FreeBSD 7.0 IPFW SQUID

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-08-25 12:40:13

sofinan Справился?
У меня таже проблема. Сквид 3.0-RELEASE, Правда фря 6.3. (не 7.0) И fwd в фаере прописан и http_port 3128 transparent в конфе сквида - НЕ РАБОТАЕТ, ХОТЬ УПЕЙСЯ. Обрезает все до слеша и точка. В логах сквида = .... 10.3.1.22 NONE/400 1857 GET / - NONE/- text/html. В ИЕ http://www.ya.ru. Я так понял, что fwd заворачивает пакеты, сквид их видит,но где-то кто-то все обрезает или не "доносит". Как справиться с этой проблемой? Сейчас все ходят через принудиловку в настройках ИЕ. Но сделать нужно для "умных", которые напрмер через оперу обойти захотят.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Covax » 2008-08-25 12:43:53

А squid собран с поддержкой pf/ipfw?

В своё время на 3.0 у меня пошло так:

Код: Выделить всё

http_port 3128 transparent accel vhost
или что-то около этого, точно не помню.
Последний раз редактировалось Covax 2008-08-25 12:49:18, всего редактировалось 1 раз.

AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-08-25 12:48:46

Covax
да. Я собирал и только с ipfw transparent и с поддержкой всех тре фаеров (ipfw, ipf, ipfilter). Результат один.

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Covax » 2008-08-25 12:50:10

Попробуй как я выше написал.

И самое интересное, что даже в доках и на сайте squid про 3 практически ничего нет. Сиди, догадывайся.

AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-08-25 13:01:51

Covax, низкий поклон. Заработала!!!!! А ведь я уже мес 3-4 гоняю и гугл и по форумам. Вот такая вот мааааленькая штука, а столько мучала. Чесно скажу - сам бы не догадался.
Удачи.

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-05 7:27:47

Емае Ребята вроде фаер победил..,))Сквид теперь тоже работает норм....ТОка вот никуда не пускат..))))Говорит access denied,....(((ХМ странно а в конфах сквида....В логах пишет TCP_DENIED и TCP_MISS че за хрень???
Кто тут?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение zingel » 2008-09-05 14:07:39

Код: Выделить всё

6.7 Squid result codes

TCP_DENIED

Access was denied for this request.
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-09 5:47:46

...Блин это то понятно, а че вызвана такая ерунда???Это настроки Файкра или все таки сквид
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-12 10:24:59

Вообщем все теперь работает, но только когда последнее правило Allow all from any to any. А если поставить DEny получается что никто не попадает в правило Fwd то squid и инет не пашет...Т.е. Никого никуда не пускает....(((((Что за фигня мигня кто может помочь...(((
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-12 10:32:33

Код: Выделить всё

#!/bin/sh
fw="/sbin/ipfw -q"           

iif="vr0"                  # network interface
nif="rl0"                  # internet interface

intranet="192.168.0.0"     # my network
netmask="24"               # my network mask 
ip_iif="192.168.0.2"       # ip_network_interface                        

${fw} -f flush

${fw} add allow all from any to any via lo0

${fw} add deny all from any to 127.0.0.0/8
${fw} add deny all from 127.0.0.0/8 to any

${fw} add deny all from ${intranet}/${netmask} to any in via ${iif} 
${fw} add deny all from 85.28.26.0/30 to any in via ${nif}


# deny private LAN
${fw} add deny ip from any to 10.0.0.00/8 in via ${iif}
${fw} add deny ip from any to 172.16.0.0/12 in via ${iif}
${fw} add deny ip from any to 192.168.0.0/16 in via ${iif}
${fw} add deny ip from any to 0.0.0.0/8 in via ${iif}
# deny autoconfig LAN
${fw} add deny ip from any to 169.254.0.0/16 in via ${iif}
# deny multicast message
${fw} add deny ip from any to 224.0.0.0/4 in via ${iif}
# deny multicast maessage
${fw} add deny ip from any to 240.0.0.0/4 in via ${iif}
# deny fragment icmp
${fw} add deny icmp from any to any frag
# deny broadcast
${fw} add deny log icmp from any to 255.255.255.255 in via ${iif}
${fw} add deny log icmp from any to 255.255.255.255 out via ${iif}


