Поднятие сервера FreeBSD

[Гоша]

Здравствуете дорогие Unixойды мне необходма помощь в пондятие сервера.
Сервер: ос FreeBSD6.2
Локальная сеть 18 компов на окошках хр. Возможно расширение.
Мне необходимо для локальной сети сделать доступ в инет по http, isq, irc, pop, smtp протоколам. Также нужен подсчет трафика бухгалтерия у нас иногда хочет знать что да как. Также необходимо поднятие почтового домена. Как без него. К провайдеру контора подключена через DSL модем Conexant MG5000f. На текущий момент юзеры юзают просторы www через XP одиноко стоящий не кому не нужный кроме админа комп.
Подскажите пожалуйста последовательность моих действий и необходимую информацию для организации вышеперечисленных задач.
Начал читать пробовать и запутался. Я начинаю только знакомиться с FreeBSD. И хочу сам сервак завести, просить кого то или платить деньги не хоца.
На серваке две сетевые карты.
одна в инет

Код: Выделить всё

ip	            93 34 208 7     
mask	            255 255 255 240
gateway	         93 34 208 1
dns 	            93 34 187 110
    	            93 34 187 109

одна в локалку

Код: Выделить всё

ip	            192 168 0 1
mask	            255 255 255 0

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

http://www.lissyara.su/?id=1007
всё твоё.
собираешь ядро с файрволлом, запускаешь нат.
дальше - сквид, трафд или по желанию.
всё, пожалуй. Ничё сложного - но много рутинных операций.

[Гоша]

На текущий момент сетка работает так модем

Код: Выделить всё

wan ip 85 28 206 3 mask 255.255.255.240 lan ip 10.0.0.2 mask 255.0.0.0 

сервер ХР 1 сетевуха

Код: Выделить всё

получать ip автоматически

вторая сетевуха

Код: Выделить всё

ip 192.168.0.1 mask 255.255.255.0

Настройка компов в локалке

Код: Выделить всё

ip 192.168.0.2 - 192.168.0.18 mask 255.255.255.0 gateway 192.168.0.1 dns 192.168.0.1 

Вопрос мне надо перенастаивать модем и узказывать там в параметрах LAN другуие сет настройки.
Потому что если нет то у меня возникает вопрос как мне на Фре настраивать первую сетевуху. Вторая то понятно.

[Гоша]

Все разобрался. Извиняюсь за глупые вопросы все настроил Гуд мой первый опыт прошел успешно. На текущий момент правда только как шлюз. Ни чем не обвешаный.

[Гоша]

Настройка модема
Проблема заключается в следующем я не могу корректно настроить squid and ipfw. Первоначальную настроку шлюза я сделал )). А именно: ipwf OPEN в /etc/rc.conf То бишь ничего с фаером не делал. Собстно народ юзал инет. Но когда стал наворачивать squid то возникла необходимость настроить ipfw.conf чтобы регламентировать некоторые моменты. А точнее перенаправление всех запросов на squid. Та строка которая должна быть добавлена до правил natd. Сделал я все это своими кривыми руками и вот незадача нехрена не работает. В целом всего процесса увидеть не могу.
Теоретически понимаю, что надо ... Все конфиги в низу. Лис все брал с твоих статей. Ты наверно будешь долго гоготать когда посмотришь эти конфиги. Подскажи пожалуйста что у меня не так если это возможно.

wan & lan

Код: Выделить всё

ip wan	85 28 206 3 mac 00:D0:E8:52:8D:4D mask 255 255 255 240 gateway 85 28 206 1
dns 	85 28 195 129 
            85 28 195 130
ip lan	10.0.0.2 mask 255.0.0.0 mac 00:D0:E8:52:8D:4C gateway 10.0.0.3

Настройка сервера FreeBSD 6.2

Код: Выделить всё

sk0 10.0.0.3        # внешний фейс
rl0 192.168.0.1    # внутрений

Файл /etc/rc.conf

Код: Выделить всё

font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
keyrate="fast"
linux_enable="YES"
mousechar_start="3"
saver="logo"
scrnmap="koi8-r2cp866"
usbd_enable="YES"
sendmail_enable="NONE"

