The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Прозрачный Squid по средствам IPFW "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 25-Фев-06, 13:02 
Хочу сделать прозрачное проксирование для ВПН-клиентов выходящих в и-нет через билинг. Все сделал, но при запросе сиранички из и-нета сам скуид ругаеться что мол "Аксес Динайн". А на  "локальный ВВВ сервер"(где стоит АПАЧ) доступ идет прекрасно. В чем может быть грабля?

Система: Фрии 4.9
Билинг: ФРИИНИБС(ВПН-клиенты через МПД-сервер)

правила IPFW:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для моего АПАЧА на котором крутиться статистика билинга и форум
add 2 fwd 127.0.0.1,3128 tcp from any to any 80  # НЕ для моего АПАЧА но через МОЙ СКУИД!

add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any

10.1.4.1/24  - сеть с ВПН клинтами.
dc0  -  внешний интерфейс к и-нету
192.168.0.100   -  адрес сервера в локальной сети

ВОТ ЧТО В ЛОГАХ СКУИДА:
1140391322.513      4 10.10.6.67 TCP_DENIED/403 1411 GET https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi? - NONE/- text/html
1140391322.517     11 10.1.4.2 TCP_MISS/403 1443 GET https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi? - DIRECT/82.137.161.90 text/html


10.1.4.2   -   адрес ВПН клиента.
10.10.6.67   -   адрес на карточке dc0 ( та что смотрит в и-нет).

КОНФИГ СКУИДА:
           http_port 3128
           icp_port 0
           acl QUERY urlpath_regex cgi-bin/?
           no_cache deny QUERY
           cache_mem 56 MB
           logfile_rotate 10
           ftp_user anonymous@
           ftp_list_width 32
           ftp_passive on
           ftp_sanitycheck on
      
           acl all src 0.0.0.0/0.0.0.0
           acl manager proto cache_object
           acl localhost src 127.0.0.1/255.255.255.255
           acl SSL_ports port 443 563
           acl SMTP port 25
           acl Safe_ports port 80
           acl Safe_ports port 21
           acl Safe_ports port 443 563
           acl Safe_ports port 777
           acl CONNECT method CONNECT
      
           http_access allow all
      
          
           httpd_accel_host virtual
           httpd_accel_port 80
           httpd_accel_with_proxy on
           httpd_accel_uses_host_header on

============================================================
=====================================================================
================================================================
Спустя некоторое время обсуждений тут : https://www.opennet.ru/openforum/vsluhforumID1/64272.html

Вобщем так:
Сам сквид поставился и работает нормально(проверенно несколькими сквидами).
Правила IPFW такие:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80
add 2 fwd 10.1.4.1,3128 tcp from any to any 80
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any

Настройки Сквида:  
http_port 3128
           icp_port 0
           acl QUERY urlpath_regex cgi-bin/?
           no_cache deny QUERY
           cache_mem 32 MB
           logfile_rotate 10
           ftp_user anonymous@
           ftp_list_width 32
           ftp_passive on
           ftp_sanitycheck on

           acl server src 192.168.0.100/255.255.255.255
           acl clients src 10.1.4.0/255.255.255.0
           acl all src 0.0.0.0/0.0.0.0
           acl manager proto cache_object
           acl localhost src 127.0.0.1/255.255.255.255
           acl SSL_ports port 443 563
           acl SMTP port 25
           acl Safe_ports port 80
           acl Safe_ports port 21
           acl Safe_ports port 443 563
           acl Safe_ports port 777
           acl CONNECT method CONNECT
          
           http_access allow server
           http_access allow clients

           http_access deny !Safe_ports
           http_access deny SMTP
           http_access deny all
           icp_access deny all
                    
           httpd_accel_host virtual
           httpd_accel_port 80
           httpd_accel_with_proxy on
           httpd_accel_uses_host_header on
Если работать с такими правилами и настройками, то в браузере видно только "Аксес Динайн". Это очень плохо. Если же отключить правило в IPFW
"add 2 fwd 10.1.4.1,3128 tcp from any to any 80", то хттп запросы начинаю замечательно НАТиться и в браузере идет страница из и-нета, НО МИМО СКВИДА! это тоже не хорошо.
Если же выключить ВПН соединение и оставить одну только сеть, прописать в браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном же правиле форварда, опять таже картина - "Аксесс Динайн")


