squid + ipfw freebsd 6.3

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-15 13:09:07

значит так топология сети примерно такая


интернет
|
|
|
| 10.157.98.103
сервак он же squid
| 192.169.0.254
|
|
| 192.169.0.3
тестовый комп


вот конфиги

Код: Выделить всё

rc.conf
hostname="kor-proxy"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"

keymap="ru.koi8-r"
mousechar_start="3"
moused_enable="YES"
moused_flags="3"
saver="daemon"
scrnmap="koi8-r2cp866"

ifconfig_rl0="DHCP"
ifconfig_vr0="inet 192.169.0.254 netmask 255.255.255.0"

usbd_enable="YES"
inetd_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/firewall.conf"
named_enable="YES"
squid_enable="YES"

router_flaqs="q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"

natd_enable="YES"
natd_interface="vr0"

Код: Выделить всё

rc.firewall

ipfw -q flush

ipfw -q add allow ip from any to any via lo0
ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via rl0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via rl0
ipfw -q add divert natd ip from any to 10.98.157.103 in via rl0

Код: Выделить всё

squid.conf

http_port 127.0.0.1:3128 transparent 
cache_mem 64 MB
cache_access_log /usr/local/squid/logs/access.log
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
dns_nameservers 10.30.1.11
log_fqdn off

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443 	# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
acl internetuser src "/usr/local/etc/squid/limitedusers.txt"
acl nolimit src "/usr/local/etc/squid/unlimitedusers.txt"
acl worktime time 10:00-17:00
acl timeD time 06:00-09:55
acl timeE time 17:01-23:59
acl localnet dst 10.98.157.0/24
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost
http_access deny worktime internetuser
http_access allow timeD internetuser
http_access allow timeE internetuser
http_access allow nolimit
http_access deny all

visible_hostname proxy

#default
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
http_reply_access allow all
icp_access allow all
а вот с такими опциями сквид собрался

Код: Выделить всё

Squid Cache: Version 2.6.STABLE16+ICAP
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB LDAP SASL YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--with-pthreads' '--enable-storeio=ufs diskd null aufs coss' '--enable-delay-pools' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' '--enable-icmp' '--disable-internal-dns' '--enable-htcp' '--enable-forw-via-db' '--enable-cache-digests' '--enable-wccpv2' '--disable-http-violations' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '--enable-pf-transparent' '--enable-ipf-transparent' '--enable-follow-x-forwarded-for' '--enable-icap-support' '--with-large-files' '--enable-large-cache-files' '--enable-stacktraces' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd6.3' 'build_alias=i386-portbld-freebsd6.3' 'host_alias=i386-portbld-freebsd6.3' 'target_alias=i386-portbld-freebsd6.3' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe  -I/usr/local/include -I/usr/local/include  -I/usr/include -g' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=-I/usr/local/include'

помогите не работает не чего, в ядре включил фаервол, что делать?
squid если не прозрачный то все работает

limitedusers.txt там написанно 192.169.0.3
unlimitedusers.txt - 192.169.0.1
ставил все из партов
Последний раз редактировалось skrond 2008-04-15 18:58:14, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение dikens3 » 2008-04-15 16:00:12

помогите не работает не чего
ipfw show?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
salvator
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-04-01 12:18:59
Откуда: Kiev, Ukraine

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение salvator » 2008-04-15 18:50:23

Код: Выделить всё

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via rl0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via rl0
ipfw -q add divert natd ip from any to 10.98.157.103 in via rl0
У Вас, на сколько я вижу, интерфейсы vr и sis, откуда в правилах взялся rl?
Попробуйте так:

Код: Выделить всё

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via vr0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via sis0
ipfw -q add divert natd ip from any to 10.98.157.103 in via sis0

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-15 18:57:20

salvator писал(а):

Код: Выделить всё

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via rl0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via rl0
ipfw -q add divert natd ip from any to 10.98.157.103 in via rl0
У Вас, на сколько я вижу, интерфейсы vr и sis, откуда в правилах взялся rl?
Попробуйте так:

Код: Выделить всё

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via vr0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via sis0
ipfw -q add divert natd ip from any to 10.98.157.103 in via sis0
простите там просто ошибка у меня интерфейсы rl0 и vr0

Аватара пользователя
salvator
мл. сержант
Сообщения: 88
Зарегистрирован: 2008-04-01 12:18:59
Откуда: Kiev, Ukraine

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение salvator » 2008-04-16 10:10:46

попробуйте собрать squid с опциями --enable-ipf-transparent --enable-pf-transparent

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 11:34:11

salvator писал(а):попробуйте собрать squid с опциями --enable-ipf-transparent --enable-pf-transparent
так они включены

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 11:39:06

dikens3 писал(а):
помогите не работает не чего
ipfw show?
ipfw show

Код: Выделить всё


00100 34  972 allow ip from any to any via lo0
00200  0    0 fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any dst-port 80 via rl0
00300  0    0 divert 8668 ip from 192.169.0.0/24 to any out via rl0
00400  0    0 divert 8668 ip from any to 10.98.157.103 in via rl0
65535 81 9087 deny ip from any to any
Последний раз редактировалось skrond 2008-04-16 11:45:17, всего редактировалось 1 раз.

