[FREEBSD 6.2] Поднять прозрачную прокси на бридже

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Yukka
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-06 9:23:48

[FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Yukka » 2007-09-06 9:38:13

Запостил на наг и на сисадмин, но там только просмотры и ни одного ответа...

Появился новый провайдер, и тут появилась она -

Задача - не изменяя топологии сети пустить http через другого провайдера.


Установил FreeBSD 6.2, Сквид, 2 сетевухи в режиме бриджа, 3я сетевуха смотрит в тарелку провайдера...
И вот тут затык.

Все работает прекрасно, за исключением одной мелочи - не получается сделать прозрачную прокси.
Где-то краем уха слыхал, что в режиме бриджа ipfw fwd не работает, но подтверждений этому не нашел.
Если вдруг кто-то захочет помочь - милости прошу :-)

ifconfig

Код: Выделить всё

vr0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=40<POLLING>
ether 00:13:46:ec:55:7a
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=48<VLAN_MTU,POLLING>
inet XXX.XXX.XXX.70 netmask 0xfffffffc broadcast BB.BB.BB.BB
ether 00:c0:26:a7:47:d2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
options=40<POLLING>
inet 192.168.4.101 netmask 0xffffff00 broadcast 192.168.4.255
ether 00:0c:6e:ca:ae:4e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
ether 6a:2c:c8:80:81:1c
priority 32768 hellotime 2 fwddelay 15 maxage 20
member: vr1 flags=3<LEARNING,DISCOVER>
member: vr0 flags=3<LEARNING,DISCOVER>
cat /etc/sysctl.conf

Код: Выделить всё

net.link.ether.bridge.enable=1
net.link.ether.bridge.config=vr0,vr1
net.link.ether.bridge.ipfw=1
net.link.bridge.pfil_member=1
net.link.bridge.pfil_bridge=0
cat /etc/rc.conf

Код: Выделить всё

blanktime="3600"
#tcp_drop_synfin="YES"
#icmp_drop_redirect="YES"
#named_enable="YES"
#named_flags="-u bind -t /etc/namedb -c /etc/namedb/named.conf"
sshd_enable="YES"
firewall_enable="YES"
#ipnat_enable="YES"
#ipnat_rules="/usr/local/etc/ipnat.rules"
#---------
squid_enable="YES"
# squid_chdir="/var/log/squid"
#-------
sendmail_enable="NONE"
gateway_enable="YES"
static_routes="GwPROXY"
route_GwPROXY="-net 0.0.0.0 -netmask 0.0.0.0 -gateway XXX.XXX.XXX.69"
cloned_interfaces="bridge0"
ifconfig_bridge0="addm vr0 addm vr1 up"
ifconfig_vr0="up"
hostname="ROUTER"
ifconfig_rl0="inet XXX.XXX.XXX.70 netmask 255.255.255.252"
ifconfig_vr1="inet 192.168.4.101 netmask 255.255.255.0"
keymap="ru.koi8-r"
#router="/sbin/routed"
#router_enable="YES"
#router_flags="-q"
usbd_enable="NO"
ipfw show

Код: Выделить всё

00001 11 554 count ip from any to any via rl0 in
00001 11 512 count ip from any to any via rl0 out
00010 0 0 deny ip from any to me dst-port 22 via vr0
00010 0 0 deny ip from any to me dst-port 22 via rl0
01000 11130 1681574 fwd 192.168.4.101,3128 tcp from table(1) to not table(2) dst-port 80 in via vr1
30000 69863 33464736 allow ip from any to any
65535 0 0 deny ip from any to any

Если проксю задавать в бровзерах явно, то все работает, а прозрачно - все ходит через бридж в даль, в access.log живут партизаны, а в 1000 правиле исправно добавляются байтики

В принципе можно жить и так, но очень хотелось бы проксю сделать прозрачной... Даже так - НАДО сделать проксю прозрачной...

ЗЫ: table(1) - все компы с моей стороны сегмента сети, table(2) - сервера, находящиеся со стороны основного провайдера.
Последний раз редактировалось Alex Keda 2007-09-06 9:42:34, всего редактировалось 2 раза.
Причина: Товарищщи, цените чужое время - юзайте кнопочку [code]...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Alex Keda » 2007-09-06 9:44:48

не. если пакетики форывардятся на сквид, то скувид их долже принять и обработать, или не принять.
в первом случае будет то что ты хочешь, во вотором - инета у тебя не будет.
чё-то несходится. ты ; гришь что он есть в любом случае...
Убей их всех! Бог потом рассортирует...

Yukka
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-06 9:23:48

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Yukka » 2007-09-06 9:50:50

lissyara писал(а):не. если пакетики форывардятся на сквид, то скувид их долже принять и обработать, или не принять.
в первом случае будет то что ты хочешь, во вотором - инета у тебя не будет.
чё-то несходится. ты ; гришь что он есть в любом случае...
Вот именно что что-то не сходится. У меня такое чуйство, что пакеты просто не форвардятся, а тихонечко летят дальше по трубе, а байтики в правиле просто увеличиваются.

Много читал, много думал... Ничего не придумал. Чем еще можно завернуть хттп траффик на сквид? Кроме ipfw?

Yukka
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-06 9:23:48

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Yukka » 2007-09-13 11:21:31

В конце концов сделал на дэбиане+iptables/ebtables

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Alex Keda » 2007-09-13 12:15:46

однако, надо разбираться, а не кидаться из стороны в сторону и разводить зоопарк :)
Убей их всех! Бог потом рассортирует...

Andy
ст. лейтенант
Сообщения: 1117
Зарегистрирован: 2007-03-04 7:48:58
Откуда: Mytischi

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Andy » 2007-09-18 18:56:42

Yukka писал(а):В конце концов сделал на дэбиане+iptables/ebtables
Покажи реализацию на Linux'е, пожалуйста. Что есть etables?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104

Аватара пользователя
idle
мл. сержант
Сообщения: 80
Зарегистрирован: 2007-02-28 12:21:52
Откуда: Барселона
Контактная информация:

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение idle » 2007-09-19 9:53:47

У меня отлично работает на 6.[1-2] bridge+pf+squid.

Corwin
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-15 16:53:24

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение Corwin » 2008-03-18 21:46:09

idle писал(а):У меня отлично работает на 6.[1-2] bridge+pf+squid.
Можешь поделиться опытом? Гугление показало, что проблема существует, а чёткого ответа на этот вопрос нет :-)

Аватара пользователя
idle
мл. сержант
Сообщения: 80
Зарегистрирован: 2007-02-28 12:21:52
Откуда: Барселона
Контактная информация:

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение idle » 2008-03-20 9:50:03

Corwin писал(а):
idle писал(а):У меня отлично работает на 6.[1-2] bridge+pf+squid.
Можешь поделиться опытом?
Делал всё по докам, конфиги практически дефолтные.
Гугление показало, что проблема существует
Покажите ссылку. Я два года назад, мучимый этим вопросом задавал вопрос в гугле(в рассылке freebsd.pf), никто ничего не ответил.
а чёткого ответа на этот вопрос нет :-)
В чём вопрос-то?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: [FREEBSD 6.2] Поднять прозрачную прокси на бридже

Непрочитанное сообщение hizel » 2008-03-20 10:03:37

в ipfw вы вкурсе man-а?
(yes, at the moment there is no way to differentiate between ether_demux
and bdg_forward).
сия строчка должна навести вас на мысли и там картинка повыше
мыслю в правило форварда параметр mac нада внести
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.