СКВИД как завернуть всех через него

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
igorlviv
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-22 11:31:17

СКВИД как завернуть всех через него

Непрочитанное сообщение igorlviv » 2009-12-30 9:47:39

FreeBSD 7.2 поднят сквид нат и фаерволл. Интернет Ого через ПППоЕ
Выход в интернет через локальную сеть и через ВПН (MPD4)

Вопрос к ГУРУ
1.проверьте мой конфиг СКВИДА на правильность вообще
2.Как завернуть всех пользователей через СКВИД а тоя смотрю логи пользователи ВПН обходят его (ip 192.168.1.200-220)
3.Завернуть так что б в броузере не прописывать прокси

Какие будут предложения и замечания

итак конфиги

freebsd# cat /usr/local/etc/squid/squid.conf | grep -v ^# | grep -v ^$

Код: Выделить всё

visible_hostname squid.zavod.local # это имя будет упоминаться в сообщениях об ошибках 
httpd_suppress_version_string off # подавлять выдачу номера версии Squid 
http_port 192.168.0.254:3128 transparent 
http_port 192.168.1.254:3128 transparent 
http_port localhost:3128 transparent 
client_persistent_connections on # использовать постоянные соединения при общении с клиентами 
server_persistent_connections on # использовать постоянные соединения при общении с серверами 
persistent_connection_after_error off # не использовать постоянные соединения после получения ошибки 
cache_mem 64 MB 
access_log /usr/local/squid/logs/access.log squid 
cache_log /usr/local/squid/logs/cache.log # журнал запусков процессов 
buffered_logs on # при включении запись в журнал буферизуется и слегка ускоряется 
error_directory /usr/local/etc/squid/errors/Ukrainian-1251 
check_hostnames on 
dns_nameservers 195.5.29.11 
positive_dns_ttl 6 hours 
negative_dns_ttl 5 minutes 
dns_children 10 
acl internet_all_all src "/usr/local/etc/squid/internet_all_all.sams" 
acl internet_all_all_time time MTWHFAS 00:00-23:59 
acl internet_all_1000 src "/usr/local/etc/squid/internet_all_1000.sams" 
acl internet_all_1000_time time MTWHFAS 00:00-23:59 
acl manager proto cache_object 
acl all src 0.0.0.0/0.0.0.0 #Все 
acl localhost src 127.0.0.1/255.255.255.255 
acl webserver src 127.0.0.1/255.255.255.255 
acl to_localhost dst 127.0.0.0/8 
acl our_networks src 192.168.1.0/24 
acl our_networks src 192.168.0.0/24 
acl My_SNMP snmp_community squidmrtg 
snmp_port 3401 
acl myhost src 127.0.0.1/255.255.255.255 
snmp_access allow My_SNMP myhost 
snmp_access deny all 
acl SSL_ports port 443 
acl Safe_ports port 80 # http 
acl Safe_ports port 21 # ftp 
acl Safe_ports port 443 # https 
acl Safe_ports port 70 # gopher 
acl Safe_ports port 210 # wais 
acl Safe_ports port 1025-65535 # unregistered ports 
acl Safe_ports port 280 # http-mgmt 
acl Safe_ports port 488 # gss-http 
acl Safe_ports port 591 # filemaker 
acl Safe_ports port 777 # multiling http 
acl CONNECT method CONNECT 
acl HelpDesk dstdomain .bestzvit.com.ua .dinai.com .comper.ru .gismeteo.ru .meteoprog.ua .pogoda.co.ua .currency.in.ua .stejka.com .bank.gov.ua .kitco.com .192.168.0.254 
acl HelpDesk dstdomain .eset.com .weather.co.ua .gismeteo.com .gismeteo.ua 
http_access allow manager localhost webserver 
http_access deny manager 
http_access deny localhost 

http_access allow HelpDesk 
http_access allow internet_all_all internet_all_all_time 
http_access allow internet_all_1000 internet_all_1000_time 
http_access deny all 
http_access deny !Safe_ports 
http_access deny CONNECT !SSL_ports 
http_access deny !our_networks 

hierarchy_stoplist cgi-bin ? 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 
refresh_pattern . 0 20% 4320 
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] 
upgrade_http0.9 deny shoutcast 
acl apache rep_header Server ^Apache 
broken_vary_encoding allow apache 
delay_pools 2 
delay_class 1 2 
delay_class 2 2 
delay_access 1 allow internet_all_all 
delay_access 1 deny all 
delay_parameters 1 1000000/1000000 1000000/1000000 
delay_access 2 allow internet_all_1000 
delay_access 2 deny all 
delay_parameters 2 1000000/1000000 524288/524288 
coredump_dir /usr/local/squid/cache 
ipfw

Код: Выделить всё

innet1="192.168.1.0/24" 
innet0="192.168.0.0/24" 
${FwCMD} add fwd 192.168.0.254,3128 tcp from ${innet0} to any 80,8080,8101 via ${LanOut} 
${FwCMD} add fwd 192.168.1.254,3128 tcp from ${innet1} to any 80,8080,8101 via ${LanOut}
Последний раз редактировалось terminus 2009-12-30 10:18:11, всего редактировалось 1 раз.
Причина: Убедительная просьба юзать теги [code] при оформлении листингов. Перенесено из FreeBSD в Networks.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

iye
ст. сержант
Сообщения: 360
Зарегистрирован: 2008-07-29 9:02:04

Re: СКВИД как завернуть всех через него

Непрочитанное сообщение iye » 2009-12-30 10:57:37

Потому что заворачивать нада с конца тунеля а не с внутреннего интерфейса. + стейтфул фаервол с динамическими правилами если ходить не будет.

lviv2
проходил мимо

Re: СКВИД как завернуть всех через него

Непрочитанное сообщение lviv2 » 2009-12-30 15:35:51

Подскажите как правильно это прописать правилами IPFW

freebsd# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:02:44:3c:a1:55
inet 192.168.2.254 netmask 0xffffff00 broadcast 192.168.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:02:44:63:89:be
inet 192.168.1.254 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 91.124.7.211 --> 195.5.5.206 netmask 0xffffffff
Opened by PID 5016
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 192.168.1.254 --> 192.168.1.246 netmask 0xffffffff
ng2: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng4: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500

где
rl0 внешняя сетевая карта к АДСЛ модему
rl1 внутрення сеть (тоже надо завернуть на сквид)
tun0 ПППоЕ к провайдеру
ng1 ВПН пользователь (которого надо завернуть на сквид)

iye
ст. сержант
Сообщения: 360
Зарегистрирован: 2008-07-29 9:02:04

Re: СКВИД как завернуть всех через него

Непрочитанное сообщение iye » 2009-12-30 15:41:12

Код: Выделить всё

man ipfw
И читаем начиная от STATEFUL FIREWALL