Есть рабочий SQID NTLM через IPFW.
---------------------------------------------
Хочу настроить чтоб большая часть машин ходила только через сквид, а сервера и некоторые компы через нат.
Проблема:
1. Не получается одновременно запустить сквид и нат, работает только что то одно из них.
2. Как допускать к нату только определенные айпишники.
Вопросы:
1. Где должны находиться основные правила фильтрации, до ната и его правил или после него?
PS. МОзк съеден, окончательно запутался в этих настройках ((((
ipfw с kernel_nat + SQID NTLM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ipfw с kernel_nat + SQID NTLM
покажите чё у вас есть, для начала
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2009-11-19 17:10:03
Re: ipfw с kernel_nat + SQID NTLM
То что есть
Что еще нужно???
Код: Выделить всё
uname -a
FreeBSD redoctober 7.2-STABLE FreeBSD 7.2-STABLE #0: Wed Nov 4 18:08:16 EET 2009 CHuDO@mx.redoctober:/usr/obj/usr/src/sys/REDOCTOBER i386
Код: Выделить всё
ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether хх:хх:хх:хх:хх:хх
inet 194.176.ххх.ххх netmask 0xffffffc0 broadcast 194.176.ххх.ххх
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether хх:хх:хх:хх:хх:хх
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet 192.168.0.3 netmask 0xffffffff broadcast 192.168.0.3
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
Код: Выделить всё
ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow ip from any to any via em1
01000 deny ip from any to 192.168.0.0/16 in recv em0
01000 deny ip from 192.168.0.0/16 to any in recv em0
01000 deny ip from any to 172.16.0.0/12 in recv em0
01000 deny ip from 172.16.0.0/12 to any in recv em0
01000 deny ip from any to 10.0.0.0/8 in recv em0
01000 deny ip from 10.0.0.0/8 to any in recv em0
01000 deny ip from any to 169.254.0.0/16 in recv em0
01000 deny ip from 169.254.0.0/16 to any in recv em0
01210 allow ip from any to 194.176.ххх.ххх dst-port 22 in via em0
01211 allow ip from 194.176.ххх.ххх 22 to any out via em0
01220 allow udp from any to me dst-port 53 in recv em0
01221 allow udp from me 53 to any out xmit em0
01222 allow udp from any 53 to me in recv em0
01223 allow udp from me to any dst-port 53 out xmit em0
01224 allow tcp from any to me dst-port 53 in recv em0 setup
01230 allow ip from any to 194.176.ххх.ххх dst-port 80 in via em0
01231 allow ip from 194.176.ххх.ххх 80 to any out via em0
01240 allow ip from any to 194.176.ххх.ххх dst-port 25 in via em0
01241 allow ip from 194.176.ххх.ххх 25 to any out via em0
01242 allow ip from any to 194.176.ххх.ххх dst-port 110 in via em0
01243 allow ip from 194.176.ххх.ххх 110 to any out via em0
01244 allow ip from any to 194.176.ххх.ххх dst-port 143 in via em0
01245 allow ip from 194.176.ххх.ххх 143 to any out via em0
01250 allow icmp from any to any
01430 allow ip from any to 194.176.ххх.ххх dst-port 1024-65535 in via em0
01431 allow ip from 194.176.ххх.ххх 1024-65535 to any out via em0
65534 deny ip from any to any
65535 deny ip from any to any
Код: Выделить всё
squid -v
Squid Cache: Version 3.1.0.14
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/usr/local/squid/logs' '--with-pidfile=/usr/local/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP SASL YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-icmp' '--enable-ipfw-transparent' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.2' 'build_alias=i386-portbld-freebsd7.2' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED' --with-squid=/usr/ports/www/squid31/work/squid-3.1.0.14 --enable-ltdl-convenience