Проблемы установки, настройки и работы Правильной Операционной Системы
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Art
- проходил мимо
Непрочитанное сообщение
Art » 2008-11-11 20:09:01
Приветствую.
Задача: сконфигурировать ipfw для работы squid в прозрачном режиме + доступ по ssh внутри сети, для начала освоения файрвола и ОС в целом). Собственно после создание следующих нижеизложенных минимальных конфигов, не работает http наружу, хотя в логах squid виден запрос (TCP_MISS/504). Если разрешить все add allow ip from any to any - все работает, так что на сколько я понимаю не хватает чего-то в конфиге ipfw.
Код: Выделить всё
/sbin/ipfw -f flush
/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add allow ip from any to any via vr0
/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via xl0
/sbin/ipfw add divert natd ip from any to any via xl0
/sbin/ipfw add allow tcp from 192.168.0.0/24 to 192.168.0.200 22 via vr0
/sbin/ipfw add allow icmp from any to any
в листинге все правила видны
Код: Выделить всё
SQUID 2.6.STABLE16
http_port 127.0.0.1:3128 transparent
acl office src 192.168.0.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
http_access allow office
http_access deny all
Последний раз редактировалось
zingel 2008-11-11 20:10:34, всего редактировалось 1 раз.
Причина: Юзайте [code][/code]
Art
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Непрочитанное сообщение
paradox » 2008-11-11 20:20:09
/sbin/ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 out via xl0
попробуй
paradox
-
paradox
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Непрочитанное сообщение
paradox » 2008-11-11 20:22:07
кстати я надеюсь у вас в конце есть
pass all from any to any
paradox
-
manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
-
Контактная информация:
Непрочитанное сообщение
manefesto » 2008-11-11 22:13:21
понимаешь....в твоём фаере ты заворачиваешь входищий инет на сквид, а для самого сквида не даешь выхода наружу.
То есть должно быть два правила.
Код: Выделить всё
ipfw add 00100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80,443 out via xl0 # заворачиваем на сквид
ipfw add 10010 allow tcp from any to any 80 out via xl0 setup keep-state # пускаем наружу
я такой яростный шо аж пизде
Ц
manefesto
-
ART
- проходил мимо
Непрочитанное сообщение
ART » 2008-11-12 15:09:51
paradox писал(а):кстати я надеюсь у вас в конце есть
pass all from any to any
нету, а для чего это необходимо? сделал как посоветовал manefesto все заработало - спасиб.
и еще setup keep-state для чего нужно в конце прописывать?
ART
