squid transparent + fwd 127.0.0.1:3128 не работает

[Mishgan_]

FreeBSD 6.2
squi 2.6.16
в ядре IPFIREWALL
IPFIREWALL_FORWARD
IPDIVERT

в конфиге сквида
http_port 3128 transparent

в ipfw первое правило fwd 127.0.0.1:3128 tcp from внутренняя сеть to any 80 via внешний интерфейс
это правило не отрабатывает....

т.е. прокся работает если ее указать в браузере, но ей пакеты не перенаправляются автоматом....
хелп ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

если в браузере указать - то это непрозрачная.
и конфигом они различаются.
чё-то ты где-то путаешь - выкадывай

Код: Выделить всё

ipfw list

и конфиг прокси (без камментов)
========
и юзай кнопочку

Код: Выделить всё

[Mishgan_]

Код: Выделить всё

ipfw show
00010  0    0 fwd 127.0.0.1,3128 tcp from 192.168.10.0/24 to any dst-port 80 via vr0
00100  0    0 allow ip from any to any via lo0
00200 16 1384 allow ip from 192.168.1.99 to 192.168.1.10 dst-port 333 via vr0
00300  0    0 deny ip from any to 127.0.0.0/8
00400  0    0 deny ip from 127.0.0.0/8 to any
00500  0    0 deny ip from 192.168.10.0/24 to any in via vr0
00600  0    0 deny ip from 192.168.1.0/24 to any in via rl0
00700  0    0 deny ip from any to 10.0.0.0/8 in via vr0
00800  0    0 deny ip from any to 172.16.0.0/12 in via vr0
00900  0    0 deny ip from any to 0.0.0.0/8 in via vr0
01000  0    0 deny ip from any to 169.254.0.0/16 in via vr0
01100  0    0 deny ip from any to 224.0.0.0/4 in via vr0
01200  1   38 deny ip from any to 240.0.0.0/4 in via vr0
01300  0    0 deny icmp from any to any frag
01400  0    0 deny log logamount 100 icmp from any to 255.255.255.255 in via vr0
01500  0    0 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
01600 42 6395 divert 8668 ip from any to any via vr0
01700  0    0 deny ip from 10.0.0.0/8 to any out via vr0
01800  0    0 deny ip from 172.16.0.0/12 to any out via vr0
01900  0    0 deny ip from 0.0.0.0/8 to any out via vr0
02000  0    0 deny ip from 169.254.0.0/16 to any out via vr0
02100  0    0 deny ip from 224.0.0.0/4 to any out via vr0
02200  0    0 deny ip from 240.0.0.0/4 to any out via vr0
02300  0    0 allow icmp from any to any icmptypes 0,8,11
02400  4  287 allow ip from any to 192.168.10.0/24 in via rl0
02500  1   56 allow ip from 192.168.10.0/24 to any out via rl0
02600 15 3836 allow tcp from any to any established
02700  0    0 allow udp from any to 192.168.1.10 dst-port 53 in via vr0
02800  0    0 allow udp from 192.168.1.10 53 to any out via vr0
02900  0    0 allow udp from any 53 to 192.168.1.10 in via vr0
03000  0    0 allow udp from 192.168.1.10 to any dst-port 53 out via vr0
03100  0    0 allow udp from any to any dst-port 123 via vr0
03200  0    0 allow tcp from any to 192.168.1.10 dst-port 53 in via vr0 setup
03300  0    0 allow tcp from any to 192.168.1.10 dst-port 25 in via vr0 setup
03400  0    0 allow tcp from any to 192.168.1.10 dst-port 22 in via vr0 setup
03500  0    0 allow tcp from any to 192.168.1.10 dst-port 20,21 in via vr0 setup
03600  0    0 allow tcp from any to 192.168.1.10 dst-port 49152-65535 via vr0
03700  0    0 deny log logamount 100 tcp from any to 192.168.1.10 in via vr0 setup
03800  0    0 allow tcp from 192.168.1.10 to any out via vr0 setup
03900  0    0 allow tcp from any to 192.168.1.10 in via rl0 setup
04000  0    0 allow tcp from 192.168.10.0/24 to any dst-port 5190 in via rl0 setup
04100 39 3362 deny ip from any to any
65535  7  848 deny ip from any to any

Код: Выделить всё

http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/var/cache 2048 64 256
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
cache_store_log /usr/local/squid/var/logs/store.log
cache_mgr mishgan_@uralmetcom.ru
visible_hostname router.local
tcp_outgoing_address 192.168.1.10
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       \
"/usr/local/squid/var/lists/allowed_sites.conf"
acl     limited_IP      src             \
"/usr/local/squid/var/lists/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.10.0/255.255.255.0
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

Вроде все так....

[InventoR]

00408 369365 85982838 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,8080 via rl0 in
Правило in out

[Mishgan_]

00408 369365 85982838 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,8080 via rl0 in
Правило in out

у меня на 4.11 + squid 2.5 работает

Код: Выделить всё

00030  6489181  1152759472 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,8080 via rl1

но в squid.ocnf другие опции

Код: Выделить всё

http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

их в squid 2.6 заменили на

Код: Выделить всё

http_port 3128 transparent

[Mishgan_]

Ноарод, неужели ни у кого нет мыслей по настройке связки freebsd 6.2 + ipfw + squid transparent ?