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 11:44:43

поробовал так

Код: Выделить всё

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via vr0
ipfw -q add divert natd ip from 192.169.0.0/24 to any out via rl0
ipfw -q add divert natd ip from any to 10.98.157.103 in via rl0

не работает
Последний раз редактировалось manefesto 2008-04-16 12:48:00, всего редактировалось 1 раз.
Причина: Учим русский язык

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение manefesto » 2008-04-16 12:47:13

пробуй отрубить файрвол и смотреть .... работает ли сквид....
Если не работает....пиши минамальный конфиг....
Как только заработает включай файрвол и там уже производи настройки....
я такой яростный шо аж пиздеЦ
Изображение

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 13:00:37

manefesto писал(а):пробуй отрубить файрвол и смотреть .... работает ли сквид....
Если не работает....пиши минамальный конфиг....
Как только заработает включай файрвол и там уже производи настройки....
я напсиал что сквид сам по себе работает, елси в браузере написать, настройки прокси то все запахает, как только пытаюсь сделать прозрачным не чего не работает

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 14:59:55

ЗНАЧИТ ТАК ВСЕ СДЕЛ, ВО ВСЕМ РАЗОБРАЛСЯ

Код: Выделить всё

файл limitedusers в нем 192.169.0.3
файл 192.169.0.3 в нем 192.169.0.1

Код: Выделить всё

named.conf

// $FreeBSD: src/etc/namedb/named.conf,v 1.21.2.6.2.1 2008/01/13 20:51:09 dougb Exp $
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works.  Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.

options {
	// Relative to the chroot directory, if any
	directory	"/etc/namedb";
	pid-file	"/var/run/named/pid";
	dump-file	"/var/dump/named_dump.db";
	statistics-file	"/var/stats/named.stats";

// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
	listen-on	{ 127.0.0.1; };

// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver.  To give access to the network, specify
// an IPv6 address, or the keyword "any".
//	listen-on-v6	{ ::1; };

/*	These options are available for BIND 9.4.x
// These zones are already covered by the empty zones listed below.
// If you remove the related empty zones below, comment these lines out.
	disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
	disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
	disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
*/

// In addition to the "forwarders" clause, you can force your name
// server to never initiate queries of its own, but always ask its
// forwarders only, by enabling the following line:
//
//	forward only;
	forward first;
// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below.  This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
  forwarders {
    10.30.1.11;
    127.0.0.1;
    };
/*
	forwarders {
		127.0.0.1;
	};
*/
	/*
	 * If there is a firewall between you and nameservers you want
	 * to talk to, you might need to uncomment the query-source
	 * directive below.  Previous versions of BIND always asked
	 * questions using port 53, but BIND versions 8 and later
	 * use a pseudo-random unprivileged UDP port by default.
	 */
	// query-source address * port 53;
};

// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.

// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "named.root"; };

/*	Slaving the following zones from the root name servers has some
	significant advantages:
	1. Faster local resolution for your users
	2. No spurious traffic will be sent from your network to the roots
	3. Greater resilience to any potential root server failure/DDoS

	On the other hand, this method requires more monitoring than the
	hints file to be sure that an unexpected failure mode has not
	incapacitated your server.  Name servers that are serving a lot
	of clients will benefit more from this approach than individual
	hosts.  Use with caution.

	To use this mechanism, uncomment the entries below, and comment
	the hint zone above.
*/
/*
zone "." {
	type slave;
	file "slave/root.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};
zone "arpa" {
	type slave;
	file "slave/arpa.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};
zone "in-addr.arpa" {
	type slave;
	file "slave/in-addr.arpa.slave";
	masters {
		192.5.5.241;	// F.ROOT-SERVERS.NET.
	};
	notify no;
};
*/

/*	Serving the following zones locally will prevent any queries
	for these zones leaving your network and going to the root
	name servers.  This has two significant advantages:
	1. Faster local resolution for your users
	2. No spurious traffic will be sent from your network to the roots
*/
// RFC 1912
zone "localhost"	{ type master; file "master/localhost-forward.db"; };
zone "127.in-addr.arpa" { type master; file "master/localhost-reverse.db"; };
zone "255.in-addr.arpa"	{ type master; file "master/empty.db"; };

// RFC 1912-style zone for IPv6 localhost address
zone "0.ip6.arpa"	{ type master; file "master/localhost-reverse.db"; };

// "This" Network (RFCs 1912 and 3330)
zone "0.in-addr.arpa"		{ type master; file "master/empty.db"; };

// Private Use Networks (RFC 1918)
zone "10.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "16.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "17.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "18.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "19.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "20.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "21.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "22.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "23.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "24.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "25.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "26.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "27.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "28.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "29.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "30.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "31.172.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "168.192.in-addr.arpa"	{ type master; file "master/empty.db"; };

// Link-local/APIPA (RFCs 3330 and 3927)
zone "254.169.in-addr.arpa"	{ type master; file "master/empty.db"; };

