IPFW+parent SQUID+Windows client, чот немогу настроить клиен
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
IPFW+parent SQUID+Windows client, чот немогу настроить клиен
есть шлюз под FreeBSD 4.11 на которой IPFW + SQUID.
настройки сервера вроде в норме. по мануалу сказано что на клиенте(windows) кроме шлюза ничо указывать ненадо.
клиент в этом случае невидит проксю.
ставишь ему в настройках эксплорера - проксю - ххх.ххх.ххх.ххх:80. Все работает.
правило форвардинга которые стоят в IPFW:
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
что ему еще надо? ядро собрал со всеми нужными опциями. IPFW тоже. в сквиде - тож все указал.......
PS - если надо могу настройки ядра, файрвола и сквида тож все сюда кинуть........
настройки сервера вроде в норме. по мануалу сказано что на клиенте(windows) кроме шлюза ничо указывать ненадо.
клиент в этом случае невидит проксю.
ставишь ему в настройках эксплорера - проксю - ххх.ххх.ххх.ххх:80. Все работает.
правило форвардинга которые стоят в IPFW:
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
что ему еще надо? ядро собрал со всеми нужными опциями. IPFW тоже. в сквиде - тож все указал.......
PS - если надо могу настройки ядра, файрвола и сквида тож все сюда кинуть........
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
- ikush
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2006-08-17 9:59:30
- Откуда: Vladivostok
А ты пойди от противного, попробуй IPFW поставить в дефолт, в /etc/rc.conf firewall_enable="YES"
firewall_type="OPEN"
в squid.conf порт 3128 и никаких прозрачных проксей. Ессли клиент получит все что ему нужно, тогда уже играй настройками... А вообще, ipfw мудреная штуковина, помимо "тупого" копирования конфигурационных строк, нужно четко понимать его работу, хотя бы приблизительно...как в прочем и сам squid... т.к. оттюнинговать под свои нужны, тут не один день потребуеться...[/i]
firewall_type="OPEN"
в squid.conf порт 3128 и никаких прозрачных проксей. Ессли клиент получит все что ему нужно, тогда уже играй настройками... А вообще, ipfw мудреная штуковина, помимо "тупого" копирования конфигурационных строк, нужно четко понимать его работу, хотя бы приблизительно...как в прочем и сам squid... т.к. оттюнинговать под свои нужны, тут не один день потребуеться...[/i]
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
-
- рядовой
- Сообщения: 25
- Зарегистрирован: 2006-06-29 18:53:59
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
так. если прокси прозрачный - то заворачивает файрволл. если при этом настройки самого сквида на непрозрачный прокси - не пашетvaz писал(а):причем здесь тупое копирование?
суть в том что ipfw пакеты с клиента на сквид незаворачивает. в эксплорере укажешь хх.хх.хх.хх:80 - начинает заворачивать.
правило отвечающее за форвард я указал выше.
если прокси непрозрачный - то надо указывать у клиентов прокси в настройках. НО если не указывать и завернуть сквидом - тоже не пашет.
====
итого - 4 варианта настроек. Какие ты хочешь сделать?
Убей их всех! Бог потом рассортирует...
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
вощем бодался я бодался. вырисовывается такая фигня. 98 винда шлет запоросы (если в эксплорере неуказана прокся, а просто только указан дефолтовый гейт) не по TCP а по UDP. файрвол естественно их исправно пропускает незаворачивая на сквид. попытка удпшный траффик завернуть на удпишный порт сквида - никчему не привела.
если в эсплорере напишешь прокся такая-то такаято - все работает(неважно какой порт укажешь 3128, или 80 - пофигу). но мнето нужно прозрачную проксю млин........
если в эсплорере напишешь прокся такая-то такаято - все работает(неважно какой порт укажешь 3128, или 80 - пофигу). но мнето нужно прозрачную проксю млин........
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- FreePascal
- сержант
- Сообщения: 245
- Зарегистрирован: 2006-05-14 8:50:05
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да )
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
ipfw:
#!/bin/sh
# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="lnc0" # внешний интерфейс
LanIn="lnc1" # внутренний интерфейс
IpOut="192.168.0.1" # внешний IP адрес машины
IpIn="192.168.15.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.15.0" # Внутренняя сеть
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24{локальный сетка} to any 80 out via {внешный интерфейс}
${FwCMD} add divert natd ip from any to any via {внешный интерфейс}
squid:
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.79.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10
acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.15.0/24
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да )
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
ipfw:
#!/bin/sh
# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="lnc0" # внешний интерфейс
LanIn="lnc1" # внутренний интерфейс
IpOut="192.168.0.1" # внешний IP адрес машины
IpIn="192.168.15.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.15.0" # Внутренняя сеть
${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24{локальный сетка} to any 80 out via {внешный интерфейс}
${FwCMD} add divert natd ip from any to any via {внешный интерфейс}
squid:
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.79.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10
acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.15.0/24
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
2 lissyara.
вкурсе я мал-мал по стеку тсп\ип.
но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.
ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.
вкурсе я мал-мал по стеку тсп\ип.
но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.
ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- northern
- лейтенант
- Сообщения: 778
- Зарегистрирован: 2006-02-08 20:48:45
- Откуда: Днепропетровск
- Контактная информация:
ты не злись зря. не ты один на эти грабли наступил, а lissyara правильный совет даёт - не будешь думать, а тупо по инструкциям следовать куда ты приедешь?vaz писал(а):2 lissyara.
вкурсе я мал-мал по стеку тсп\ип.
но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.
ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.
есть цель - действуй! инициатива друг мой!
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34
2 Lissyara
на внешнем интерфейсе поднят нат средствами бсд. гейтвеем стоит нат самой вмвари. сервер прекрасно видит инет. просто запросы от клиента неперенаправлялись на вышестоящий днс сервер. я об этом с самого начала говорил. сам нелез без подтверждения. имхо должно лечится настройкой намед.конф. фсе. тема закрыта? или я попал пальцем в небо?
на внешнем интерфейсе поднят нат средствами бсд. гейтвеем стоит нат самой вмвари. сервер прекрасно видит инет. просто запросы от клиента неперенаправлялись на вышестоящий днс сервер. я об этом с самого начала говорил. сам нелез без подтверждения. имхо должно лечится настройкой намед.конф. фсе. тема закрыта? или я попал пальцем в небо?
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- ефрейтор
- Сообщения: 52
- Зарегистрирован: 2006-08-17 8:42:34