Freebsd 7.0 не удается скачать файлы.

[mediamag]

Стоит фряха 7.0 ipfw и squid 2.7 Проблема в том что с внутренней сети невозможно закачать файлы. Резалок реджиков и прочих приблуд не ставил..Задача просто пускать юзеов в инет по логину и паролю.
Вот конфиг сквида

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams

auth_param basic children 5

auth_param basic realm IntWay WiFi Server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

http_port 8080

icp_port 0

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?

no_cache deny QUERY

cache_mem 128 MB

maximum_object_size 8092 KB

maximum_object_size_in_memory 512 KB

error_directory /usr/local/etc/squid/errors/Russian-1251

cache_dir ufs /usr/local/squid/cache 2048 64 256

access_log /usr/local/squid/logs/access.log squid

cache_log /usr/local/squid/logs/cache.log

cache_store_log /usr/local/squid/logs/store.log

cache_mgr h-a-k-e-r@inbox.ru

visible_hostname inet.local.biz

tcp_outgoing_address 10.100.2.1


refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern .               0       20%     4320


#TAG: acl

acl     all     src     0.0.0.0/0.0.0.0

acl     localhost       src     127.0.0.0/8

acl squidusers  proxy_auth REQUIRED


#TAG: http_access

http_access     allow   squidusers

http_access     allow   localhost

http_access     deny    all

http_port 127.0.0.1:8080

coredump_dir /usr/local/squid/cache

pid_filename /usr/local/squid/logs/squid.pid

Прошу помощи, может ктото сталкивался с данной траблой?
вот правила ipfw на всякий

Код: Выделить всё

00050 check-state
00100 allow ip from any to any via lo0
00400 deny ip from any to 127.0.0.0/8
00450 deny ip from 127.0.0.0/8 to any
00500 deny ip from 10.100.1.0/24 to any in via rl0
00550 deny ip from 10.100.2.0/24 to any in via rl1
00610 deny ip from any to 172.16.0.0/12 in via rl0
00620 deny ip from any to 0.0.0.0/8 in via rl0
00630 deny ip from any to 169.254.0.0/16 in via rl0
00700 deny ip from any to 224.0.0.0/4 in via rl0
00710 deny ip from any to 240.0.0.0/4 in via rl0
00800 deny icmp from any to any frag
00810 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00900 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00910 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00920 reject tcp from any to any not established tcpflags fin
00930 reject log logamount 100 ip from any to any not verrevpath in
01000 deny tcp from any to any dst-port 113 in via rl0
01100 deny tcp from any to any dst-port 137 in via rl0
01110 deny tcp from any to any dst-port 138 in via rl0
01120 deny tcp from any to any dst-port 139 in via rl0
01200 deny log logamount 100 icmp from any to 255.255.255.255 in via rl0
01210 deny log logamount 100 icmp from any to 255.255.255.255 out via rl0
01300 fwd 127.0.0.1,8080 tcp from 10.100.1.0/24 to any dst-port 80 via rl0
01400 divert 8668 ip from 10.100.1.0/24 to any out via rl0
01450 divert 8668 ip from any to 10.100.2.1 in via rl0
01510 deny ip from 172.16.0.0/12 to any out via rl0
01520 deny ip from 0.0.0.0/8 to any out via rl0
01530 deny ip from 169.254.0.0/16 to any out via rl0
01600 deny ip from 224.0.0.0/4 to any out via rl0
01650 deny ip from 240.0.0.0/4 to any out via rl0
01750 allow icmp from any to any icmptypes 0,8,11
01800 allow ip from any to 10.100.1.0/24 in via rl1
01850 allow ip from 10.100.1.0/24 to any out via rl1
01900 allow tcp from any to any established
02000 allow udp from any to 10.100.2.1 dst-port 53 in via rl0
02010 allow udp from 10.100.2.1 53 to any out via rl0
02020 allow udp from any 53 to 10.100.2.1 in via rl0
02030 allow udp from 10.100.2.1 to any dst-port 53 out via rl0
02100 allow tcp from any to 10.100.2.1 dst-port 53 in via rl0
02200 allow tcp from any to 10.100.2.1 dst-port 35665 in via rl0 setup
02700 deny log logamount 100 tcp from any to 10.100.2.1 in via rl0 setup
02900 allow tcp from 10.100.2.1 to any out via rl0 setup
02950 allow tcp from any to 10.100.2.1 in via rl1 setup
03000 allow tcp from 10.100.1.0/24 to any dst-port 25,110,443,5190 in via rl1 setup
03010 allow tcp from 10.100.1.101 to any in via rl1 setup
03020 allow tcp from 10.100.1.102 to any in via rl1 setup
03030 allow tcp from 10.100.1.103 to any in via rl1 setup
03040 allow tcp from 10.100.1.104 to any in via rl1 setup
65534 deny ip from any to any
65535 allow ip from any to any

Все работает нормально, юзеры авторизируются и бегают в инете, но файлы ехе не качается.
Кстати вот что написано в access.log

Код: Выделить всё

0 10.100.1.103 TCP_DENIED 407 1707 GET http://qip.ru/download/qipinfium9030.exe  - NONE /- text/html

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[MASiK]

конечно жуткий офф топ

но мне просто интересно что это за правила ipfw такие?

