ipfw+NetAMS+squid=?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-08 8:13:04

на роутере защищенном ipfw для подсчета трафика использую NetAMS.назрела необходимость установки squid как прозрачного прокси.согласно
http://www.opennet.ru/tips/info/1517.shtml
необходимо добавить для ipfw правило разворачивающее http трафик на squid

Код: Выделить всё

ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80
однако для функционирования NetAMS заданы вот такие правила

Код: Выделить всё

go# ipfw list
00049 divert 199 ip from any to any out via vr0
00050 divert 8668 ip4 from any to any via rl0
00051 divert 199 ip from any to any in via vr0
подскажите, каким номером ставить правило для squid?мне кажется что после 51го, но возможно я ошибаюсь.

Заранее спасибо за сотрудничество!!!
атсыпте man'офф.только их курю

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение Alex Keda » 2008-02-08 8:28:13

48.5 =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение Alex Keda » 2008-02-08 8:28:52

принудительная нумерация - это зло, и нужна она в исключительных случаях
Убей их всех! Бог потом рассортирует...

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-08 14:23:33

можно конктретнее....пожалуйста.
атсыпте man'офф.только их курю

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение schizoid » 2008-02-08 17:34:07

нужно ставить ДО НАТа и НЕТАМСа
з.ы.: а нетамс у тя правильно считает при таких правилах диверта?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-08 18:43:47

schizoid писал(а):нужно ставить ДО НАТа и НЕТАМСа
з.ы.: а нетамс у тя правильно считает при таких правилах диверта?
да считает правильно.
блин да чтож это. :? помогите

Код: Выделить всё

go# ipfw add 48 fwd 127.0.0.1,3128 tcp from any to any 80
ipfw: getsockopt(IP_FW_ADD): Invalid argument
атсыпте man'офф.только их курю

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение mod » 2008-02-08 22:06:49

а ядро с такой опцией собрал ?)

Код: Выделить всё

options         IPFIREWALL_FORWARD

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-09 10:15:22

сначала просто добавил эту опцию в мой файл конфига ядра, пересобрал, что было см.выше.скопировал и переименовал мой конфиг, добавил туда опцию пересобрал ядро с новым ident.теперь имею

Код: Выделить всё

go# ipfw add 48 fwd 127.0.0.1,3128  from any to any 80
ipfw: unrecognised option [-1] from
атсыпте man'офф.только их курю

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение mod » 2008-02-09 10:44:29

У меня вот так написано

Код: Выделить всё

${fwcmd} add 40 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
кстати и твоё правило легко добавляется у меня...

Код: Выделить всё

vinet# ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80
00049 fwd 127.0.0.1,3128 tcp from any to any dst-port 80
моэет всё такие собрал не так..перезагружался хоть ?

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-09 10:52:39

я осел

Код: Выделить всё

go# ipfw add 48 fwd 127.0.0.1,3128 tcp from any to any 80
протокол забыл чудищь...после ночной смены, башка не варит....извините :oops:
атсыпте man'офф.только их курю

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение mod » 2008-02-09 11:02:10

хех)я чёт тоже не заметил)тоже не выспался:)

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-09 12:43:40

вот вилы...хз...
вобщем если прописываю сквид в /етс/rc.conf о при старте создает свое правило номер 65100

Код: Выделить всё

65100 fwd 127.0.0.1,3128 tcp from any to any 80 
и через сервак не проходит ничего
если прописываю в файле создания правил для ipfw (правила задаю в рц.конф firewall_type=/usr/local/etc/myipfw) где myipfw файл с правилами)

Код: Выделить всё

add 48 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 {2-245} to any 80
то после перезагрузки получаю только

Код: Выделить всё

00049 divert 199 ip from any to any out via vr0
00051 divert 199 ip from any to any in via vr0
65535 allow ip from any to any
куда копать?как сделать чтоб создавалось нужное правило для ipfw и сквид стартовал не создавая левых правил?
атсыпте man'офф.только их курю

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение Alex Keda » 2008-02-09 14:27:31

разбиратся в работе файрволла.
Убей их всех! Бог потом рассортирует...

mod
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-10-08 12:57:05

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение mod » 2008-02-09 20:07:31

Код: Выделить всё

add 48 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 {2-245} to any 80
{2-245} - а это что?)
в файле фаервола поставь номер правила повыше..у меня до ната стоит..
и прописано так в конфигурационном файле фаера..и пашет всё..нат стоит 50 правилом..

Код: Выделить всё

${fwcmd} add 40 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-09 21:40:29

{2-254} это можно указать диапазон адресов в подсети...ну конечно тобой предложеный вариант проще
через
ipfw add работает, попробую еще его запихнуть в мой файл конфигурации файрвола
атсыпте man'офф.только их курю

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение neurobomman » 2008-02-09 22:56:59

все!!!работает!!!теперь и с squid_enable="YES" в /etc/rc.conf проблем не возникает....фух...мужики всем гигантское спасибо!!!!росту прям в своих глазах на глазах :D
атсыпте man'офф.только их курю

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение InventoR » 2008-02-21 20:21:42

Оживлю темку по netams, народ а кто-то разобрался как функционирует правило:
restrict all drop local pass
все вроде прописано:

Код: Выделить всё

unit group oid 0AC999 name OFFICE acct-policy ip www mail ftp ssh icq cs
unit host oid 0D4ACB name ServerOUT ip 213.247.236.145 acct-policy ip www mail ftp ssh icq dns cs icecast_in icecast_out
unit net oid 093D6C name LAN ip 192.168.0.0/24 acct-policy ip www mail ftp ssh icq cs
unit user oid 0670E3 name Server_Inet ip 192.168.0.1 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 025900 name client1 ip 192.168.0.2 parent OFFICE acct-policy ip www mail ftp ssh icq cs
unit user oid 0A45EB name client2 ip 192.168.0.9 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 08DABD name client3 ip 192.168.0.11 parent OFFICE acct-policy ip www mail ftp ssh icq
а когда меняю правило на
restrict all drop local drop
пакеты в обще перестають ходить.
ну вот и сказочке конец, кто слушал, тот молодец.

Egor_G
проходил мимо

Re: ipfw+NetAMS+squid=?

Непрочитанное сообщение Egor_G » 2008-03-02 15:29:12

NarkomanLove писал(а):Оживлю темку по netams, народ а кто-то разобрался как функционирует правило:
restrict all drop local pass
все вроде прописано:

Код: Выделить всё

unit group oid 0AC999 name OFFICE acct-policy ip www mail ftp ssh icq cs
unit host oid 0D4ACB name ServerOUT ip 213.247.236.145 acct-policy ip www mail ftp ssh icq dns cs icecast_in icecast_out
unit net oid 093D6C name LAN ip 192.168.0.0/24 acct-policy ip www mail ftp ssh icq cs
unit user oid 0670E3 name Server_Inet ip 192.168.0.1 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 025900 name client1 ip 192.168.0.2 parent OFFICE acct-policy ip www mail ftp ssh icq cs
unit user oid 0A45EB name client2 ip 192.168.0.9 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 08DABD name client3 ip 192.168.0.11 parent OFFICE acct-policy ip www mail ftp ssh icq
а когда меняю правило на
restrict all drop local drop
пакеты в обще перестають ходить.
А какая версия NetAMS? Если 3.4.Х, то переходите на 3.3.5 Или правьте исходный код, а патчик присылайте авторам NetAMS. Они (авторы), судя по всему, почти не занимаются развитием данного продукта.
P.S. С подобными вопросами лучше на родной форум NetAMS :)