Pf+ прозрачный SQUID

[byasha]

Категорически приветствую!
Подскажите, куда копать.
Что-то мне подсказывает, что поведение системы не штатное.

Код: Выделить всё

FreeBSD  10.0-RELEASE-p11 FreeBSD 10.0-RELEASE-p11 #1: Mon Oct 27 16:37:37 MSK 2014     root@:/usr/obj/usr/src/sys/PF1306IP6  amd64

Ставлю связку Squid + pf.
Squid прозрачный, для этого
1) В ядре

Код: Выделить всё

# PF
device pf
device pflog
device pfsync

2) В /etc/rc.conf

Код: Выделить всё

#PF
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""

3) /etc/pf.conf

Код: Выделить всё

rdr on em2 proto { tcp } from 172.20.0.0/16 to any port 80 -> 127.0.0.1 port 3128

4) squid.conf (Версия 3.4)

Код: Выделить всё

http_port 127.0.0.1:3129
http_port 127.0.0.1:3128 intercept

Конфиги написал, запустил, все работает
Но, после reboot не поднимается связка Squid + pf. И нет интернета в сети. Squid валиться с ошибкой доступа к pf.

Код: Выделить всё

PF open failed: (13) Permission denied

Исправляется: Если руками Выставлять на псевдоустройство

Код: Выделить всё

/dev/pf
root:squid 0640

И сразу-же работает, но после reboot

Код: Выделить всё

/dev/pf имеет root:squid 0600

И опять руками править. Для автоматического изменения В файле /etc/devfs.conf дописываю

Код: Выделить всё

# Allow Squid read acess to /dev/pf
own pf root:squid
perm pf 0640

и далее
/etc/rc.d/devfs restart
Теоретически что должно произойти.
При своем рестарте демон devfs согласно конфигу /etc/devfs.conf
выставит права на устройства в папке /dev/
И та же самая ситуация должна произойти при reboot системы
НО ЭТОГО НЕ ПРОИСХОДИТ.
Застраховался, но как-то гламурно: по crontab -e прописал

Код: Выделить всё

@reboot /home/aaa/start.sh
####
#start.sh
####
chmod 640 /dev/pf

После перезагрузки права на /dev/pf именно 640 и интернет в сети есть,
но в логи SQUID валяться ошибки доступа к PF

PF open failed: (13) Permission denied

При перезагрузке squid и в логах нормально. Но значит, что я что-то не доделал.
Как решить проблему штатно, без костылей?

Или, если более обще - как мне добиться того, что бы /dev/pf
при reboot системы имел root:squid 0640 и соответственно работала моя связка SQUID+pf.

И вообще, откуда берется список устройств в /dev/pf и каким образом на них выставляются права
(Читал документацию и вычитал, что при перезагрузке системы эти устройства удаляются
и при старте создаются вновь. Или же вторая версия, что список этих устройств архивируется при отключении и при
старте разархивируется. В обоих случаях права выставляться должны уже после того как они созданы при старте. Но вот как??? )

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dekloper]

а при сборке сквиды стоит галка прозрачности совместно с пакетным фильтром? (make showconfig | grep Transp)

[byasha]

Безусловно стоит!!! При этом ведь работает связка, но до перезагрузки. Как мне кажется вопрос все-таки в настройках

[dekloper]

devfs вроде правильный.. сдается мне у вас система кривопатченая, вот и скрипты стартовые не отрабатывают как положено..
я бы до stable поднялся..

[byasha]

Ставил с одного и того-же образа, слитого с freebsd.org, в двух разных местах. В одном все нормально, в другом нет. Так что может встала криво, но как это проверить? Ведь неотработка стартовых скриптов, по Вашей версии, - это следствие. Дополнительный вопрос. А порядок установки pf и squid роль играет? Это я в плане прав на /dev/pf?

[skeletor]

Никогда не испытывал никаких трудностей с pf+transparent squid, правда это было на версиях 7-9. Я всегда собирал squid с опцией TP_PF.

[byasha]

Господа
Проблема все-таки в
/dev/pf имеет root:squid 0600

Для автоматического изменения В файле /etc/devfs.conf
# Allow Squid read acess to /dev/pf
own pf root:squid
perm pf 0640

Но вот это и не отрабатывается.
Может есть у кого какие идеи насчет того как выставить
права 0640 на /dev/pf

[byasha]

Господа!!!
Кажется проблема решена!!! Если кому пригодиться, то буду рад.
Делал по инструкции из конфига
# Allow members of group operator to cat things to the speaker
#own speaker root:operator
#perm speaker 0660

То есть сначала Владельца, а потом права

РАБОЧИЙ ВАРИАНТ
Сначала права, а потом владельца

# Allow Squid read acess to /dev/pf
perm pf 0640
own pf root:squid

[dekloper]

та ну на.. у меня овнер первым стоит и всё в поряде..

[byasha]

За что купил...
Думаю тему можно закрывать. А то флуд получается.