Squid не пропускает.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-06-30 18:43:36

Вот собственно сабж, машинки в сети прорускать не хочет.

Сонфиг сквида:

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname main.my_domain.kiev.ua
tcp_outgoing_address 213.160.130.2
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       "/usr/local/etc/squid/allowed_sites.conf"
acl     limited_IP      src             "/usr/local/etc/squid/limited_IP.conf"
acl     localhost       src             127.0.0.1/8
acl     our_networks    src             192.168.0.0/24
acl    denied_sites    dstdomain       "/usr/local/etc/squid/denied_ext.conf"
http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

httpd_accel_host virtual
httpd_accel_port 80
#httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
rc.firewall

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw -q  " 
LanOut="rl0" 
LanIn="vr0"     
IpOut="213.160.130.2" 
IpIn="192.168.0.2" 
NetMask="24"   
NetIn="192.168.0.0" 

${FwCMD} -f flush

${FwCMD} add check-state

${FwCMD} add allow ip from any to any via vr0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}

${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} add allow tcp from any to any established

${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}

${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}


${FwCMD} add allow icmp from any to any icmptypes 0,8,11

${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}

${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}

${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any

rc.conf

Код: Выделить всё

hostname="main.my-domain.kiev.ua"
ifconfig_rl0="inet 213.160.130.2 netmask 255.255.255.248"
ifconfig_vr0="inet 192.168.0.2 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="213.160.130.2"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_flags="-m -u"
natd_interface="rl0"
ipv6_enable="YES"
usbd_enable="YES"
squid_enable="YES"
в логах примерно такое:

Код: Выделить всё

192.168.0.28 TCP_DENIED/403 1424 POST http://......... - NONE/- text/html
192.168.0.28 TCP_DENIED/403 1404 GET http://......... - NONE/- text/html
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Squid не пропускает.

Непрочитанное сообщение skeletor » 2008-07-01 11:50:19

А если отключить сквид и убрать правило в файере про заворот на сквид - машины в инет ходят?

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение alex3 » 2008-07-01 12:19:26

Код: Выделить всё

ipfw show
покажи
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-01 12:45:51

Ты знаеш не пробовал, а что указывать клиентам? Порт ? Айпишник ?
Кстати сквид 2.5 стаб 14.
Изначально матерился на то что закаментировал.
Хотя смысл выключать сквид.
Я уже пробовал с ацлами
типа:

Код: Выделить всё

acl     Pupkin    src             192.168.0.28/24
http_access     allow   Pupkin
все равно фигня
Та всё правильно, мне больше кажется что дело в фаере. но где именно не могу понять
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-01 12:47:47

alex3 писал(а):

Код: Выделить всё

ipfw show
покажи

Код: Выделить всё

00100          0              0 check-state
00200       200       25292 allow ip from any to any via vr0
00300          0              0 deny ip from any to 127.0.0.0/8
00400          0              0 deny ip from 127.0.0.0/8 to any 
00500          0              0 deny ip from any to 10.0.0.0/8 in via rl0
00600          0              0 deny ip from any to 172.16.0.0/12 in via rl0
00700       126      14129 deny ip from any to 192.168.0.0/16 in via rl0
00800          0              0 deny ip from any to 0.0.0.0/8 in via rl0
00900          0              0 deny ip from any to 169.254.0.0/16 in via rl0
01000          0              0 deny ip from any to 240.0.0.0/4 in via rl0
01100          0              0 deny ip from any to any frag
01200          0              0 deny log logamount 100 icmp from any to 255.255.255.255 in via rl0
01300          0              0 deny log logamount 100 icmp from any to 255.255.255.255 out via rl0
01400          0              0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500          0              0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
01600          0              0 divert 8668 from 192.168.0.0/24 to any out via rl0
01700        77         6271 divert 8668 from any to 213.160.130.2 in via rl0
01800          0              0 deny ip from 10.0.0.0/8 to any out via rl0
01900          0              0 deny ip from 172.16.0.0/12 to any out via rl0
02000          0              0 deny ip from 192.168.0.0/16 to any out via rl0
02100          0              0 deny ip from 0.0.0.0/8 to any out via rl0
02200          0              0 deny ip from 169.254.0.0/16 to any out via rl0
02300          0              0 deny ip from 224.0.0.0/4 to any out via rl0
02400          0              0 deny ip from 240.0.0.0/4 to any out via rl0
02500      893      344218 allow tcp from any to any established
02600        69         4818 allow ip from 213.160.130.234 to any out xmit rl0
02700        13         1948 allow udp from any 53 to any via rl0
02800          0              0 allow udp from any to any  dst-port 53 via rl0
02900          0              0 allow udp from any to any  dst-port 123 via rl0
03000          0              0 allow icmp from any to any  icmptypes 0,8,11
03100          0              0 allow tcp from any to 213.160.130.2 dst-port 80 via rl0
03200        56         2644 allow tcp from any to 213.160.130.2 dst-port 25 via rl0
03300          0              0 allow tcp from any to 213.160.130.2 dst-port 22 via rl0
03400          3           144 allow tcp from any to 213.160.130.2 dst-port 110 via rl0
03500          0              0 allow gre from any to any via vr0
03600         92        4416 allow tcp from any to any via vr0
03700         32        2875 allow udp from any to any via vr0
03800         22        1232 allow icmp from any to any via vr0
03900          7         1599 deny ip from any to any 
65535         13          791 allow ip from any to any 
Последний раз редактировалось JeaRmiX 2008-07-01 14:09:48, всего редактировалось 5 раз.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение zingel » 2008-07-01 12:57:19

