3proxy + ipfw

[slb51]

Установил 3proxy на сервер, где уже работает ipfw. Надо ли что-то добавлять к правилам фойервола? Если да, то что?
А в конфиге 3proxy ничего не пишется по поводу ipfw? И как можно проверить, работает ли эта связка?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

Код: Выделить всё

ifconfig
ipfw show
sockstat | grep 3proxy

[slb51]

Код: Выделить всё

#ifconfig
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether 00:0b:cd:ce:71:5d
        inet 10.29.61.25 netmask 0xffffff00 broadcast 10.29.61.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
bge1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
        ether 00:0e:7f:7c:ab:9b
        inet 10.52.11.254 netmask 0xffffff00 broadcast 10.52.11.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000

Код: Выделить всё

/#ipfw show
00100   0      0 check-state
00200   0      0 allow ip from any to any via lo0
00300   0      0 deny ip from any to 127.0.0.0/8
00400   0      0 deny ip from 127.0.0.0/8 to any
00500   0      0 deny ip from any to 172.16.0.0/12 in via bge0
00600   0      0 deny ip from any to 192.168.0.0/16 in via bge0
00700   0      0 deny ip from any to 0.0.0.0/8 in via bge0
00800   0      0 deny ip from any to 169.254.0.0/16 in via bge0
00900  42   8836 deny ip from any to 240.0.0.0/4 in via bge0
01000   3   1788 deny icmp from any to any frag
01100   0      0 deny log logamount 100 icmp from any to 255.255.255.255 in via                                                                              bge0
01200   0      0 deny log logamount 100 icmp from any to 255.255.255.255 out via                                                                              bge0
01300 755  72088 deny ip from any to any not verrevpath in
01400 334  33503 allow ip from 10.52.11.0/24 to 10.52.11.0/24 via bge1
01500  20   1649 allow udp from 10.52.11.0/24 to 10.1.35.199,10.29.61.199 dst-po                                                                             rt 53 in via bge1
01600  20   3371 allow udp from 10.1.35.199,10.29.61.199 53 to 10.52.11.0/24 out                                                                              via bge1
01700 268  52891 allow ip from 10.52.11.0/24 to table(10) in via bge1
01800 228  57678 allow ip from table(10) to 10.52.11.0/24 out via bge1
01900 113  26806 allow ip from table(1) to any in via bge1
02000 120  93465 allow ip from any to table(1) out via bge1
02100   0      0 allow ip from any to any dst-port 22 in via bge0
02200   0      0 allow ip from any 22 to any out via bge0
02300   2    210 allow ip from 10.52.11.0/24 to table(12) in via bge1
02400   2    216 allow ip from table(12) to 10.52.11.0/24 out via bge1
02500   0      0 allow ip from table(2) to table(11) in via bge1
02600   0      0 allow ip from table(11) to table(2) out via bge1
02700   0      0 allow ip from 10.52.11.0/24 to 10.1.35.191 in via bge1
02800   0      0 allow ip from 10.1.35.191 to 10.52.11.0/24 out via bge1
02900 403  81556 divert 8668 ip from 10.52.11.0/24 to any out via bge0
03000 407  77604 allow ip from 10.29.61.25 to any out via bge0
03100 378 155986 divert 8668 ip from any to 10.29.61.25 in via bge0
03200 370 154730 allow ip from any to 10.52.11.0/24 in via bge0
03300   0      0 deny ip from 172.16.0.0/12 to any out via bge0
03400   0      0 deny ip from 192.168.0.0/16 to any out via bge0
03500   0      0 deny ip from 0.0.0.0/8 to any out via bge0
03600   0      0 deny ip from 169.254.0.0/16 to any out via bge0
03700   0      0 deny ip from 224.0.0.0/4 to any out via bge0
03800   0      0 deny ip from 240.0.0.0/4 to any out via bge0
03900   0      0 allow udp from any to any dst-port 123 via bge0
04000   0      0 deny tcp from any to 10.29.61.25 in via bge0 setup
04100   0      0 allow tcp from any to 10.29.61.25 in via bge0
04200   0      0 allow icmp from any to 10.29.61.25 in via bge0 icmptypes 0,3,4,                                                                             8,11,12
04300 728  65069 deny log logamount 100 ip from any to any
65535   0      0 deny ip from any to any

Код: Выделить всё

#sockstat | grep 3proxy
root     3proxy     1229  5  tcp4   10.52.11.254:3128     *:*
root     3proxy     1229  6  tcp4   10.52.11.254:1080     *:*

[vadim64]

всё у вас нормально

[slb51]

Спасибо. Я вот ещё не пойму, как логи интерпретировать.

