ipfw squid 2 setevie

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

ipfw squid 2 setevie

Непрочитанное сообщение dimidrol80 » 2008-12-24 17:01:29

итак входные данные
имеется шлюз на фре 6.3 i386 ядро собрано с подержкой ipfw nat
на шлюзе установлен squid apach sams mysql dhcp named
squid не прозрачный авторизация в ad в настройках груповых политик установлен прокси все работает
в сервер была добавлена еще одна сетефуха для развертывания WiFi
под нее и прикручен Ddns+dhcp для раздавания ip пользователям +Proxy Avto Konfigure
но на беду или счастье :smile: не все пользуются продуктом микрософта
нужно правилами фаервола завернуть трафик с подсети на squid (авторизация нужна в любом случае) нат не нужен (пользователям надо тока лазить по сайтам и ничего больше)
правило фаервола не срабатывает

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,80 tcp from 10.0.3.0/24 to any 80,443,5190 out via ${LanOut}
как мне завернуть трафик с подсети на squid?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw squid 2 setevie

Непрочитанное сообщение paradox » 2008-12-24 17:05:02

должно все срабатывать
смотри фаервол по правилам выше

ну и в ядре убедись что форвард скомпилен

dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

Re: ipfw squid 2 setevie

Непрочитанное сообщение dimidrol80 » 2008-12-25 10:25:13

да действительно моя ошыбка :oops:
правило работает
тепер другая проблема
если в настройках squid.conf ставлю что сквид транспарент то юзера в которых статически настроены браузеры получают запрос авторизации
а юзеры в которые идут по правилу фаервола получают ACCESS DENIED
убираю из squid.conf транспарент получаю

Код: Выделить всё

While trying to process the request: 

GET / HTTP/1.1
Accept: */*
Referer: http://mail.ru/
Accept-Language: ru
UA-CPU: x86
Accept-Encoding: gzip, deflate
If-Modified-Since: Wed, 24 Dec 2008 19:22:05 GMT; length=74309
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: mail.ru
Connection: Keep-Alive
Cookie: mrcu=E89749525F017EB3A6B77978C152; p=tH1XADzuSQAA; VID=0VUMiB0GcB0b


The following error was encountered: 

Invalid Request 
Some aspect of the HTTP Request is invalid. Possible problems: 

Missing or unknown request method 
Missing URL 
Missing HTTP Identifier (HTTP/1.0) 
Request is too large 
Content-Length missing for POST or PUT requests 
Illegal character in hostname; underscores are not allowed 

помогите извратится чтоб и в том и в етом случае выдавало запрос авторизации

Код: Выделить всё

9:21 /home/#squid -v
Squid Cache: Version 2.7.STABLE5
9:23 /home/#uname -v
FreeBSD 6.3-RELEASE-p6 #2: Wed Dec 24 13:57:23 EET 2008     root@ns.dyvosvit.kiev.ua:/usr/obj/usr/src/sys/ProxyWiFi

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw squid 2 setevie

Непрочитанное сообщение paradox » 2008-12-25 10:30:58

если я правильно понял
то авторизацию через транспарент сделать нельзя

dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

Re: ipfw squid 2 setevie

Непрочитанное сообщение dimidrol80 » 2008-12-25 10:48:15

в том то и все дело, надо чтоб юзеры которые проходят по правилу фаервола получали запрос на авторизацию

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw squid 2 setevie

Непрочитанное сообщение paradox » 2008-12-25 10:57:25

авторизацию через транспарент сделать нельзя
это в документации на сквид написано

dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

Re: ipfw squid 2 setevie

Непрочитанное сообщение dimidrol80 » 2008-12-25 11:45:59

значит у меня какойто глючный сквит так как при установке транспарент
у тех пользователей у которых настройки статически прописаны получают запрос авторизации, что мне и нужно.
Но проблема не в етом, мне нужно чтоб всем пользователям выдавало запрос авторизации
а пользователям которые проходят по правилу фаервола выдает

Код: Выделить всё

The following error was encountered: 

Invalid Request 
Some aspect of the HTTP Request is invalid. Possible problems: 

Missing or unknown request method 
Missing URL 
Missing HTTP Identifier (HTTP/1.0) 
Request is too large 
Content-Length missing for POST or PUT requests 
Illegal character in hostname; underscores are not allowed 

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw squid 2 setevie

Непрочитанное сообщение paradox » 2008-12-25 11:48:25

у тех пользователей у которых настройки статически прописаны получают запрос авторизации
авторизацию через транспарент сделать нельзя

или я чего то непонимаю

dimidrol80
рядовой
Сообщения: 38
Зарегистрирован: 2008-06-07 17:50:21
Контактная информация:

