SQUID+IPFW+IPNAT!

[yan]

Доброе время суток!

Есть локальная сеть, где в качестве шлюза стоит Фряха 7 ветки. На ней поднял Squid+IPFW+IPNAT. В файрволе заворачиваются все на squid, нужные порты на почту 25-110 открыты. Далее проверяю работу(все отлично работает, запрос логина пароля и.тд) за исключением одного НО - не могу принять и отправить почту. Далее прописываю в нате - map xl0 192.168.1.1/24 -> 89.XXX.XXX.XXX (ип сетевухи которая смотирт в инет)
Проверяю все ок, почта пошла, НО! -> В браузере ввожу настройки прокси, инет работает нормально, далее убираю настройки прокси из браузера и опять же интернет РАБОТАЕТ напрямую в обход прокси... А это надо запретить, т.е. надо, чтобы пользователи могли ходить в инет ТОЛЬКО через прокси-сервер, чтобы можно было учитывать их трафик.

Если мапинг не делать почта не работает... а с мапингом юзеры в нет выходят в обход прокси... где засада подскажите коллеги.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

squid в режим транспарент прокси
и fwd в него
тогда никто мимо не пройдет

[yan]

Если можно, распиши по строчно нужные мне правила. Заранее благодарен!!!

Вот таким образом у меня в файрволе fwd на сквид

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} 

верное правило?

Тоесть нужен прозрачный сквид(Transparent proxy) для етого правила? Потому как на данный момент у меня сквид НЕ прозрачный, правило прописано результат тотже...

Добавил в конфиг следующие строки для Transparent Proxy:

Код: Выделить всё

http_port 127.0.0.1:3128 
httpd_accel_host virtual 
httpd_accel_port 80 # перенаправление пакетов поступающих на 80 порт 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on

собственно это мне нужно для нужной работы прокси?

[yan]

Up коллеги, для меня етот вопрос еще актуальный.

хелп как говорится

[manefesto]

вечером стукнись в аську...посмотрю как у меня

[yan]

ок, до связи!

[yan]

товариЩи вопрос все еще актуален!

[paradox]

ну так у тебя в конфигах вроде все правильно
что не работае то ?)

[manefesto]

у него на проксю форвард не срабатывает

[paradox]

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via out 89.x.x.x.x

сделать множество запросов в екплоере
и показать ipfw show


я надеюсь у него там фря не в бридже

[yan]

щас меня интересует как сделать проброс в IPNATE , т.к natd я не использую.

на данный момент вся сетка выпущена через нат и всё ходит и почта и инет. Если ввожу прокси в браузере все нормально работает - запрос логина и паса выскакивает(тоесть прокси работает), стоит мне убрать проксю из браузера инет также работает, только без запроса логина и паса, а на прямую. Вообщем неразбериха какая-то... А если проброс убираю прокся пашет инет ходит, а почта не идет - ну ето логично в принципе.

[paradox]

причет тут ipnat
ты сам непонимаешь что ты хочешь
пытаешься бутерброды сосискаки запивать))

[yan]

Ipnat как раз при том - т.к в нем сделан map xl0 192.168.1.0/24 -> Внешний ип БСД. - ето говорит о том что вся подсеть моя смотрит в нет напрямую.

В этом случае инет работает без настроек браузера (прокси).

Стоит мне убрать етот мапинг , инет ходит исключительно через проксю , НО почта не РАБОТАЕТ!

По логике вещей нужно заменить етот мапинг map xl0 192.168.1.0/24 -> Внешний ип БСД. таким образом чтобы подсети 192.168.1.0/24 был разрешен выход в нет напрямую ТОЛЬКО на порты 25 и 110. Как грамотно прописать это в ipnat я хз.(потому и спрашиваю). Вообщем надеюсь щас я более внятнее обьяснил что и как.

[schizoid]

можно вроде в почтовых клиентах проксю указывать...

[yan]

можно вроде в почтовых клиентах проксю указывать...

Прокся по своей сути не может работать с pop3/smtp
независимо есть настройки прокси в почте или нету их.... если бы было все так просто.

[schizoid]

да ну...
со сквидом не работал, а вот 3proxy точно умеет с почтой работать.

[yan]

в моем случае ето squid, так что без комментариев=)

[paradox]

ipnat не занимаеться разрешением/запретом
этим фаервол занимаеться


ну так пусть map остаеться
просто нужно понимать
что у вас есть внутренный интерфейс(сетевка)
и внешний
на внешнем висит ваш map
котроый позволяет всему ходить к вам и от вас

а на нтурненний нужно прописать правило в фаерволе
которое разрешает к серверу токо по указаным портам
и усе

[yan]

буду благодарен если вы озвучите ето самое правило. Моя проблема отпадет сразу.

[yan]

Проблема решена.

Грабли были в файрволе а именно надо было закрыть доступ по 80 порту с внутреннего интерфейса на внешний.


paradox , благодарю что направил на правельный путь) +

[dgsc]

Такая же потчти ситуация ток вместо ipfw используется ipf ,ipnat включен на ppp0.То есть имеется два физических соединения xl0 -локальная
rl0 -модем и pppoe тунель tun0.Не как неполучается настроить ,чтобы пользователь локальной сети использовали интернет только через прокси сервер squid c стандартным портом ,почта соответсвенно через нат.Планировалось натить только определённые порты.Для этого в файрволе на внутренем интерфейсе открыты 25,110,3128 порты ,на интерфейсе с модемом открыты все,на внешнем только необходимые порты для работы и интернета.
в squid.conf
http_port 192.168.0.1:3128 transparent
в ipnat.rules
rdr xl0 0.0.0.0/0 port 80 -> 192.168.0.1 port 3128 tcp
rdr xl0 0.0.0.0/0 port 8080 -> 192.168.0.1 port 3128 tcp
В настройках клиентского компа прописан и шлюз и днс ,Далее пользователь ходит и как через прокси так и без ,объяснить пожайлуста что не так.
Squid пока без авторизации в целях настройки.

[goshanecr]

Во-первых, чтобы был прозрачный повесь squid на локалхост 127.0.0.1:3128

Код: Выделить всё

http_port 127.0.0.1:3128 transparent

Причём когда сквид работает прозрачным прокси, то в браузере никаких настроек прокси вводить не надо на него заворачиваются все запросы по 80 и 8080 портам твоими правилами ipf (тоже в таком случае надо заворачивать на 127.0.0.1:3128)

Код: Выделить всё

rdr xl0 192.168.0.0/24 port 80 -> 127.0.0.1 port 3128 tcp
rdr xl0 192.168.0.0/24 port 8080 -> 127.0.0.1 port 3128 tcp

. Соответственно в прозрачном режиме сквид не будет просить никаких логинов/паролей для доступа в сеть а просто незаметно для пользователей заниматься своим делом. Если надо с логином паролем чтобы через прокси ходил, тогда сквид вешай на 192.168.0.1 и НЕ в transparent ну и заворачивай правилами ipf всё уже на 192.168.0.1

[dgsc]

Спасибо !!! За ответ [quote="goshanecr"]! Попробовал воопщем как вы описали ,настроил авторизацию по логину и паролю через АД + sams .