FreeBSD 7.0 IPFW SQUID

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 10:44:03

Я понимаю люди что тема заезжанная,но все же кто нибудь помогите плиззззз :oops: )))Готов быть обматеренным)))
Взял пример конфа IPFW с сайта

Код: Выделить всё

FwCMD="/sbin/ipfw -q"           
LanOut="vr0"                  # VNESH
NetOut="85.28.26.0/30"   # vnesh LAN
IpOut="85.28.26.78"           # vnech IP

LanIn="rl0"                   # vnut setevuxa
NetIn="192.168.0.0/24"        # vnut LAN
ip_lan="192.168.0"            # template 
                               

# reset all rules
${FwCMD} -f flush
# reset all pipe
${FwCMD} -f pipe flush
# reset queue
${FwCMD} -f queue flush

#Block

# Block L0 go to outside
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

#GIVE traf lo0
${FwCMD} add allow ip from any to any via lo0

# block from vnut set na vnesh set
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
#block from vnesh set in vnut Set 
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}

# block private LAN
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# BLOCK autoconfig LAN
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# Block multicast maessage
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}
# Block multicast maessage
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# block fragment icmp
${FwCMD} add deny icmp from any to any frag
# block broadcast on vnesh inter
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# VSEX to squid
${FwCMD} add fwd 127.0.0.1,3128 all from any to any 80  via ${LanOut}
#${FwCMD} add fwd 192.168.0.2,3128 tcp from ${NetIn} to any 80 via ${LanIn}

# NAT translation
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
#${FwCMD} add divert natd ip from any to any via ${LanOut}

# Block from private lan to vnes set
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# block autoconfig LAN
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# BLOCK multicast message
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# block multicast message
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

# some types of icmp packets
${FwCMD} add allow icmp from any to any icmptypes 0,8,11

# OPEN vnut traf on vnut int(vhod)
${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}
# OPEN vnut traf on vnut int(vixod)
${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}

# give tcp-pack on open connect 
${FwCMD} add allow tcp from any to any established

# DNS  
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}
#  UDP (tim sync - 123 port)
${FwCMD} add allow udp from any to any 123 via ${LanOut}

# ok from out connect to 53 port (TCP DNS)
${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup
# k from out connect to 80 port - if we have www server on your car
${FwCMD} add allow tcp from any to ${IpOut} 80 in via ${LanOut} setup
# k from out connect to 20,21 port - for active FTP
${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
# EMAIL
${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanOut} setup
# SSH
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup
# open from vnesh sreda 20,21 port - for active FTP
${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
# passive FTP
# DLY uznavaniy potrantaga, go to 
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.firt
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
# You can do like this, but need like this
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

# COUNTER-STRIKE (No commments :))
#${FwCMD} add allow udp from any 27015-27025 to ${NetIn} in via ${LanOut}
#${FwCMD} add allow udp from any 27015-27025 to ${NetIn} out via ${LanIn}
#${FwCMD} add allow udp from ${NetIn} to any 27015-27025 in via ${LanIn}
#${FwCMD} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut}

# Block All and add to logs
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup

${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

########### BEGIN USERS   ###############################

# (ICQ)
${FwCMD} add allow tcp from ${NetIn} to any 5190 in via ${LanIn} setup

# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.1 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.2 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.3 to not ${NetIn}  in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.49 to not ${NetIn} in via ${LanIn} setup

############# END USERS #################################
${FwCMD} add deny ip from any to any
поставил squid

Код: Выделить всё

http_port 3128
icp_port 0
cache_mem 100 MB
maximum_object_size 16384 KB
cache_dir ufs /var/squid/cache 100 16 256
cache_access_log /var/squid/logs/acess.log
cache_store_log /var/squid/logs/store.log
acl localnet dst 192.168.0.0/24
acl tema src 192.168.0.3
acl all src 0.0.0.0/0.0.0.0
http_access allow tema
http_access deny all
Когда пытаюсь выйти в инет , то squid режет ссылки и ругается.....
ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: /pnews/119068/i/163/0/r/

The following error was encountered:
Invalid URL

Some aspect of the requested URL is incorrect. Possible problems:
Missing or incorrect access protocol (should be `http://'' or similar)
Missing hostname
Illegal double-escape in the URL-Path
Illegal character in hostname; underscores are not allowed

Your cache administrator is webmaster.
Generated Mon, 18 Aug 2008 14:09:58 GMT by GATE.OOMIISERVER.LOCAL (squid/3.0.RC1+PatchSets-20071001)
то сам браузер говорит что заданный узел недоступен..(((Емае...
Аська через раз подключается....
Помогите плиззз
Кто тут?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение CTOPMbI4 » 2008-08-18 12:15:52

Нужно понимания фаера. А не копирования с инета готовых конфигов.
Курите хэнбук и маны.
так же гугл.
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:24:42

Да я уже обкурился этого мана)))Ладно бы он вел себя одинаково , а то как то непонятно в чем проблема((((((((
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:25:24

ПОдскажите хотя бы почму сквид режет ссылки?!(((((
Кто тут?