Re: ipfw squid 2 setevie

Непрочитанное сообщение dimidrol80 » 2008-12-25 12:26:12

если в настройках squid.conf ставлю что сквид транспарент то юзера в которых статически настроены браузеры получают запрос авторизации
а юзеры в которые идут по правилу фаервола получают ACCESS DENIED
что в принцепе и правильно так как при транспарент нет авторизации про что я знаю
но мне и не нужно транспарент
Сама суть не в том а в том что при опции в squid.conf "http_port 3128" , без всяких транспарент и т.д
авторизация у пользователей у которых статически настроен браузер проходит как положено (тоисть я в браузере прописую что прокси такой то и порт такой то) тепер после того как в браузере снимаю все галочки и конект к проксе проходит за правилом фаервола

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,80 tcp from 10.0.3.0/24 to any 80,443,5190 out via ${LanOut}

я получаю

Код: Выделить всё

While trying to process the request: 

GET / HTTP/1.1
Accept: */*
Accept-Language: ru
UA-CPU: x86
Accept-Encoding: gzip, deflate
If-Modified-Since: Thu, 25 Dec 2008 12:00:54 GMT; length=81338
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;  Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: mail.ru
Connection: Keep-Alive
Cookie: Mpopl=1140477102; mrcu=E89749525F017EB3A6B77978C152; p=tH1XADzuSQAA; VID=0VUMiB0GcB0b; c8=hvRTSQAAAAIB5AIAAAAAAmAiAQAAAAACH9wBAAAA


The following error was encountered: 

Invalid Request 
Some aspect of the HTTP Request is invalid. Possible problems: 

Missing or unknown request method 
Missing URL 
Missing HTTP Identifier (HTTP/1.0) 
Request is too large 
Content-Length missing for POST or PUT requests 
Illegal character in hostname; underscores are not allowed 
squid скомпилин с такими опциями

Код: Выделить всё

11:23 /usr/ports/www/squid/#cat Makefile | grep CONFIGURE
# SQUID_CONFIGURE_ARGS
#   `make SQUID_CONFIGURE_ARGS="--enable-dlmalloc --enable-truncate" install'
GNU_CONFIGURE=  yes
.if !defined(SQUID_CONFIGURE_ARGS) || ${SQUID_CONFIGURE_ARGS:M*--disable-unlinkd*} == ""
CONFIGURE_ARGS= --bindir=${PREFIX}/sbin  \
CONFIGURE_ARGS+=        --enable-auth="basic digest negotiate ntlm" \
CONFIGURE_ARGS+=        --enable-negotiate-auth-helpers="squid_kerb_auth"
# Nil aufs threads is default, set any other value via SQUID_CONFIGURE_ARGS
CONFIGURE_ARGS+=        --with-pthreads
CONFIGURE_ARGS+=        --enable-coss-aio-ops
CONFIGURE_ARGS+=        --enable-storeio="${storage_schemes}"
CONFIGURE_ARGS+=        --enable-delay-pools
CONFIGURE_ARGS+=        --enable-snmp
CONFIGURE_ARGS+=        --disable-carp
CONFIGURE_ARGS+=        --enable-ssl \
CONFIGURE_ARGS+=        --enable-icmp
CONFIGURE_ARGS+=        --disable-internal-dns
CONFIGURE_ARGS+=        --enable-htcp
CONFIGURE_ARGS+=        --enable-forw-via-db
CONFIGURE_ARGS+=        --enable-cache-digests
CONFIGURE_ARGS+=        --disable-wccp
CONFIGURE_ARGS+=        --enable-wccpv2
CONFIGURE_ARGS+=        --disable-http-violations
CONFIGURE_ARGS+=        --disable-ident-lookups
CONFIGURE_ARGS+=        --enable-referer-log
CONFIGURE_ARGS+=        --enable-useragent-log
CONFIGURE_ARGS+=        --enable-arp-acl
CONFIGURE_ARGS+=        --enable-pf-transparent
CONFIGURE_ARGS+=        --enable-ipf-transparent
CONFIGURE_ARGS+=        --enable-follow-x-forwarded-for
CONFIGURE_ARGS+=        --disable-kqueue
CONFIGURE_ARGS+=        --with-large-files --enable-large-cache-files
CONFIGURE_ARGS+=        --enable-stacktraces
CONFIGURE_ARGS+=        --enable-err-languages="${SQUID_LANGUAGES}" \
CONFIGURE_ARGS+=        ${SQUID_CONFIGURE_ARGS}
CONFIGURE_ENV+=         CFLAGS="${CFLAGS}" \
11:23 /usr/ports/www/squid/#
настройки все дефолтные кроме добавления тех которые нужны для авторизации в AD
Проблема как раз и состоит в том чтобы проходила авторизация даже в том случее когда конект проходит по правилу фаервола

если есть идеи как ето реализовать пожалуста ткните в нужную сторону

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipfw squid 2 setevie

Непрочитанное сообщение paradox » 2008-12-25 12:33:01

ой что то мне кажеться не заработает оно так как ты хочешь....
хотя может ошибаюсь