# NAT
natd_enable="YES"        
natd_interface="sk0"    
natd_flags="-m -u"    

# Файер
firewall_enable="YES"
firewall_type="/etc/ip_fw_kron"
firewall_logging="YES"

gateway_enable="YES"
sshd_enable="YES"
ifconfig_sk0="inet 10.0.0.3  netmask 255.0.0.0"
ifconfig_rl0="inet 192.168.0.1  netmask 255.255.255.0"

defaultrouter="10.0.0.2"     
hostname="kron"
inetd_enable="YES"
squid_enable="YES"

Файл фаера /etc/ip_fw_kron

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw"      # собственно где лежит бинарник ipfw
LanOut="sk0"                # внешний интерфейс
LanIn="rl0"                    # внутренний интерфейс
IpOut="10.0.0.3" 	# внешний IP адрес машины
IpIn="192.168.0.1"  	# внутренний IP машины
NetMask="24"                # маска сети (если она разная для внешней 
                        # и внутренней сети - придётся вводить ещё 
                        # одну переменную, но самое забавное, что 
                        # можно и забить - оставить 24 - всё будет 
                        # работать, по крайней мере я пробовал - 
                        # работало на 4-х машинах, в разных сетях, 
                        # с разными масками - настоящими разными! но - 
                        # это неправильно.)
NetIn="192.168.0.0"    # Внутренняя сеть

${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# отправляем всех на frox
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}

# ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via sk0      #строчка добавленная мной по найстроке squid 

# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


# разрешаем все установленные соединения (если они установились - 
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в 
#/usr/home/goga/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/goga/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт - 
# придётся стругать отдельное правило для него, типа 
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

Файл squid

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr georgiy@mail.kamchatka.ru
visible_hostname kron
#tcp_outgoing_address 222.222.222.222
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/etc/squid/redirector.pl
redirect_children 10

acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl     limited_IP      src             "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.0.0/24
#acl    denied_sites    dstdomain       "/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

[Alex Keda]

а сквид-то - непрозрачный, судя по конфигу...
посомтри дефолтовый конфиг - там был вроде пример про прозрачный...

[Гоша]

У меня проблема я вроде читаю, понимаю, уже кучу разных статей прочитал. Вижу как должно все работать (ipfw + natd + squid прозрачный) но нихрена не могу разобраться. Просто как перед каменной стеной стою. А а а а а а а когда же ты прийдешь прозрение....

[Alex Keda]

а сквид-то - непрозрачный, судя по конфигу...
посомтри дефолтовый конфиг - там был вроде пример про прозрачный...

[Гоша]

Лис подскажи пожалуйста ты говоришь дефолтовый конфиг. Его где смотреть? Дай линк. А если ты про

Код: Выделить всё

#less /usr/local/etc/squid/squid.conf

То я этот файлик прочитал. Там отдельно нет настройки. И у меня проблема плохо с английским не могу выделить необходимые элементы из общего списка.
А если есть конфиг прозрачного прокси под squid 2.6, буду премного благодарен

[Alex Keda]

под современный нету.
под старый - на сайте был...

[Dron]

прозрачный прокси делается так

Код: Выделить всё

kiev# squid -v
Squid Cache: Version 2.6.STABLE16

в squid.conf

Код: Выделить всё

http_port 192.168.100.1:3128 transparent

перенаправляем необходимые пакеты на порт сквида и радуемся
все

[Гоша]

))) Уважаемые знатоки. Пишет вам Гога Салеля из далекого и холодного Камчатского края.
На текущий момент ситуация сложилась таким образом. Стоит squid25. Естесно FBSD 6.2
Ниже конфиг. Конфиг простого прозрачного прокси.

Код: Выделить всё

http_port 127.0.0.1:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /usr/local/squid/logs/access.log
cache_log        /usr/local/squid/logs/cache.log
cache_store_log  /usr/local/squid/logs/store.log
emulate_httpd_log on
cache_mgr georgiy@mail.kamchatka.ru
visible_hostname kronzp.real.kamchatka.ru.
tcp_outgoing_address 85.28.206.3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24
acl files url_regex -i \.wav$ \.m3u$ \.mov$ \.rar$ \.zip$ \.mp3$ \.avi$
http_access allow our_networks
http_access allow localhost
http_access deny files
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

Смотрю процесс squid

Код: Выделить всё

/home/goga/>ps ax | grep squid
  626  ??  Is     0:00,00 /usr/local/sbin/squid -D
  628  ??  S      0:00,13 (squid) -D (squid)
 1100  p1  S+     0:00,00 grep squid

