В процессе настройки шлюза в интернет для фирмы решил установить шлюз. Так же решил в прозрачном режиме поставить squid с ipfw.
Значит вводные такие:
Роутер: FX-8350 + 16GB RAM + 2*1TB в зеркале ZFS + FreeBSD 11 amd64.
Сеть в 100 ПК с ориентиром на рост до 200 ПК.
Интернет канал: 100 Мбит
Так вот при настройке Squid'а указал в добавок к базовой конфигурации опцию workers 4:
Код: Выделить всё
visible_hostname squid.local
# SMP Related settings
workers 4
cache_mem 1024 MB
# Our vlan's
acl vlan10 src 192.168.1.0/24
acl vlan20 src 192.168.2.0/24
acl vlan30 src 192.168.3.0/24
acl vlan40 src 192.168.4.0/24
acl vlan50 src 192.168.5.0/24
acl vlan60 src 192.168.6.0/24
# All internal subnets together
acl intLan src 192.168.1.0/24
acl intLan src 192.168.2.0/24
acl intLan src 192.168.3.0/24
acl intLan src 192.168.4.0/24
acl intLan src 192.168.5.0/24
acl intLan src 192.168.6.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny to_localhost
http_access allow intLan
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
# Squid normally listens to port 3128
http_port 127.0.0.1:3128 intercept
# Uncomment and adjust the following to add a disk cache directory.
cache_dir aufs /var/squid/cache 4096 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/dumps
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
dns_v4_first on
shutdown_lifetime 1 seconds
netstat -an | grep LISTEN не показывает будто на порту 3128 что-то висит:
Код: Выделить всё
tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
Код: Выделить всё
23010 - Is 0:00,02 /usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf
23012 - S 0:00,15 (squid-coord-5) -f /usr/local/etc/squid/squid.conf (squid)
23018 - I 0:00,03 (logfile-daemon) /var/log/squid/access.log (log_file_daemon)
Код: Выделить всё
tcp4 0 0 127.0.0.1.3128 *.* LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
Код: Выделить всё
23172 - Is 0:00,00 /usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf
23174 - S 0:00,05 (squid-1) -f /usr/local/etc/squid/squid.conf (squid)
23176 - I 0:00,01 (logfile-daemon) /var/log/squid/access.log (log_file_daemon)
Пользователи через роутер пока не идут, поэтому я пока не могу сказать работает squid или нет, роутер только готовлю. Но как я понимаю, если на указанном порту нет слушающего сокета, то форвардинг через ipfw на squid в любом случае не будет работать.
Также сразу скажу что при указании непрозрачного режима http_port 3128 или http_port 127.0.0.1:3128 тоже ситуацию не меняют.
Отправлено спустя 2 часа 51 минуту 30 секунд:
Ещё сразу вопрос такой:
Адекватны ли параметры роутера (проц, память, канал, кол-во пользователей)?
Функции подразумеваются такие:
- ipfw nat
- Прозрачный squid (для 80,443) с резкой банеров.
- DNS unbound как dns резолвер для клиентов.
- Почта postfix