any to any out via ppp0 keep-state
>---
>Вот вроде так :)
>
>А у тебя вот и получаеться
>00001 check-state описал что и куда непонятно
>и что то в куске твоего конфига я вовсе не увидел keep-state
>
>используються эти правила если нужно использовать различные сервисы, типа ftp mail, icq,
>которые для соединения используют случайно выбранные из некоторого списка порты, диапазон
>которых в общем случае неизвестен. В такой ситуации ничего лучше чем
>allow ip from me to any out keep-state не придумаешь :)
>
Я запутался немного но сделал так и теперь счастлив:
00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0
00095 check-state
00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0
00110 divert 8668 ip from any to me in recv tun0
00190 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0
00195 allow ip from me to any dst-port 53 keep-state
00196 allow ip from me to any dst-port 80 keep-state
00197 allow tcp from me to any dst-port 443 keep-state
00200 allow ip from 192.168.0.0/24 to any dst-port 5190 keep-state
00210 allow ip from 192.168.0.0/24 to any dst-port 25 keep-state
00220 allow ip from 192.168.0.0/24 to any dst-port 110 keep-state
00230 allow ip from 192.168.0.0/24 to any dst-port 3128 keep-state
00240 allow ip from 192.168.0.0/24 to any dst-port 80 keep-state
00250 allow ip from 192.168.0.0/24 to any dst-port 53 keep-state
00260 allow tcp from 192.168.0.0/24 to any dst-port 443 keep-state
65000 deny log logamount 10 ip from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Transparent Squid + ipfw + keep-state"
Сообщение от Админ НАСА on 20-Ноя-06, 12:47
>Не работает принудительное проксирование при таких правилах: >................... >00001 check-state >00080 allow udp from 192.168.0.0/24 to any dst-port 53 >00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 > >00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 >00110 divert 8668 ip from any to me in recv tun0 >00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 >00215 allow ip from 192.168.0.0/24 to any dst-port 25,110,53,5190 keep-state >...................... >tun0 -внешний интерфейс >xl0 - внутренний интерфейс > >Но при таких правилах прозрачное проксирование работает: >........................... >00080 allow udp from 192.168.0.0/24 to any dst-port 53 >00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 > >00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 >00110 divert 8668 ip from any to me in recv tun0 >00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 >00215 allow ip from any to any >........................... > >Что мне делать с keep-state???? 00001 check-state - это у тебя keep-state ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Transparent Squid + ipfw + keep-state"
	Сообщение от Tuxper (??) on 20-Ноя-06, 13:48
	>>Не работает принудительное проксирование при таких правилах: >>................... >>00001 check-state >>00080 allow udp from 192.168.0.0/24 to any dst-port 53 >>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 >> >>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 >>00110 divert 8668 ip from any to me in recv tun0 >>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 >>00215 allow ip from 192.168.0.0/24 to any dst-port 25,110,53,5190 keep-state >>...................... >>tun0 -внешний интерфейс >>xl0 - внутренний интерфейс >> >>Но при таких правилах прозрачное проксирование работает: >>........................... >>00080 allow udp from 192.168.0.0/24 to any dst-port 53 >>00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 >> >>00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 >>00110 divert 8668 ip from any to me in recv tun0 >>00210 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 >>00215 allow ip from any to any >>........................... >> >>Что мне делать с keep-state???? >00001 check-state - это у тебя keep-state ? Это проверка на установленные соединения... или я ошибаюсь?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Transparent Squid + ipfw + keep-state"
	Сообщение от Админ НАСА on 20-Ноя-06, 16:43
	Нет ) keep-state только исходящий трафик chek-state это вроде директивы описывающей keep-state работает вот так: --- chek-state allow all from any to any out via ppp0 keep-state --- Вот вроде так :) А у тебя вот и получаеться 00001 check-state описал что и куда непонятно и что то в куске твоего конфига я вовсе не увидел keep-state используються эти правила если нужно использовать различные сервисы, типа ftp mail, icq, которые для соединения используют случайно выбранные из некоторого списка порты, диапазон которых в общем случае неизвестен. В такой ситуации ничего лучше чем allow ip from me to any out keep-state не придумаешь :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Transparent Squid + ipfw + keep-state"
	Сообщение от Tuxper (??) on 21-Ноя-06, 06:47
	>Нет ) >keep-state только исходящий трафик >chek-state это вроде директивы описывающей keep-state работает вот так: >--- >chek-state >allow all from any to any out via ppp0 keep-state >--- >Вот вроде так :) > >А у тебя вот и получаеться >00001 check-state описал что и куда непонятно >и что то в куске твоего конфига я вовсе не увидел keep-state > >используються эти правила если нужно использовать различные сервисы, типа ftp mail, icq, >которые для соединения используют случайно выбранные из некоторого списка порты, диапазон >которых в общем случае неизвестен. В такой ситуации ничего лучше чем >allow ip from me to any out keep-state не придумаешь :) > Я запутался немного но сделал так и теперь счастлив: 00090 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via tun0 00095 check-state 00100 divert 8668 ip from 192.168.0.0/24 to any out xmit tun0 00110 divert 8668 ip from any to me in recv tun0 00190 allow ip from 192.168.0.0/24 to 192.168.0.0/24 via xl0 00195 allow ip from me to any dst-port 53 keep-state 00196 allow ip from me to any dst-port 80 keep-state 00197 allow tcp from me to any dst-port 443 keep-state 00200 allow ip from 192.168.0.0/24 to any dst-port 5190 keep-state 00210 allow ip from 192.168.0.0/24 to any dst-port 25 keep-state 00220 allow ip from 192.168.0.0/24 to any dst-port 110 keep-state 00230 allow ip from 192.168.0.0/24 to any dst-port 3128 keep-state 00240 allow ip from 192.168.0.0/24 to any dst-port 80 keep-state 00250 allow ip from 192.168.0.0/24 to any dst-port 53 keep-state 00260 allow tcp from 192.168.0.0/24 to any dst-port 443 keep-state 65000 deny log logamount 10 ip from any to any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]