ipfw с kernel_nat + SQID NTLM

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
CHuDO
проходил мимо
Сообщения: 2
Зарегистрирован: 2009-11-19 17:10:03

ipfw с kernel_nat + SQID NTLM

Непрочитанное сообщение CHuDO » 2010-03-03 20:32:04

Есть рабочий SQID NTLM через IPFW.
---------------------------------------------
Хочу настроить чтоб большая часть машин ходила только через сквид, а сервера и некоторые компы через нат.

Проблема:
1. Не получается одновременно запустить сквид и нат, работает только что то одно из них.
2. Как допускать к нату только определенные айпишники.

Вопросы:
1. Где должны находиться основные правила фильтрации, до ната и его правил или после него?

PS. МОзк съеден, окончательно запутался в этих настройках ((((

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw с kernel_nat + SQID NTLM

Непрочитанное сообщение Alex Keda » 2010-03-03 22:00:19

покажите чё у вас есть, для начала
Убей их всех! Бог потом рассортирует...

CHuDO
проходил мимо
Сообщения: 2
Зарегистрирован: 2009-11-19 17:10:03

Re: ipfw с kernel_nat + SQID NTLM

Непрочитанное сообщение CHuDO » 2010-03-03 22:43:23

То что есть

Код: Выделить всё

 uname -a
FreeBSD redoctober 7.2-STABLE FreeBSD 7.2-STABLE #0: Wed Nov  4 18:08:16 EET 2009     CHuDO@mx.redoctober:/usr/obj/usr/src/sys/REDOCTOBER  i386

Код: Выделить всё

 ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether хх:хх:хх:хх:хх:хх
        inet 194.176.ххх.ххх netmask 0xffffffc0 broadcast 194.176.ххх.ххх
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether хх:хх:хх:хх:хх:хх
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        inet 192.168.0.3 netmask 0xffffffff broadcast 192.168.0.3
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active

Код: Выделить всё

 ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 allow ip from any to any via em1
01000 deny ip from any to 192.168.0.0/16 in recv em0
01000 deny ip from 192.168.0.0/16 to any in recv em0
01000 deny ip from any to 172.16.0.0/12 in recv em0
01000 deny ip from 172.16.0.0/12 to any in recv em0
01000 deny ip from any to 10.0.0.0/8 in recv em0
01000 deny ip from 10.0.0.0/8 to any in recv em0
01000 deny ip from any to 169.254.0.0/16 in recv em0
01000 deny ip from 169.254.0.0/16 to any in recv em0
01210 allow ip from any to 194.176.ххх.ххх dst-port 22 in via em0
01211 allow ip from 194.176.ххх.ххх 22 to any out via em0
01220 allow udp from any to me dst-port 53 in recv em0
01221 allow udp from me 53 to any out xmit em0
01222 allow udp from any 53 to me in recv em0
01223 allow udp from me to any dst-port 53 out xmit em0
01224 allow tcp from any to me dst-port 53 in recv em0 setup
01230 allow ip from any to 194.176.ххх.ххх dst-port 80 in via em0
01231 allow ip from 194.176.ххх.ххх 80 to any out via em0
01240 allow ip from any to 194.176.ххх.ххх dst-port 25 in via em0
01241 allow ip from 194.176.ххх.ххх 25 to any out via em0
01242 allow ip from any to 194.176.ххх.ххх dst-port 110 in via em0
01243 allow ip from 194.176.ххх.ххх 110 to any out via em0
01244 allow ip from any to 194.176.ххх.ххх dst-port 143 in via em0
01245 allow ip from 194.176.ххх.ххх 143 to any out via em0
01250 allow icmp from any to any
01430 allow ip from any to 194.176.ххх.ххх dst-port 1024-65535 in via em0
01431 allow ip from 194.176.ххх.ххх 1024-65535 to any out via em0
65534 deny ip from any to any
65535 deny ip from any to any

Код: Выделить всё

 squid -v
Squid Cache: Version 3.1.0.14
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/usr/local/squid/logs' '--with-pidfile=/usr/local/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP SASL YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-icmp' '--enable-ipfw-transparent' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.2' 'build_alias=i386-portbld-freebsd7.2' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/local/include -I/usr/local/include  -I/usr/include -DLDAP_DEPRECATED' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/local/include -I/usr/local/include -I/usr/include -DLDAP_DEPRECATED' --with-squid=/usr/ports/www/squid31/work/squid-3.1.0.14 --enable-ltdl-convenience
Что еще нужно???