Вот что в ЛОГ файле Сквида при попытке зайти на страницу(включено правило в фаере):
1140707023.737    835 10.1.4.2 TCP_NEGATIVE_HIT/403 1453 GET https://www.opennet.ru/openforum/vsluhforumID1/63498.html - NONE/- text/html
1140707038.287      5 10.10.6.67 TCP_DENIED/403 1365 GET http://btg.btgrab.com/a/Drk.syn? - NONE/- text/html
1140707038.292    248 10.1.4.2 TCP_MISS/403 1392 GET http://btg.btgrab.com/a/Drk.syn? - DIRECT/204.16.123.10 text/html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Прозрачный Squid по средствам IPFW "  
Сообщение от binladin email on 25-Фев-06, 16:02 
>НО МИМО СКВИДА! это тоже не хорошо.
>Если же выключить ВПН соединение и оставить одну только сеть, прописать в
>браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и
>добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает
>работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном
>же правиле форварда, опять таже картина - "Аксесс Динайн")

Сорри с 4.9 неработал, но на 5.3(и далее) прозрачное прокси без IP_FORWARDING_EXTENDED в ядре не работает (а IP_FORWARDING включен ?) -кусок ядра покажи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 26-Фев-06, 18:40 

>Сорри с 4.9 неработал, но на 5.3(и далее) прозрачное прокси без IP_FORWARDING_EXTENDED
>в ядре не работает (а IP_FORWARDING включен ?) -кусок ядра покажи.
>


options     IPFIREWALL        #firewall
options     IPFIREWALL_VERBOSE    #enable logging to syslogd(8)
options     IPFIREWALL_FORWARD    #enable transparent proxy support
options     IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
options     IPDIVERT        #divert socket

Я когда-то вроде бы пытался ядро оформить с этой  IP_FORWARDING_EXTENDED но оно никак не компелировалось - выдавало ошибку(не распознавало параметр)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Прозрачный Squid по средствам IPFW "  
Сообщение от binladin email on 28-Фев-06, 11:42 
       У меня почти те же задачи: ipfw+mpd+squid (только на 5.4 (вернее уже 6.1 бэта))- mpd - слушает pptp из инета - при необходимости подключится к сети из инета и слушает модем (из дома хожу в инет через сквид (правда не прозрачно - явно прописано - но попробую прозрачно) - буду на работе - покажу свои настройки.
       В ipfw правилах - это все что есть ? или избраный кусок ? mpd на каких адресах слушает ?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Прозрачный Squid по средствам IPFW "  
Сообщение от binladin email on 28-Фев-06, 16:41 
Отвлеченный вопрос - freenibs в чистую используешь ? или в составе другого пакета (mabill или иной) ?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Прозрачный Squid по средствам IPFW "  
Сообщение от Аноним on 28-Фев-06, 14:50 
не рассказывай людям сказки, IP_FORWARDING_EXTENDED появилось только в 5.4, да и нет такой проблемы вообще
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Прозрачный Squid по средствам IPFW "  
Сообщение от binladin email on 28-Фев-06, 15:24 
>не рассказывай людям сказки, IP_FORWARDING_EXTENDED появилось только в 5.4, да и нет
>такой проблемы вообще
Сказок никто не расказывает. Читай внимательно мое первое. И не в 5.4 а в 5.3 уже был доступен патч. Если есть желание помочь - помогай, нет - молчи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Прозрачный Squid по средствам IPFW "  
Сообщение от Аноним on 28-Фев-06, 16:53 
10.10.6.67 TCP_DENIED

а тебя на настораживает, что 10.10.6.67 у тебя в clients нету ? именно за этот адрес ты клиентов маскируешь. кто бы говорил про невнимательность...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 28-Фев-06, 17:09 
>10.10.6.67 TCP_DENIED
>
>а тебя на настораживает, что 10.10.6.67 у тебя в clients нету ?
>именно за этот адрес ты клиентов маскируешь. кто бы говорил про
>невнимательность...