Код: Выделить всё

1308311489.815  PROXY.3128 00000 - 10.52.11.254:3128 10.29.61.25:0 0 0 0 Accepting_connections_[7914/673538368]
1308311489.816  SOCKS.1080 00000 - 10.52.11.254:1080 10.29.61.25:0 0 0 0 Accepting_connections_[7914/673537728]
1308311734.008  PROXY.3128 00000 - 0.0.0.0:0 0.0.0.0:0 0 0 0 Exiting_thread
1308311735.307  SOCKS.1080 00000 - 0.0.0.0:0 0.0.0.0:0 0 0 0 Exiting_thread
1308312076.430  PROXY.3128 00000 - 10.52.11.254:3128 10.29.61.25:0 0 0 0 Accepting_connections_[1229/673538368]
1308312076.431  SOCKS.1080 00000 - 10.52.11.254:1080 10.29.61.25:0 0 0 0 Accepting_connections_[1229/673537728]

[vadim64]

пипец
это в мане по проксику вашему читайте

[slb51]

Маны почитал. Формат лога подправил. Стало более информативно. Но настораживает то, что в логах нет записей с других IP, кроме его собственных интерфейсов. Т.е. я так это понимаю, что запросы с других машин не проходят через проксю? Вот я и спрашиваю, не надо ли в ipfw.conf прописать что-то типа

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

[vadim64]

а весь ipfw show как выглядит?

[slb51]

Код: Выделить всё

/#ipfw show
00100      0         0 check-state
00200    350     49330 allow ip from any to any via lo0
00300      0         0 deny ip from any to 127.0.0.0/8
00400      0         0 deny ip from 127.0.0.0/8 to any
00500      0         0 deny ip from any to 172.16.0.0/12 in via bge0
00600      0         0 deny ip from any to 192.168.0.0/16 in via bge0
00700      0         0 deny ip from any to 0.0.0.0/8 in via bge0
00800     23      2028 deny ip from any to 169.254.0.0/16 in via bge0
00900  22877   3883325 deny ip from any to 240.0.0.0/4 in via bge0
01000     21     12516 deny icmp from any to any frag
01100      0         0 deny log logamount 100 icmp from any to 255.255.255.255 in via bge0
01200      0         0 deny log logamount 100 icmp from any to 255.255.255.255 out via bge0
01300 104960  11811876 deny ip from any to any not verrevpath in
01400   8989    904743 allow ip from 10.52.11.0/24 to 10.52.11.0/24 via bge1
01500    634     46590 allow udp from 10.52.11.0/24 to 10.1.35.199,10.29.61.199 dst-port 53 in via bge1
01600    632     94549 allow udp from 10.1.35.199,10.29.61.199 53 to 10.52.11.0/24 out via bge1
01700   9335   1498736 allow ip from 10.52.11.0/24 to table(10) in via bge1
01800  10713   7627460 allow ip from table(10) to 10.52.11.0/24 out via bge1
01900  18318   2603590 allow ip from table(1) to any in via bge1
02000  24380  24761119 allow ip from any to table(1) out via bge1
02100      0         0 allow ip from any to any dst-port 22 in via bge0
02200      0         0 allow ip from any 22 to any out via bge0
02300  64321   3391589 allow ip from 10.52.11.0/24 to table(12) in via bge1
02400 120516 171192536 allow ip from table(12) to 10.52.11.0/24 out via bge1
02500   1141    216490 allow ip from table(2) to table(11) in via bge1
02600   1491    578617 allow ip from table(11) to table(2) out via bge1
02700    540     80460 allow ip from 10.52.11.0/24 to 10.1.35.191 in via bge1
02800    721    876554 allow ip from 10.1.35.191 to 10.52.11.0/24 out via bge1
02900  94289   7837455 divert 8668 ip from 10.52.11.0/24 to any out via bge0
03000  94423   7817503 allow ip from 10.29.61.25 to any out via bge0
03100 158623 205154847 divert 8668 ip from any to 10.29.61.25 in via bge0
03200 158453 205130835 allow ip from any to 10.52.11.0/24 in via bge0
03300      0         0 deny ip from 172.16.0.0/12 to any out via bge0
03400      0         0 deny ip from 192.168.0.0/16 to any out via bge0
03500      0         0 deny ip from 0.0.0.0/8 to any out via bge0
03600      0         0 deny ip from 169.254.0.0/16 to any out via bge0
03700      0         0 deny ip from 224.0.0.0/4 to any out via bge0
03800      0         0 deny ip from 240.0.0.0/4 to any out via bge0
03900      0         0 allow udp from any to any dst-port 123 via bge0
04000      0         0 deny tcp from any to 10.29.61.25 in via bge0 setup
04100      0         0 allow tcp from any to 10.29.61.25 in via bge0
04200     28      1680 allow icmp from any to 10.29.61.25 in via bge0 icmptypes 0,3,4,8,11,12
04300  81814   7879095 deny log logamount 100 ip from any to any
65535      0         0 deny ip from any to any