[Alex Keda]

дык...
у всех работает....

[Mishgan_]

lissyara 2007-11-07 0:35:44
дык...
у всех работает....

Такого ответа не ожидал, но спасибо...

[Alex Keda]

ye - а что ответить.
навскидку - у тя всё правильно, но сам я прозрачную проксю уже год не делал - поэтому ответить затрудняюсь.
могу выложить свои конфиги с версиями.

[-cat-]

Трафик локализован внутри сети:
У тебя

Код: Выделить всё

02400  4  287 allow ip from any to 192.168.10.0/24 in via rl0
02500  1   56 allow ip from 192.168.10.0/24 to any out via rl0

Подумай что должно быть, чтобы пакет попал под первое правило.

[Mishgan_]

сначала добавил правила для конечного пользователя

Код: Выделить всё

04200   31   1488 allow tcp from 192.168.10.2 to not 192.168.10.0/24 in via rl0 setup

работать лучше не стало
поделил правила divert

Код: Выделить всё

01600   20   4131 divert 8668 ip from 192.168.10.0/24 to any out via vr0
01700  218 197794 divert 8668 ip from any to 192.168.1.10 in via vr0

опять глухо, но что-то подсосалось из кеша....
разрешил udp до DNS-ки

Код: Выделить всё

04000    7    654 allow udp from any to 192.168.1.97 dst-port 53
04100   14   2564 allow udp from 192.168.1.97 53 to any

заработало.... посмотрите плз листинг правил, может я что-то еще перемудрил ?

Код: Выделить всё

00010  259  33848 fwd 127.0.0.1,3128 tcp from 192.168.10.0/24 to any dst-port 80,8080 via vr0
00100    0      0 allow ip from any to any via lo0
00200  434  38732 allow tcp from 192.168.1.99 to 192.168.1.10 dst-port 333 via vr0
00300    0      0 deny ip from any to 127.0.0.0/8
00400    0      0 deny ip from 127.0.0.0/8 to any
00500    0      0 deny ip from 192.168.10.0/24 to any in via vr0
00600    0      0 deny ip from 192.168.1.0/24 to any in via rl0
00700    0      0 deny ip from any to 10.0.0.0/8 in via vr0
00800    0      0 deny ip from any to 172.16.0.0/12 in via vr0
00900    0      0 deny ip from any to 0.0.0.0/8 in via vr0
01000    0      0 deny ip from any to 169.254.0.0/16 in via vr0
01100    0      0 deny ip from any to 224.0.0.0/4 in via vr0
01200    9   2082 deny ip from any to 240.0.0.0/4 in via vr0
01300    0      0 deny icmp from any to any frag
01400    0      0 deny log logamount 100 icmp from any to 255.255.255.255 in via vr0
01500    0      0 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
01600   20   4131 divert 8668 ip from 192.168.10.0/24 to any out via vr0
01700  218 197794 divert 8668 ip from any to 192.168.1.10 in via vr0
01800    0      0 deny ip from 10.0.0.0/8 to any out via vr0
01900    0      0 deny ip from 172.16.0.0/12 to any out via vr0
02000    0      0 deny ip from 0.0.0.0/8 to any out via vr0
02100    0      0 deny ip from 169.254.0.0/16 to any out via vr0
02200    0      0 deny ip from 224.0.0.0/4 to any out via vr0
02300    0      0 deny ip from 240.0.0.0/4 to any out via vr0
02400    4    240 allow icmp from any to any icmptypes 0,8,11
02500    0      0 allow tcp from any to 192.168.10.0/24 in via rl0
02600    0      0 allow tcp from 192.168.10.0/24 to any out via rl0
02700 1332 569069 allow tcp from any to any established
02800    1    123 allow udp from any 53 to 192.168.1.10 in via vr0
02900    8    713 allow udp from 192.168.1.10 to any dst-port 53 out via vr0
03000    0      0 allow udp from any to any dst-port 123 via vr0
03100    0      0 allow tcp from any to 192.168.1.10 dst-port 53 in via vr0 setup
03200    0      0 allow tcp from any to 192.168.1.10 dst-port 25 in via vr0 setup
03300    0      0 allow tcp from any to 192.168.1.10 dst-port 22 in via vr0 setup
03400    0      0 allow tcp from any to 192.168.1.10 dst-port 20,21 in via vr0 setup
03500    0      0 allow tcp from any to 192.168.1.10 dst-port 49152-65535 via vr0
03600    0      0 deny log logamount 100 tcp from any to 192.168.1.10 in via vr0 setup
03700   14    880 allow tcp from 192.168.1.10 to any out via vr0 setup
03800    0      0 allow tcp from any to 192.168.1.10 in via rl0 setup
03900    0      0 allow tcp from 192.168.10.0/24 to any dst-port 5190 in via rl0 setup
04000    7    654 allow udp from any to 192.168.1.97 dst-port 53
04100   14   2564 allow udp from 192.168.1.97 53 to any
04200   31   1488 allow tcp from 192.168.10.2 to not 192.168.10.0/24 in via rl0 setup
04300  330  34357 deny ip from any to any
65535   35   1990 deny ip from any to any