Толи я чёт заблуждаюсь толи какая-то хрень у вас получаеться...

P.S. Это конечно не влияет на скачку файлов, мне просто непонятно как вообще нат и инет у вас работают...

[mediamag]

лучше б по теме)) а то я уже начинаю разочаровыватся во фряхе..она тупо упороно не пускает скачивать ехе файлы с разных источников.

[MASiK]

разочаровываться не стоит, просто стоит немного почитать\поучить

вот для примера мой конфиг сквида, посмотрите и подумайте.

Код: Выделить всё

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

acl LocalNet src 192.168.9.0/24
acl LocalNet1 src 192.168.9.220-192.168.9.230 192.168.9.11 192.168.9.15 192.168.9.21 192.168.9.22 192.168.9.24 192.168.9.41 192.168.9.54 192.168.9.56 192.168.9.58 192.168.9.91 192.168.9.92 192.168.9.100 192.168.9.101 192.168.9.163
acl LocalNet2 src 192.168.2.0/24

http_access deny all !LocalNet !LocalNet1 !localnet2

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
icp_access allow all

http_port 3128 transparent
always_direct allow all

hierarchy_stoplist cgi-bin ?
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
access_log /dev/null
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
logfile_rotate 10
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /usr/local/squid/cache
visible_hostname InternetServer
error_directory /usr/local/etc/squid/errors/Russian-1251

Как видите без аунтификации, но всё же...

[mediamag]

сквид удалил и отключил заворот в правилах..те же яйца....проблема во фряхе как это не печально((((...думал первый раз криво поставил..но тупо форматнул и поставил заново((

[MASiK]

Проблемма в руках и глазах

у вас ipfw настроен криво

man ipfw или в хендбуки на сайт freebsd.org всё по русски всё понятно, что мешает?

[mediamag]

взгляните сюда http://www.lissyara.su/?id=1127 переписано все с этой статьи.

[FenX]

Ну если бы всё было по статье, вряд ли бы были вопросы.
попробуйте для начала поднять правила в точности как там.

[MASiK]

Код: Выделить всё

00050 check-state
00100 allow ip from any to any via lo0
00400 deny ip from any to 127.0.0.0/8
00450 deny ip from 127.0.0.0/8 to any
00500 deny ip from 10.100.1.0/24 to any in via rl0
00550 deny ip from 10.100.2.0/24 to any in via rl1
00610 deny ip from any to 172.16.0.0/12 in via rl0
00620 deny ip from any to 0.0.0.0/8 in via rl0
00630 deny ip from any to 169.254.0.0/16 in via rl0
00700 deny ip from any to 224.0.0.0/4 in via rl0
00710 deny ip from any to 240.0.0.0/4 in via rl0
00800 deny icmp from any to any frag
00810 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00900 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00910 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00920 reject tcp from any to any not established tcpflags fin
00930 reject log logamount 100 ip from any to any not verrevpath in
01000 deny tcp from any to any dst-port 113 in via rl0
01100 deny tcp from any to any dst-port 137 in via rl0
01110 deny tcp from any to any dst-port 138 in via rl0
01120 deny tcp from any to any dst-port 139 in via rl0
01200 deny log logamount 100 icmp from any to 255.255.255.255 in via rl0
01210 deny log logamount 100 icmp from any to 255.255.255.255 out via rl0
01300 fwd 127.0.0.1,8080 tcp from 10.100.1.0/24 to any dst-port 80 via rl0
01400 divert 8668 ip from 10.100.1.0/24 to any out via rl0
01450 divert 8668 ip from any to 10.100.2.1 in via rl0
01510 deny ip from 172.16.0.0/12 to any out via rl0
01520 deny ip from 0.0.0.0/8 to any out via rl0
01530 deny ip from 169.254.0.0/16 to any out via rl0
01600 deny ip from 224.0.0.0/4 to any out via rl0
01650 deny ip from 240.0.0.0/4 to any out via rl0
01750 allow icmp from any to any icmptypes 0,8,11
01800 allow ip from any to 10.100.1.0/24 in via rl1
01850 allow ip from 10.100.1.0/24 to any out via rl1
01900 allow tcp from any to any established
02000 allow udp from any to 10.100.2.1 dst-port 53 in via rl0
02010 allow udp from 10.100.2.1 53 to any out via rl0
02020 allow udp from any 53 to 10.100.2.1 in via rl0
02030 allow udp from 10.100.2.1 to any dst-port 53 out via rl0
02100 allow tcp from any to 10.100.2.1 dst-port 53 in via rl0
02200 allow tcp from any to 10.100.2.1 dst-port 35665 in via rl0 setup
02700 deny log logamount 100 tcp from any to 10.100.2.1 in via rl0 setup
02900 allow tcp from 10.100.2.1 to any out via rl0 setup
02950 allow tcp from any to 10.100.2.1 in via rl1 setup
03000 allow tcp from 10.100.1.0/24 to any dst-port 25,110,443,5190 in via rl1 setup
03010 allow tcp from 10.100.1.101 to any in via rl1 setup
03020 allow tcp from 10.100.1.102 to any in via rl1 setup
03030 allow tcp from 10.100.1.103 to any in via rl1 setup
03040 allow tcp from 10.100.1.104 to any in via rl1 setup
65534 deny ip from any to any
65535 allow ip from any to any

Так давайте ка разберёмся у вас подсеть я так понял 10.100.1.0/24 интерфейс этой подсети rl1 интерфейс инета rl0?

