IPFW+parent SQUID+Windows client, чот немогу настроить клиен

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

IPFW+parent SQUID+Windows client, чот немогу настроить клиен

Непрочитанное сообщение vaz » 2006-08-17 11:34:34

есть шлюз под FreeBSD 4.11 на которой IPFW + SQUID.

настройки сервера вроде в норме. по мануалу сказано что на клиенте(windows) кроме шлюза ничо указывать ненадо.

клиент в этом случае невидит проксю.

ставишь ему в настройках эксплорера - проксю - ххх.ххх.ххх.ххх:80. Все работает.

правило форвардинга которые стоят в IPFW:

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

что ему еще надо? ядро собрал со всеми нужными опциями. IPFW тоже. в сквиде - тож все указал.......

PS - если надо могу настройки ядра, файрвола и сквида тож все сюда кинуть........

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-17 11:41:45

прокси бывают прозрачные, а бывают непрозрачные....
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-17 12:29:24

трщ майор - собирал по вашим статьям-с:-) прозрачную проксю.

Аватара пользователя
ikush
проходил мимо
Сообщения: 9
Зарегистрирован: 2006-08-17 9:59:30
Откуда: Vladivostok

Непрочитанное сообщение ikush » 2006-08-17 12:39:24

А ты пойди от противного, попробуй IPFW поставить в дефолт, в /etc/rc.conf firewall_enable="YES"
firewall_type="OPEN"
в squid.conf порт 3128 и никаких прозрачных проксей. Ессли клиент получит все что ему нужно, тогда уже играй настройками... А вообще, ipfw мудреная штуковина, помимо "тупого" копирования конфигурационных строк, нужно четко понимать его работу, хотя бы приблизительно...как в прочем и сам squid... т.к. оттюнинговать под свои нужны, тут не один день потребуеться...[/i]

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-17 12:44:15

причем здесь тупое копирование?

суть в том что ipfw пакеты с клиента на сквид незаворачивает. в эксплорере укажешь хх.хх.хх.хх:80 - начинает заворачивать.

правило отвечающее за форвард я указал выше.

Voronok
рядовой
Сообщения: 25
Зарегистрирован: 2006-06-29 18:53:59

Непрочитанное сообщение Voronok » 2006-08-17 13:16:19

Тебе по ходу надо в настройках подключения по локальной сети в винде указать основным шлюзом адрес твоего шлюза на фряхе.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-17 14:19:13

vaz писал(а):причем здесь тупое копирование?

суть в том что ipfw пакеты с клиента на сквид незаворачивает. в эксплорере укажешь хх.хх.хх.хх:80 - начинает заворачивать.

правило отвечающее за форвард я указал выше.
так. если прокси прозрачный - то заворачивает файрволл. если при этом настройки самого сквида на непрозрачный прокси - не пашет
если прокси непрозрачный - то надо указывать у клиентов прокси в настройках. НО если не указывать и завернуть сквидом - тоже не пашет.
====
итого - 4 варианта настроек. Какие ты хочешь сделать?
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-25 13:51:35

вощем бодался я бодался. вырисовывается такая фигня. 98 винда шлет запоросы (если в эксплорере неуказана прокся, а просто только указан дефолтовый гейт) не по TCP а по UDP. файрвол естественно их исправно пропускает незаворачивая на сквид. попытка удпшный траффик завернуть на удпишный порт сквида - никчему не привела.

если в эсплорере напишешь прокся такая-то такаято - все работает(неважно какой порт укажешь 3128, или 80 - пофигу). но мнето нужно прозрачную проксю млин........

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-25 14:22:12

по какому UDP и куда...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreePascal
сержант
Сообщения: 245
Зарегистрирован: 2006-05-14 8:50:05
Контактная информация:

Непрочитанное сообщение FreePascal » 2006-08-27 22:11:27

Чтобы тебе быстрее помочь выкладывай конфиги фаервола сквида и выводы ipfw show и netstat -na | grep -i LISTEN

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-28 12:42:05

options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да )
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее


ipfw:

#!/bin/sh

# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="lnc0" # внешний интерфейс
LanIn="lnc1" # внутренний интерфейс
IpOut="192.168.0.1" # внешний IP адрес машины
IpIn="192.168.15.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.15.0" # Внутренняя сеть

${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24{локальный сетка} to any 80 out via {внешный интерфейс}
${FwCMD} add divert natd ip from any to any via {внешный интерфейс}


squid:
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.79.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.15.0/24
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-28 12:50:29

ipfw show

показывает только правила указанные в вышеуказанном мной списке правил файрволла.

netstat показывает три порта листен - 21,22,3128

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-28 12:51:40

2 Lissyara:

удп пакеты - это имхо днс запрос...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-28 12:55:06

DNS при прозрачном прокси не надо на сквид заворачивать. им named должен заниматься.
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-28 13:48:27

а если named невключен? может изза этого все стопорится?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-28 14:55:25

а у клиентов DNS`ом кто прописан?
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-29 6:11:31

2 Lissyara:

никто естественно. у Вас в статье ж прямо сказано. кроме шлюза никаких других настроек неделать.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-29 7:41:18

а ещё во всех статьях у меня есть фраза о том, что надо своей головой думать....
====
советую почитать чё-нить о принципах работы TCP/IP - хотябы вкратце и по диагонали....

==================================
DNS пропиши.
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-29 8:06:58

2 lissyara.

вкурсе я мал-мал по стеку тсп\ип.

но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.

ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-29 8:14:06

ну если ты вкурсе про работу TCP/IP, то как же у тя без DNS имена разрешаться будут?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
northern
лейтенант
Сообщения: 778
Зарегистрирован: 2006-02-08 20:48:45
Откуда: Днепропетровск
Контактная информация:

Непрочитанное сообщение northern » 2006-08-29 8:26:14

vaz писал(а):2 lissyara.

вкурсе я мал-мал по стеку тсп\ип.

но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.

ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.
ты не злись зря. не ты один на эти грабли наступил, а lissyara правильный совет даёт - не будешь думать, а тупо по инструкциям следовать куда ты приедешь?
есть цель - действуй! инициатива друг мой!

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-29 9:01:45

2 Lissyara
на внешнем интерфейсе поднят нат средствами бсд. гейтвеем стоит нат самой вмвари. сервер прекрасно видит инет. просто запросы от клиента неперенаправлялись на вышестоящий днс сервер. я об этом с самого начала говорил. сам нелез без подтверждения. имхо должно лечится настройкой намед.конф. фсе. тема закрыта? или я попал пальцем в небо?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-08-29 9:10:02

либо на клиентах провайдерский DNS либо у ся кэширующий подымай...
Убей их всех! Бог потом рассортирует...

vaz
ефрейтор
Сообщения: 52
Зарегистрирован: 2006-08-17 8:42:34

Непрочитанное сообщение vaz » 2006-08-29 11:28:43

сенкс за исчерпывающий ответ:-)