Pf+ прозрачный SQUID

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-01 21:12:03

Категорически приветствую!
Подскажите, куда копать.
Что-то мне подсказывает, что поведение системы не штатное.

Код: Выделить всё

FreeBSD  10.0-RELEASE-p11 FreeBSD 10.0-RELEASE-p11 #1: Mon Oct 27 16:37:37 MSK 2014     root@:/usr/obj/usr/src/sys/PF1306IP6  amd64
Ставлю связку Squid + pf.
Squid прозрачный, для этого
1) В ядре

Код: Выделить всё

# PF
device pf
device pflog
device pfsync
2) В /etc/rc.conf

Код: Выделить всё

#PF
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
3) /etc/pf.conf

Код: Выделить всё

rdr on em2 proto { tcp } from 172.20.0.0/16 to any port 80 -> 127.0.0.1 port 3128
4) squid.conf (Версия 3.4)

Код: Выделить всё

http_port 127.0.0.1:3129
http_port 127.0.0.1:3128 intercept
Конфиги написал, запустил, все работает
Но, после reboot не поднимается связка Squid + pf. И нет интернета в сети. Squid валиться с ошибкой доступа к pf.

Код: Выделить всё

PF open failed: (13) Permission denied
Исправляется: Если руками Выставлять на псевдоустройство

Код: Выделить всё

/dev/pf
root:squid 0640
И сразу-же работает, но после reboot

Код: Выделить всё

/dev/pf имеет root:squid 0600
И опять руками править. Для автоматического изменения В файле /etc/devfs.conf дописываю

Код: Выделить всё

# Allow Squid read acess to /dev/pf
own pf root:squid
perm pf 0640
и далее
/etc/rc.d/devfs restart
Теоретически что должно произойти.
При своем рестарте демон devfs согласно конфигу /etc/devfs.conf
выставит права на устройства в папке /dev/
И та же самая ситуация должна произойти при reboot системы
НО ЭТОГО НЕ ПРОИСХОДИТ.
Застраховался, но как-то гламурно: по crontab -e прописал

Код: Выделить всё

@reboot /home/aaa/start.sh
####
#start.sh
####
chmod 640 /dev/pf
После перезагрузки права на /dev/pf именно 640 и интернет в сети есть,
но в логи SQUID валяться ошибки доступа к PF

PF open failed: (13) Permission denied

При перезагрузке squid и в логах нормально. Но значит, что я что-то не доделал.
Как решить проблему штатно, без костылей?

Или, если более обще - как мне добиться того, что бы /dev/pf
при reboot системы имел root:squid 0640 и соответственно работала моя связка SQUID+pf.

И вообще, откуда берется список устройств в /dev/pf и каким образом на них выставляются права
(Читал документацию и вычитал, что при перезагрузке системы эти устройства удаляются
и при старте создаются вновь. Или же вторая версия, что список этих устройств архивируется при отключении и при
старте разархивируется. В обоих случаях права выставляться должны уже после того как они созданы при старте. Но вот как??? )
Последний раз редактировалось f_andrey 2014-11-02 2:14:26, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1330
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение dekloper » 2014-11-02 18:25:48

а при сборке сквиды стоит галка прозрачности совместно с пакетным фильтром? (make showconfig | grep Transp)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-02 22:48:32

Безусловно стоит!!! При этом ведь работает связка, но до перезагрузки. Как мне кажется вопрос все-таки в настройках

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1330
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение dekloper » 2014-11-03 2:21:32

devfs вроде правильный.. сдается мне у вас система кривопатченая, вот и скрипты стартовые не отрабатывают как положено..
я бы до stable поднялся..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-03 3:51:41

Ставил с одного и того-же образа, слитого с freebsd.org, в двух разных местах. В одном все нормально, в другом нет. Так что может встала криво, но как это проверить? Ведь неотработка стартовых скриптов, по Вашей версии, - это следствие. Дополнительный вопрос. А порядок установки pf и squid роль играет? Это я в плане прав на /dev/pf?

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение skeletor » 2014-11-03 10:48:51

Никогда не испытывал никаких трудностей с pf+transparent squid, правда это было на версиях 7-9. Я всегда собирал squid с опцией TP_PF.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-05 14:28:36

Господа
Проблема все-таки в
/dev/pf имеет root:squid 0600

Для автоматического изменения В файле /etc/devfs.conf
# Allow Squid read acess to /dev/pf
own pf root:squid
perm pf 0640

Но вот это и не отрабатывается.
Может есть у кого какие идеи насчет того как выставить
права 0640 на /dev/pf

byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-05 14:50:05

Господа!!!
Кажется проблема решена!!! Если кому пригодиться, то буду рад.
Делал по инструкции из конфига
# Allow members of group operator to cat things to the speaker
#own speaker root:operator
#perm speaker 0660

То есть сначала Владельца, а потом права

РАБОЧИЙ ВАРИАНТ
Сначала права, а потом владельца

# Allow Squid read acess to /dev/pf
perm pf 0640
own pf root:squid

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1330
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение dekloper » 2014-11-05 15:41:26

та ну на.. у меня овнер первым стоит и всё в поряде..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

byasha
проходил мимо
Сообщения: 6
Зарегистрирован: 2014-11-01 20:41:50

Re: Pf+ прозрачный SQUID

Непрочитанное сообщение byasha » 2014-11-05 22:12:42

За что купил...
Думаю тему можно закрывать. А то флуд получается.