JeaRmiX писал(а):
alex3 писал(а):

Код: Выделить всё

ipfw show
покажи
  • фывафыва

Код: Выделить всё

ipfw  show
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-01 14:08:37

Код: Выделить всё

03900          7         1599 deny ip from any to any
65535         13          791 allow ip from any to any
чё за нах
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение alex3 » 2008-07-01 14:57:37

Код: Выделить всё

01400          0              0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500          0              0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-01 15:26:50

alex3 писал(а):

Код: Выделить всё

01400          0              0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500          0              0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
И чво с этим делать?
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение alex3 » 2008-07-01 15:42:28

включать логи в ipfw и смотреть
а еще лучше убрать 200 правило или перенести пониже....
а совсем хорошо - как Dikens посоветовал читать

Код: Выделить всё

man ipfw
и http://nuclight.livejournal.com/124348.html
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-01 16:12:30

блин но без

Код: Выделить всё

00200       200       25292 allow ip from any to any via vr0
сквид не будет пахать, кстати тут же нужно указывать внутренний интерфейс или внешний???? или что то ещё(((((((???? :cry: :cry: :cry:
Народ помогите пож!!!
кстати включить лог как

Код: Выделить всё

net.inet.ip.fw.verbose=1
??????

на ЖЖ оч сложно.... Не для меня. :cry:
Последний раз редактировалось JeaRmiX 2008-07-01 16:26:29, всего редактировалось 2 раза.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Squid не пропускает.

Непрочитанное сообщение paradox » 2008-07-01 16:25:45

точно
как говрит zingel

а я добавлю
фаерволы нынче молодежь
строит из вывода
чем больше правил
тем надежней
не понимая вообще что они делают

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение zingel » 2008-07-02 1:55:03

а потом спрашивают куда сокеты кончаются
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-02 18:10:27

Блин а сложно тыкнуть носом :-o


Может кто либо подсказать выд конфига фаервола для моей ситуации.
Squid, Nat, Samba, mail(POP, SMTP), IPSec, DNS.
Буду весьма благодарен
Последний раз редактировалось JeaRmiX 2008-07-02 18:23:52, всего редактировалось 1 раз.
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

paradox_
проходил мимо

Re: Squid не пропускает.

Непрочитанное сообщение paradox_ » 2008-07-02 18:18:41

тыкнуть носом неполучиться
так как фаер ваш нужно весь переписывать
начините с того что поставте правило allow from any to any

а потом уже добавляйте
и не добавляйте того что непониматет как оно работает
а fwd нужно на via out
если на то пошло
но это при правильном фаере

Аватара пользователя
JeaRmiX
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-10 11:08:12
Откуда: Киев
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение JeaRmiX » 2008-07-02 18:28:20

paradox_ писал(а): а fwd нужно на via out

Код: Выделить всё

${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
_______________________________________________________________________________
Штирлиц открыл форточку — из нее дуло...

paradox_
проходил мимо

Re: Squid не пропускает.

Непрочитанное сообщение paradox_ » 2008-07-02 18:32:56

Код: Выделить всё

via
via out
via in
все
марш ищи фаер
нечего угадыванием заниматься


Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение zingel » 2008-07-02 18:42:21

марш

Код: Выделить всё

man ipfw
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение alex3 » 2008-07-03 8:27:40

вот для таких и нужна "идея" Лиссяры. Самому лень читать - за денюшку другие настроят.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение manefesto » 2008-07-03 8:53:11

дайте денюжек...настрою
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение Alex Keda » 2008-07-03 9:34:05

проблема в том, что читать не хотят, учитсья новому хотят, но как-то старнно - не читая, рандомно тыкаясь и пытаяссь сделать.
психика травмированная M$ с мышиными интерфейсами...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Squid не пропускает.

Непрочитанное сообщение manefesto » 2008-07-03 10:06:16

я кстати ему свой рабочий конфиг сквида давал(он минимальный).
Топикстартер: кто будет писать???:

Код: Выделить всё

${FwCMD} add allow ip from any to any via lo0
Я один раз наткнулся.

Фарйвол начинай осваивать с написания небольших правил. Нахрапом не получится
я такой яростный шо аж пиздеЦ
Изображение