#deny Windows Service
${fw} add deny tcp from any to any 137 in via ${iif}
${fw} add deny tcp from any to any 138 in via ${iif}
${fw} add deny tcp from any to any 139 in via ${iif}
${fw} add deny tcp from any to any 81  in via ${iif}

#to squid
${fw} add fwd 127.0.0.1,3128 tcp from ${intranet}/${netmask} to any 80,443 via ${iif}

# NAT
${fw} add divert natd all from any to any via ${iif}


# deny private LAN
${fw} add deny ip from 10.0.0.0/8 to any out via ${iif}
${fw} add deny ip from 172.16.0.0/12 to any out via ${iif}
${fw} add deny ip from 192.168.0.0/16 to any out via ${iif}
${fw} add deny ip from 0.0.0.0/8 to any out via ${iif}
# deny autoconfig LAN
${fw} add deny ip from 169.254.0.0/16 to any out via ${iif}
# deny multicast message
${fw} add deny ip from 224.0.0.0/4 to any out via ${iif}
# deny multicast message
${fw} add deny ip from 240.0.0.0/4 to any out via ${iif}

# deny Windows Service
${fw} add deny tcp from any to any 137 out via ${iif}
${fw} add deny tcp from any to any 138 out via ${iif}
${fw} add deny tcp from any to any 139 out via ${iif}
${fw} add deny tcp from any to any 81  out via ${iif}

# some types of icmp packets
${fw} add allow icmp from any to any icmptypes 0,8,11

# allow network traffic on network interface (come in)
${fw} add allow ip from any to ${intranet}/${netmask} in via ${nif}
# allow network traffic on network interface (come out)
${fw} add allow ip from ${intranet}/${netmask} to any out via ${nif}

#allow tcp connect on installed connections 
${fw} add allow tcp from any to any established

# DNS  
${fw} add allow udp from any to 85.28.24.4/30 53 in via ${iif}
${fw} add allow udp from 85.28.24.4/30 53 to any out via ${iif}

${fw} add allow udp from any to 85.28.25.2/30 53 in via ${iif}
${fw} add allow udp from 85.28.25.2/30 53 to any out via ${iif}

# UDP (time sync - 123 port)
${fw} add allow udp from any to any 123 via ${iif}

# allow connect to port number 53 from outside (TCP DNS)
${fw} add allow tcp from any to 85.28.26.0/30 53 in via ${iif} setup
# allow www if you have apache server
${fw} add allow tcp from any to 85.28.26.0/30 80 in via ${iif} setup
# allow 20,21 for active ftp
${fw} add allow tcp from any to 85.28.26.0/30 20,21 in via ${iif} setup
# EMAIL
${fw} add allow tcp from any to 85.28.26.0/30 25 in via ${iif} setup
# SSH
${fw} add allow tcp from any to 85.28.26.0/30 22 in via ${iif} setup
# open from outside 20,21 port - for active FTP
${fw} add allow tcp from any to 85.28.26.0/30 20,21 in via ${iif} setup
# passive FTP
${fw} add allow tcp from any to 85.28.26.0/30 49152-65535 via ${iif}


# deny all and add to logs
${fw} add deny log tcp from any to 85.28.26.78 in via ${iif} setup

${fw} add allow tcp from 85.28.26.78 to any out via ${iif} setup
${fw} add allow tcp from any to 85.28.26.78 in via ${nif} setup

########### BEGIN USERS   ###############################

# (ICQ)
${fw} add allow tcp from ${intranet}/${netmask} to any 5190 in via ${nif} setup

# Пользователи которым разрешён инет
${fw} add allow tcp from 192.168.0.1 to not ${intranet}/${netmask} in via ${nif} setup
${fw} add allow tcp from 192.168.0.2 to not ${intranet}/${netmask} in via ${nif} setup
${fw} add allow tcp from 192.168.0.3 to any in via ${nif} setup
${fw} add allow tcp from 192.168.0.49 to not ${intranet}/${netmask} in via ${nif} setup