Смотрим строки IPFW в /etc/rc.conf я целенаправленно вывел только блок по фаеру.
Настроен на OPEN так не решился пока написать свой конфиг ipwf

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"

Далее cмотрю правила которые определяет фаер="OPEN"

Код: Выделить всё

/home/goga/>ipfw list
00050 divert 8668 ip4 from any to any via sk0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any

Код: Выделить всё

/home/goga/>ipfw show
00050  5110 1314692 divert 8668 ip4 from any to any via sk0
00100     0       0 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
65000 11695 2791501 allow ip from any to any
65535  2920  211653 allow ip from any to any

А теперь вопрос к уважаемым знатокам. ))) Если данная конфигурация верна, то squid должен писать инфу о посещении сайтов в логи находящиеся но адреcу

Код: Выделить всё

/usr/local/squid/logs/

в файл как я понимаю "access.log"
Но логов нет. Хотя народ юзает инет.

Единственный cache.log говорит что squid запустился тогда то тогда и еще много чего.

Код: Выделить всё

2008/01/17 00:53:38| Starting Squid Cache version 2.5.STABLE14 for i386-portbld-freebsd6.2...
2008/01/17 00:53:38| Process ID 628
2008/01/17 00:53:38| With 7168 file descriptors available
2008/01/17 00:53:38| DNS Socket created at 0.0.0.0, port 49240, FD 5
2008/01/17 00:53:38| Adding nameserver 85.28.195.129 from /etc/resolv.conf
2008/01/17 00:53:38| Adding nameserver 85.28.195.130 from /etc/resolv.conf
2008/01/17 00:53:38| Unlinkd pipe opened on FD 10
2008/01/17 00:53:38| Swap maxSize 2097152 KB, estimated 161319 objects
2008/01/17 00:53:38| Target number of buckets: 8065
2008/01/17 00:53:38| Using 8192 Store buckets
2008/01/17 00:53:38| Max Mem  size: 65536 KB
2008/01/17 00:53:38| Max Swap size: 2097152 KB
2008/01/17 00:53:38| Rebuilding storage in /usr/local/squid/cache (CLEAN)
2008/01/17 00:53:38| Using Least Load store dir selection
2008/01/17 00:53:38| Set Current Directory to /usr/local/squid/cache
2008/01/17 00:53:38| Loaded Icons.
2008/01/17 00:53:38| Accepting HTTP connections at 127.0.0.1, port 3128, FD 12.
2008/01/17 00:53:38| WCCP Disabled.
2008/01/17 00:53:38| Ready to serve requests.
2008/01/17 00:53:39| Done reading /usr/local/squid/cache swaplog (0 entries)
2008/01/17 00:53:39| Finished rebuilding storage from disk.
2008/01/17 00:53:39|         0 Entries scanned
2008/01/17 00:53:39|         0 Invalid entries.
2008/01/17 00:53:39|         0 With invalid flags.
2008/01/17 00:53:39|         0 Objects loaded.
2008/01/17 00:53:39|         0 Objects expired.
2008/01/17 00:53:39|         0 Objects cancelled.
2008/01/17 00:53:39|         0 Duplicate URLs purged.
2008/01/17 00:53:39|         0 Swapfile clashes avoided.
2008/01/17 00:53:39|   Took 1.3 seconds (   0.0 objects/sec).
2008/01/17 00:53:39| Beginning Validation Procedure
2008/01/17 00:53:39|   Completed Validation Procedure
2008/01/17 00:53:39|   Validated 0 Entries
2008/01/17 00:53:39|   store_swap_size = 0k
2008/01/17 00:53:40| storeLateRelease: released 0 objects

Остальные файлы пусты я имею ввиду

Код: Выделить всё

/usr/local/squid/logs/>ll
total 10
-rw-r--r--  1 squid  squid     0 17 янв 00:16 access.log
-rw-r--r--  1 squid  squid  7265 17 янв 00:53 cache.log
-rw-r--r--  1 squid  squid     4 17 янв 00:53 squid.pid
-rw-r--r--  1 squid  squid     0 17 янв 00:16 store.log

[Slab]

/home/goga/>ipfw list
00050 divert 8668 ip4 from any to any via sk0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any

Все уходят мимо сквида, через НАТ.