если оно так то какого фига

Код: Выделить всё

01400 divert 8668 ip from 10.100.1.0/24 to any out via rl0
01450 divert 8668 ip from any to 10.100.2.1 in via rl0

Понятно что первый диверт идёт всех из 1.0\24 кидать на нат
а вот второе правело что делает? всех кто идёт к 2.1 айпишнику в пользу сети rl1 натить? что за фигня?

Идём дальше

Код: Выделить всё

00500 deny ip from 10.100.1.0/24 to any in via rl0
00550 deny ip from 10.100.2.0/24 to any in via rl1
00610 deny ip from any to 172.16.0.0/12 in via rl0
00620 deny ip from any to 0.0.0.0/8 in via rl0
00630 deny ip from any to 169.254.0.0/16 in via rl0
00700 deny ip from any to 224.0.0.0/4 in via rl0
00710 deny ip from any to 240.0.0.0/4 in via rl0

Ладно вы параноик, всех ото всех запрещаете, но помоему ваша сеть 1.0 а вы её мало того что запрещаете, так ещё и 2 раза запрещаете

в общем почитайте что такое ipfw и подучите хоть немного или логику включите как работает этот фаэрвол, а не попросту делать КопиПост...

P.S. Я просто не понемаю где ваша под сеть где не ваша какой АйПи у тачик, можно нормальный файлик сюда ipfw правил а не ipfw show

[FenX]

Что-то мне кажется, что у вас какая-то путаница в интерфейсах...
можно пожалуйста вывод ifconfig`а ?

сижу втыкаю в смысл строки

Код: Выделить всё

00900 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg

если следовать логике, то правило гласит резать все tcp пакеты...
или мне пора спать идти? Оо

[paradox]

непонимания того как это работает и что делаешь приводит к плачевным результатам
вот не копипастили бы конфиги а сами свой написали
и все бы у вас работало....

начинаю замечать
у новичков параноя
они считают чем больше всяких умных правил в фаере
тем фаер круче ??

[mediamag]

Проблему решил..никто из вас не оказался правым))))...переустановил фряху пересобрал ядро, НО не обновлял порты...проблема устранилась!!! я думаю это не случайность...

[RV]

бу-га-га
Логичный подход )))))
мона было ещё BIOS сбросить, чтоб наверняка....

[mediamag]

я хотя бы решил проблему...вы так всегда подходите к вопросам? с криком бугагага? если вы сисадмин, то бедный ваш директор)))

[FenX]

при чем здесь бугога?
бугога было не с проста, это так сказать сокращение от:
"А Вы всегда будете решать проблемы переустановкой ОС ?"

просто проблему надо было искать в настройках, которые Вы навертели.

и коллекция портов тут абсолютно не при чем.

[mediamag]

настроек тут и престроек не было...все стандартно ровно по статье лиссяры....параноей не страдаю и если б куда то полез и чето нахимичил то писал бы об этом и не скрывал...какие могут быть запреты на файлы ехе если стоит голая фря с ipfw ?? тут даже если захочешь не накосячишь так

[FenX]

ну видимо все-таки где-то накосячил,
ибо у меня на 18 шлюзах все бегает как положено.

[RV]

бугага - потому, что

Проблему решил..никто из вас не оказался правым))))...

бугага не было бы, если это бы звучало примерно так :
Копался в конфигах фаера, копался в конфигах сквида, ничего не получается, совсем запутался,
а надо срочно - переставил заново.....работает

Всякое бывает, все мы учимся, я во фряхе тоже плаваю, иногда задаю глупые вопросы....
Бывало что и переставлять приходилось из за ерунды.......

Был задан вопрос, люди начали что-то советовать, указали возможные причины,
но вы не удосужились вникнуть.

PS Ничего личного ))
PPS да, я сисадмин. А директор богатый, аж самому завидно ))))

[mediamag]

Насколько успел изучить фряху - фаер не умеет блокировать закачку ехе файлов, сквид тоже, если редиректоров не повключать...
ЗЫ...у мну тож директор богатый..но зп не получаю с 4 месяца..мож кто нить приютит в днепре за нормальнудю зп?))))))

[hranitel_y2k]

Насколько успел изучить фряху - фаер не умеет блокировать закачку ехе файлов, сквид тоже, если редиректоров не повключать...

Так уж сквид и не умеет?
Вот такая связка блокирует:

Код: Выделить всё

acl stop_files url_regex -i \.exe
http_access deny stop_files

[FenX]

Так уж сквид и не умеет?
Вот такая связка блокирует:

Код: Выделить всё

acl stop_files url_regex -i \.exe
http_access deny stop_files

эхх =(( опередил =((