Пытаюсь запустить squid в режиме прозрачного прокси. Все остальные прелести пока оставил на потом.
В дальнейшем планируется невидимым жестом завернуть некоторых особо активных пользователей с asa 5505 на прокси, но пока нужно хотя бы яндекс увидеть, но вместо яндекса выдается ошибка.
The requested URL could not be retrieved
Access Denied.
Что имеем:
OS
Код: Выделить всё
uname -a
FreeBSD mail.domain.ru 6.0-RELEASE-p18 FreeBSD 6.0-RELEASE-p18 #0: Fri Jan 11 10:28:16 MSK 2008 root@mail.domain.ru:/usr/obj/usr/src/sys/somedir i386
SQUID
Код: Выделить всё
squid -v
Squid Cache: Version 3.0.STABLE7
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-storeio=ufs diskd null' '--enable-kqueue' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd6.0' 'build_alias=i386-portbld-freebsd6.0' 'host_alias=i386-portbld-freebsd6.0' 'target_alias=i386-portbld-freebsd6.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -march=pentium4'
IPFW
Код: Выделить всё
ipfw list
....
....
00026 fwd 10.45.45.10,3128 tcp from 10.45.45.0/24 to any dst-port 80
....
В access.log падает следующее:
Код: Выделить всё
1289982532.284 51 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289982532.701 0 10.45.45.120 TCP_DENIED/403 2235 GET http://ya.ru/favicon.ico - NONE/- text/html
1289982535.704 0 10.45.45.120 TCP_DENIED/403 2267 GET http://ya.ru/favicon.ico - NONE/- text/html
1289983272.207 0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
1289983275.531 0 10.45.45.120 TCP_DENIED/403 2234 GET http://ya.ru/ - NONE/- text/html
squid.conf
Код: Выделить всё
# cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^#
http_port 10.45.45.10:3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /usr/local/squid/logs/access.log squid
logfile_rotate 12
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
cache_dir ufs /usr/local/squid/cache 500 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.45.45.0/24 # RFC1918 possible internal network
acl allowblacklist src 10.45.45.1 10.45.45.185 10.45.45.215
acl SSL_ports port 443
acl SSL_ports port 9443 # FILIALES.PAYMENT.RU
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 80 # http
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 443 # https
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 1025-65535 # unregistered ports
acl CONNECT method CONNECT
http_access allow allowblacklist
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
icp_port 3130
coredump_dir /usr/local/squid/cache
Подскажите пожалуйста, где я был не прав?