[vadim64]

если вы не прописывали ничего на клиентах, то вам нужно прописать этот заворот в фаерволе
нужно учесть, что такой заворот требует чтобы прокси-=сервер был настроен в прозрачный режим

[slb51]

А где видно, прозрачный он или нет? Как сделать, чтобы был прозрачным? (Простите за неграмотность).

[slb51]

И ещё вопрос до кучи.

Код: Выделить всё

#/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Stopping natd.
Waiting for PIDS: 10433.
Are you sure? [yn] y

Т.е. спрашивает подтверждение. Ладно бы только при ipfw restart, но и при перезагрузке сервера тоже, значит удалённо не перезагрузишь. Как можно сделать, чтобы не спрашивал подтверждение?

[vadim64]

не юзайте натд, сделали ж нормальный ядерный нат
а по прокси - конфиг смотрите и ман по проксе читайте

[slb51]

Да вот как раз ядерный-то NAT мне сделать и не удалось. Я его из ядра выкинул и поставил natd. А по 3proxy я в манах что-то не нашёл ответа на свой вопрос. Это надо в proxy-конфиге настраивать, а не в ipfw?

[slb51]

Я всё-таки надеюсь разобраться с Вашей помощью.
Вот такой конфиг у 3proxy

Код: Выделить всё

#less 3proxy.cfg
nserver 10.29.61.199
nserver 10.1.35.199
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
log /var/log/3proxy/3proxy.log D
logformat  "L %d-%m-%Y %H:%M:%S, %U, %C %N, %I, %O, %T"
#archiver gz /usr/bin/gzip %F
rotate 7
external 10.29.61.25
internal 10.52.11.254
daemon
flush
auth iponly
allow * 10.52.11.0/24 * * * 1-5 08:00:00-19:00:00
allow * 10.52.11.143,10.52.11.53 * * * 1-7 08:00:00-24:00:00
proxy -p3128 -n
ftppr
socks
bandlimin 56000 * 10.52.11.59
setgid 65534
setuid 65534
counter "/var/log/3proxy/3proxy.3cf" D "/var/log/3proxy/traf"
countin "1/Сергей" M 300 * 10.52.11.143 * * *
countin "2/Ольга" M 300 * 10.52.11.59 * * *
#monitor "/usr/local/etc/3proxy.users"
monitor "/usr/local/etc/3proxy.cfg"

Конфиг ipfw я показывал ранее. В нём всё работает.
Но если перед строками дивертов добавить forward, работать перестаёт. Т.е. инет становится недоступен:

Код: Выделить всё

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${MyLan} to any http out  via ${if_out}

${fwcmd} add divert natd ip from ${MyLan} to any out via ${if_out}
${fwcmd} add allow ip from ${ip_out} to any out via ${if_out}
${fwcmd} add divert natd ip from any to ${ip_out} in via ${if_out}
${fwcmd} add allow ip from any to ${MyLan} in via ${if_out}

[vadim64]

блин...
завтра...