// TEST-NET for Documentation (RFC 3330)
zone "2.0.192.in-addr.arpa"	{ type master; file "master/empty.db"; };

// Router Benchmark Testing (RFC 3330)
zone "18.198.in-addr.arpa"	{ type master; file "master/empty.db"; };
zone "19.198.in-addr.arpa"	{ type master; file "master/empty.db"; };

// IANA Reserved - Old Class E Space
zone "240.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "241.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "242.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "243.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "244.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "245.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "246.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "247.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "248.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "249.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "250.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "251.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "252.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "253.in-addr.arpa"		{ type master; file "master/empty.db"; };
zone "254.in-addr.arpa"		{ type master; file "master/empty.db"; };

// IPv6 Unassigned Addresses (RFC 4291)
zone "1.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "3.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "4.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "5.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "6.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "7.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "8.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "9.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "a.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "b.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "c.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "d.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "e.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "0.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "1.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "2.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "3.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "4.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "5.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "6.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "7.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "8.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "9.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "a.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "b.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "0.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "1.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "2.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "3.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "4.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "5.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "6.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "7.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };

// IPv6 ULA (RFC 4193)
zone "c.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "d.f.ip6.arpa"		{ type master; file "master/empty.db"; };

// IPv6 Link Local (RFC 4291)
zone "8.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "9.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "a.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "b.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };

// IPv6 Deprecated Site-Local Addresses (RFC 3879)
zone "c.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "d.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "e.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };
zone "f.e.f.ip6.arpa"		{ type master; file "master/empty.db"; };

// IP6.INT is Deprecated (RFC 4159)
zone "ip6.int"			{ type master; file "master/empty.db"; };

// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries.  It can be convenient to become
// a slave at least for the zone your own domain is in.  Ask
// your network administrator for the IP address of the responsible
// master name server.
//
// Do not forget to include the reverse lookup zone!
// This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6.
//
// Before starting to set up a master zone, make sure you fully
// understand how DNS and BIND work.  There are sometimes
// non-obvious pitfalls.  Setting up a slave zone is usually simpler.
//
// NB: Don't blindly enable the examples below. :-)  Use actual names
// and addresses instead.

/* An example dynamic zone
key "exampleorgkey" {
	algorithm hmac-md5;
	secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
	type master;
	allow-update {
		key "exampleorgkey";
	};
	file "dynamic/example.org";
};
*/

/* Example of a slave reverse zone
zone "1.168.192.in-addr.arpa" {
	type slave;
	file "slave/1.168.192.in-addr.arpa";
	masters {
		192.168.1.1;
	};
};
*/


Код: Выделить всё

rc.firewall
ipfw -q flush

ipfw -q add allow icmp from 192.169.0.3 to 10.30.1.11 
ipfw -q add allow icmp from 10.30.1.11 to 192.169.0.3

ipfw -q add fwd 127.0.0.1,3128 tcp from 192.169.0.0/24 to any 80 via rl0

ipfw -q add divert natd ip from 192.169.0.0/24 to any out xmit rl0
ipfw -q add divert natd ip from any to 10.98.157.0/24 in recv rl0
ipfw -q add divert natd all from any to any via rl0

ipfw -q add allow ip from any to any via lo0
ipfw -q add allow ip from any to any via vr0
ipfw -q add allow ip from any to any via rl0
ipfw -q add allow ip from any to any 

Код: Выделить всё

rc.conf

hostname="kor-proxy"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"

keymap="ru.koi8-r"
mousechar_start="3"
moused_enable="YES"
moused_flags="3"
saver="daemon"
scrnmap="koi8-r2cp866"

ifconfig_rl0="DHCP"
ifconfig_vr0="inet 192.169.0.254 netmask 255.255.255.0"

usbd_enable="YES"
#inetd_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="/etc/firewall.conf"
named_enable="YES"
squid_enable="YES"

router_flaqs="q"
router="/sbin/routed"
router_enable="YES"
gateway_enable="YES"

natd_enable="YES"
natd_interface="rl0"

Код: Выделить всё

squid.conf

http_port 127.0.0.1:3128 transparent 
cache_mem 64 MB
cache_access_log /usr/local/squid/logs/access.log
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
dns_nameservers 10.30.1.11
log_fqdn off

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443 	# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
acl internetuser src "/usr/local/etc/squid/limitedusers.txt"
acl nolimit src "/usr/local/etc/squid/unlimitedusers.txt"
acl worktime time 10:00-17:00
acl timeD time 06:00-09:55
acl timeE time 17:01-23:59
acl localnet dst 10.98.157.0/24
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny to_localhost
http_access deny worktime internetuser
http_access allow timeD internetuser
http_access allow timeE internetuser
http_access allow nolimit
http_access deny all

visible_hostname proxy

#default
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
http_reply_access allow all
icp_access allow all

Последний раз редактировалось skrond 2008-04-16 15:01:19, всего редактировалось 1 раз.

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: squid + ipfw freebsd 6.3

Непрочитанное сообщение skrond » 2008-04-16 15:00:48

теперь все работает
всем спасибо
:P :D :D :D :D