Не надо сориться... шас я попробую и скажу...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 28-Фев-06, 16:58 
То что есть в Фаере  это все, больше нет ничего. Ну оно пока и не актуально... азы не получаються, что же там дальше писать...
ФрииНИБС использую в чистую...   +  ВЕБ-интерфейс "от Андрея"...

МПД пропатченый 3.18 и слушает на порту:
set pptp self 192.168.0.100  ( адрес сервера на локальной сети)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 28-Фев-06, 17:46 

Добавил в настройку Сквида разрешение  для 10,10,6,67( внешний интерфейс) --  диагноз тот же самый.


Вот что опять в логах Сквида...
1141137877.640      5 10.10.6.67 TCP_DENIED/403 1369 GET http://nibs.net.ua/forum/list.php? - NONE/- text/html
1141137877.645    111 10.1.4.3 TCP_MISS/403 1401 GET http://nibs.net.ua/forum/list.php? - DIRECT/212.42

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "Прозрачный Squid по средствам IPFW "  
Сообщение от Аноним on 28-Фев-06, 18:16 
>
>Добавил в настройку Сквида разрешение  для 10,10,6,67( внешний интерфейс) --  
>диагноз тот же самый.
>
>
>Вот что опять в логах Сквида...
>1141137877.640      5 10.10.6.67 TCP_DENIED/403 1369 GET http://nibs.net.ua/forum/list.php?
>- NONE/- text/html
>1141137877.645    111 10.1.4.3 TCP_MISS/403 1401 GET http://nibs.net.ua/forum/list.php? - DIRECT/212.42
>

неверно значит добавил

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Прозрачный Squid по средствам IPFW "  
Сообщение от Аноним on 28-Фев-06, 18:30 
10.1.4.1/24 - тоже интересный ляп, это как ?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Прозрачный Squid по средствам IPFW "  
Сообщение от Scorpiy email(??) on 01-Мрт-06, 08:36 
>10.1.4.1/24 - тоже интересный ляп, это как ?

Ну это тоже самое что и 10.1.4.10/24   или   >10.1.4.255/24.  Оно же тут последнюю цифру не в учет берет...    это имелось в виду 10.1.4.0/24

СКАЖИТЕ? у кого-то работает прозрачный Сквид под Фрии 4.9????      Если ДА, то лучше попробовать все сделать с нуля, что бы не было столько запарок....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Прозрачный Squid по средствам IPFW "  
Сообщение от Аноним on 01-Мрт-06, 13:01 
>>10.1.4.1/24 - тоже интересный ляп, это как ?
>
>Ну это тоже самое что и 10.1.4.10/24   или   >10.1.4.255/24.  Оно же тут последнюю цифру не в учет берет...    это имелось в виду 10.1.4.0/24
>
>СКАЖИТЕ? у кого-то работает прозрачный Сквид под Фрии 4.9????    
>  Если ДА, то лучше попробовать все сделать с нуля,
>что бы не было столько запарок....

да работает все, и на 3-ке работало и сейчас на зоопарке 4.x-STABLE, 5.x-STABLE, 6.0-STABLE тоже работает. Инструкция везде использовалалсь одна и таже:
http://www.squid-cache.org/Doc/FAQ/FAQ-17.html#ss17.7
http://neva.vlink.ru/~dsh/squid.html

Ну не можешь ты с natd разобраться - ipnat попробуй для маскировки сетки, оно вроде понаглядней и попроще для понимания.
https://www.opennet.ru/base/net/ipnat_freebsd.txt.html
Если не выйдет - дай денег спецу, который это сделает за тебя. Другого выхода я не вижу. Удачи!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Прозрачный Squid по средствам IPFW "  
Сообщение от morok on 23-Мрт-06, 05:33 
>правила IPFW:
>add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для
>моего АПАЧА на котором крутиться статистика билинга и форум

Столкнулся с аналогичной проблемой, решилось добавлением интерфейса...
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 in via ed0
                                                        ^^^^^^^^^^

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру