Squid IP и Порты

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Cryostasis
проходил мимо

Squid IP и Порты

Непрочитанное сообщение Cryostasis » 2009-12-30 12:36:40

Здравствуйте дорогие спецы по FreeBSD.

Работаю с данной ОС относительно не долго, скажем так "знакомлюсь".
Назрел вопрос по Squid 2.7 Stable.
Не могу разобраться с пропуском клиент-банков через squid.
Система FreeBSD 8.0 Release, настроил PPPoE на внешнем интерфейсе, на внутреннем висит локалка.
Из установленного из портов только MC и Squid, больше ничего нету. При установке системы активировал inetd и логин по ssh и режим gateway. Squid настройл. вроде правильно, если не сложно проверьте на правильность. Но инет раздаётся по компам, единственное что странно, я в сквиде указывал конкретные айпи компов в локалке, а при настройке шлюза на рабочих компах и браузерах получается так что хоть к примеру я в сквиде не указал правил для ip 192.168.0.25, он всё равно получает инет.

Вот конфиг:

Код: Выделить всё

#  Начало конфига
http_port 192.168.0.1:3128
visible_hostname SPS-GW2

cache_access_log /usr/local/squid/logs/access.log 
cache_log /usr/local/squid/logs/cache.log 
cache_store_log /usr/local/squid/logs/store.log
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Russian-koi8-r

hierarchy_stoplist cgi-bin ?

cache_mem 128 MB

maximum_object_size 4048 KB
maximum_object_size_in_memory 4048 KB

cache_dir ufs /usr/local/squid/cache 250000 16 256

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localnet src 192.168.0.0/24
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Icq_port port 5190
acl Irc_port port 6667
acl MSN_port port 1863
acl CONNECT method CONNECT

acl InetUF src 192.168.0.2/255.255.255.255
acl InetUF src 192.168.0.3/255.255.255.255
acl InetUF src 192.168.0.4/255.255.255.255
acl InetUF src 192.168.0.5/255.255.255.255
acl InetUF src 192.168.0.6/255.255.255.255
acl InetUF src 192.168.0.7/255.255.255.255
acl InetUF src 192.168.0.8/255.255.255.255
acl InetUF src 192.168.0.9/255.255.255.255
acl InetUF src 192.168.0.10/255.255.255.255
acl InetUF src 192.168.0.11/255.255.255.255
acl InetUF src 192.168.0.12/255.255.255.255
acl InetUF src 192.168.0.13/255.255.255.255
acl InetUF src 192.168.0.14/255.255.255.255
acl InetUF src 192.168.0.15/255.255.255.255
acl InetUF src 192.168.0.16/255.255.255.255
acl InetUF src 192.168.0.17/255.255.255.255
acl InetUF src 192.168.0.18/255.255.255.255
acl InetUF src 192.168.0.19/255.255.255.255
acl InetUF src 192.168.0.20/255.255.255.255

http_access allow InetUF
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_pots
http_access deny all

http_reply_access allow all
# Конец конфига
И вот 2 вопроса:
1: Почему когда я назначаю любому ПК ip 192.168.0.25 и направляю его на шлюз то он получает доступ в инет и проходит через правила? Я ведь прописал только с 2 по 20, а 25 нет.
2: Каким образом я могу реализовать работу банк-клиентов, к примеру один из них лезет через 3274 порт, а в моём конфиге открыты все порты, но банк-клиент всё равно не подрубается?

Прокся работает без фаервола, так как изучать альтернативные ifw или pf совершенно нету желания, а до IPFIREWALL я ещё не дошёл так как для начала хочу хорошенько изучить Squid =)

Всем заранее ОГРОМНОЕ спасибо за ответы и помошь!!!
Последний раз редактировалось terminus 2009-12-30 12:48:03, всего редактировалось 1 раз.
Причина: Убедительная просьба юзать теги [code] при оформлении листингов. Перенесено из FreeBSD в Networks.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35117
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid IP и Порты

Непрочитанное сообщение Alex Keda » 2010-03-07 10:55:57

нифига не понял..
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xelplogoog
мл. сержант
Сообщения: 134
Зарегистрирован: 2010-01-02 12:14:56

Re: Squid IP и Порты

Непрочитанное сообщение xelplogoog » 2010-03-07 11:23:27

25 получает инет, видимо, потому что он идет не через сквид.
трафик на проксю надо заворачивать на фаерволе, на который ты забил :)
/usr/ports/x11/yakuake-kde4 user

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Squid IP и Порты

Непрочитанное сообщение arkan » 2010-03-07 15:11:00

невижу смысла вообще всякие IP пихать в конфиг сквида
сделайте просто авторизацию через htaccess - пусть юзвери лапки тренируют
Для сквида NAT/Gateway нафиг ненужны
Сейчас почти сесь бух софт нормально работает через сквид так что не парьте моск