[Гоша]

Оупс пардон понял, исправил, сделал, заработало.
Добавил правило в самописный фаер и теперь

Код: Выделить всё

/usr/local/squid/logs/>ipfw list
00100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via sk0
00200 divert 8668 ip4 from any to any via sk0
00300 allow ip from any to any via lo0
00400 deny ip from any to 127.0.0.0/8
00500 deny ip from 127.0.0.0/8 to any
00600 allow ip from any to any
00700 allow ip from any to any
65535 allow ip from any to any

Но еще момент. У меня заработал squid. Но он собирает только логи юзеров, которые работают через http. А вот инфа по всевозможным почтовым клиентам. ISQ и майл агенту. Проходит стороной то есть в

Код: Выделить всё

/usr/local/squid/logs/access.log 

не пишется. Подскажите плиз. Что не так или дайте целеуказание где копать.

[Alex Keda]

принудительно всех на прокси.

[Гоша]

Лис у меня такой вопрос мне надо сделать на серваке файловую помойку на Sambe. И необходимо чтобы к ресурсам которые будут висеть в сетевом окружении (то бишь на серваке Samba) юзеры подключались не все, а избранные. То есть определенные мной по логину и паролю. (Эти юзеры будут подключаться к своим ресурсам с целью централизации секретных документов по свой работе) Я столкнулся с такой проблеммой.
Не могу понять какой режим безопасности выбрать share or user. Если user, то тогда мне обязательно заводить пользователей на серваке?
Я не хочу чтобы пользователи имели шелл и домашнюю директорию. И еще вопрос возможно есть ли такая база данных у самбы которая криэйтит свою базу пользователей. Чисто для самба сервера?
Сеть у меня 20 раб станций и сервак. На котором крутиться прокся и натд. Обязательно ли мне настраивать DNS чтобы реализовать правильно вышеописанный вопрос?

[zg]

))) Уважаемые знатоки. Пишет вам Гога Салеля из далекого и холодного Камчатского края.
На текущий момент ситуация сложилась таким образом. Стоит squid25. Естесно FBSD 6.2
Ниже конфиг. Конфиг простого прозрачного прокси.

Код: Выделить всё

http_port 127.0.0.1:3128
icp_port 0
......

Гоша этот прокси НЕПРОЗРАЧНЫЙ, это просто прокси и никакой форвардинг не поможет

Код: Выделить всё

http_port 127.0.0.1:3128 transparent

вот прозрачный прокси, теперь можно форвардинг делать

Код: Выделить всё

ipfw add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any 80

вместо 192.168.0.0/24 пропиши свою сеть

[uHkorHuTo]

здравствуйте.
через прозрачный сквид можно все порты, которые занесены в Safe_Ports прогонять?
меня интересует, будет ли работать SSL, ftp

можно будет писать: fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any out xmit $ext_if (ext_if - внешний интерфейс)

еще хотел бы узнать, будут ли udp порты работать через прозрачный

[Alex Keda]

нет

[zg]

еще хотел бы узнать, будут ли udp порты работать через прозрачный

а зачем? для этого NAT есть

[Гоша]

zg 29 янв 2008, 06:08
http_port 127.0.0.1:3128
icp_port 0
......Гоша этот прокси НЕПРОЗРАЧНЫЙ, это просто прокси и никакой форвардинг не поможет
= = = = =
http_port 127.0.0.1:3128 transparent
вот прозрачный прокси, теперь можно форвардинг делать
ipfw add fwd 127.0.0.1,3128 ip from 192.168.0.0/24 to any 80
= = = = =
вместо 192.168.0.0/24 пропиши свою сеть

По моему данная настройка работает только в версии 2.6 у меня squid-2.5.14_2

Код: Выделить всё

http_port 127.0.0.1:3128 transparent

А насчет того, чтобы менять 192.168.0.0 на свою сеть ??? Ведь я пользую этот диапозон для локальной сети. Согласно RFC 1918

[zg]

По моему данная настройка работает только в версии 2.6 у меня squid-2.5.14_2

Код: Выделить всё

http_port 127.0.0.1:3128 transparent

в 2.5 надо тоже чё-то прописывать, по-умолчанию он непрозрачный, в дефолтном конфиге должно быть написано