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение zg » 2008-08-18 12:30:28

sofinan писал(а):ПОдскажите хотя бы почму сквид режет ссылки?!(((((
режет, это когда ACCESS_DENIED, а у тебя Invalid URL :cf:

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:35:14

Неее вот смотрите ввожу к пирмеру вот такую ссылку http://forum.lissyara.su/posting.php?mo ... =8&t=10440, он мне говорит что ссылка /posting.php?mode=reply&f=8&t=10440 неверна...(((((И так всегда, отрезает все до первого слэша
Последний раз редактировалось sofinan 2008-08-18 12:37:37, всего редактировалось 2 раза.
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:35:54

Обещаю пиво за помощь)))))) :-D Хоть по почте)))
Кто тут?

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение zg » 2008-08-18 12:37:34

www.ru работает?

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение zg » 2008-08-18 12:45:17

я бы не совтовал ставить RC, если опыта мало. Советую поставить 2.6 stable или любую другю 2.х stable. Кандидаты не для новичков писаны.

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:47:23

Неа , не работает говорит ссылка / неверна
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 12:48:49

Дак дело в squid???
Кто тут?

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение zg » 2008-08-18 12:53:10

sofinan писал(а):Дак дело в squid???
скорее в корявках :smile: ты как на проксю ходишь? через какой порт?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-18 17:22:43

всмысле как?!Он же типа прозрачный ))))Или я что то путаю)))Порт 3812 тока в кнфе указываю
Кто тут?

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Morty » 2008-08-18 17:37:40

советую как минимум открыть штатный файл /etc/rc.firewall
и уточнить так ли натят в 7-ой версии.....
---
сквид у вас не настроен как прозрачный !

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Covax » 2008-08-18 20:23:39

В squid.conf

Код: Выделить всё

http_port 3128 transparent
Адрес, куда пиво слать, давать? :)

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-19 4:39:38

Щас проверю и если работает можешь давать)))Хахаха
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-19 6:27:12

неа неработает...(((
Кто тут?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение manefesto » 2008-08-19 7:06:25

ипшник в личку...
Вечером настрою
я такой яростный шо аж пиздеЦ
Изображение

Volkoff
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-04-22 10:44:55
Откуда: СПб

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Volkoff » 2008-08-19 8:51:18

Код: Выделить всё

# Block L0 go to outside
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

#GIVE traf lo0
${FwCMD} add allow ip from any to any via lo0
убери блок с lo0

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-19 9:40:25

Да я думаю дело не в lo0, у меня там пакеты ваще не задерживаются (((
Кто тут?

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Covax » 2008-08-19 9:57:06

А squid какой стоит?

pimlab
прапорщик
Сообщения: 484
Зарегистрирован: 2007-10-09 11:31:03

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение pimlab » 2008-08-19 9:59:18

А попробовать с самым простым firewall'om кторый разрешает все и вручную вбить в браузере proxy?
потом squid в свои логах на чтониить ругается?
DNS работает?

PS. http_port 3128 .... луче/надежнее запускать на lо0 и rl0 а не на всех как сейчас

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-19 10:57:24

Squid 3.0 стоит
На конфы свои не ругается...Логи забиты ссылками корявыми...(((Всмысле ребленные урлы до первого слэша...(((Ничего не понимаю(((
Если явно указывать http_port 127.0.0.1:3812, ты выдает Warning -мне показалаось это енмного странным и я решил убрать его))))
Посоветовали поставить фрю 6.2 и сквид 2.6))))Щас вот ставлю посмотрим что получится....Ну что то мало вериться что в этом причина((((
Последний раз редактировалось sofinan 2008-08-19 11:03:10, всего редактировалось 1 раз.
Кто тут?

Аватара пользователя
sofinan
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-08-12 9:51:48
Откуда: ОМСК
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение sofinan » 2008-08-19 10:59:27

А DNS я в файле resolv.conf прописал....Да и вообще в инет нормально пускает, если не через сквид(((
Кто тут?

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: FreeBSD 7.0 IPFW SQUID

Непрочитанное сообщение Covax » 2008-08-19 11:06:37

Так тебе надо настроить прозрачный режим.
В 2.6

Код: Выделить всё

http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
В 3 иначе прописывается.