############# END USERS #################################
${fw} add allow ip from any to any
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-12 10:33:02

Код: Выделить всё

http_port 127.0.0.1:3128 transparent
cache_mem 100 MB
maximum_object_size 16384 KB
dns_nameservers 85.28.24.4
visible_hostname GATE.OOMIISERVER.RU
cache_dir ufs /var/squid/cache 100 16 256
cache_swap_high 95
cache_swap_low 80
cache_mgr sofinan@rambler.ru


cache_access_log /var/squid/logs/acess.log
cache_store_log /var/squid/logs/store.log

acl localnet src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl admin src 192.168.0.3
acl klimatolog src 192.168.0.8
acl all src 0.0.0.0/0.0.0.0

http_access allow admin
http_access allow klimatolog
http_access deny localnet
http_access deny all
Кто тут?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение manefesto » 2008-09-12 10:53:36

пили файрвол
я такой яростный шо аж пиздеЦ
Изображение

AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-09-12 11:01:40

А счетчик в fwd правиле увеличивается? Если увеличиваются, то добавь правило
ipfw add pass tcp from any 80,8080,3128 to ${lan} out via ${lif}. lan - твоя сеть, lif - внутренний интерфейс. Не понял смысла работы прозрачного сквида, но при прозрачном ответ приходит прям на комп пользователя минуя сквид. Если у юзера ИЕ настроен на работу через прокси, то ответ ему приходит от прокси (как и должно быть). Хотя сквид регистрирует запросы от пользователей у которых прокси не настроен и тоже все работает. А вообще поставь в конце Deny log all from any to any и разбирай логи.

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-12 14:04:29

Дак в том то и дело что не увеличивается.....(((!!!
Кто тут?

AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-09-12 15:43:49

Да, кстати, у меня тоже не шло, пока я не разрулил на вход и исход правила. Так вот fwd работает на выходе. Значит 1 правило пропускаешь ЛАН по 80 порту на внутреннем интерфейсе, а 2 на выходе заворачиваешь на сквид. А зачем ты 443 порт заворачиваешь?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-15 7:15:48

Ну я корчое прочитал что его тож надо заворачивать...)))Не надо так делать?!Тут короче ещё одна фигня обнаружилась....В конфиге сквид прописаны списки доступа по айпишникам...Кто то из этого списка нормальео ходит в инет а кого то не пускает.....(((Есть подозрение что не пускает тех кто в домене Win 2003это реально или нет?
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-15 7:18:52

Поставил перед fwd правило allow from any to any via внутренний интерфес...Счетчик fwd начал увеличиваться, но инет не пашет...((((Всех последнее правило deny загибает(((
Кто тут?

AlexPap
рядовой
Сообщения: 26
Зарегистрирован: 2007-07-26 15:39:54
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение AlexPap » 2008-09-15 9:04:33

У тебя в фаере это правило первым идет! Я же писал, что при прозрачном прокси обратные пакеты идут напрямую на комп пользователя. Если в фаере не разрешить это правило, инет работать не будет.

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-16 6:59:06

Сделал все как ты сказал...Поставил правило allow from any to any внут. интерфейс первым и все заработало , тольо как то странно....Некоторые чссылки работают а некоторые нет....((((Чето с ДНС говорит...Хотя вроде разрешено все должно быть allow udp from any to any 53 via внеш. интерфейс....Заработало только после добавления после этого правила allow udp from any to any in via внеш. интерефейс...(((((Нл это же не правильно...?!Или так и должно быть?
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-09-16 13:20:34

Вообщем проблема решилась добавление правила разрешающего все по udp c ip DNS`а...)))))Тока вот чето после некоторой работы интернет начинает подтуплвать......))))Бум думать
Кто тут?

ВасилийKO
проходил мимо

треш

Непрочитанное сообщение ВасилийKO » 2009-03-30 15:44:39

фигня какая то...