Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
ffzema
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2007-09-26 14:54:53
Непрочитанное сообщение
ffzema » 2007-09-26 15:36:49
Здравствуйте у меня проблемма
squid 2.6+ipfw
когда с клиента коннектишься выдает ошибку
Код: Выделить всё
wget ya.ru
--16:24:05-- http://ya.ru/
=> `index.html.1'
Преобразование адреса ya.ru... 213.180.204.8, 87.250.251.8
Устанавливается соединение с ya.ru|213.180.204.8|:80... соединились.
Запрос HTTP послан, ожидание ответа... 403 Forbidden
16:24:05 ОШИБКА 403: Forbidden.
Где может быть ошибка помогите плиз
squid.conf
Код: Выделить всё
http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.0.76
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10
acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.0.0/24
#acl denied_sites dstdomain \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
/etc/rc.firewall
Код: Выделить всё
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
access.log
Код: Выделить всё
1190824282.858 0 192.168.0.18 TCP_NEGATIVE_HIT/403 1502 GET http://ya.ru/ - NONE/- text/html
cache.log
Код: Выделить всё
2007/09/26 16:30:20| WARNING: Forwarding loop detected for:
Client: 192.168.0.76 http_port: 87.250.251.8:80
GET http://ya.ru/ HTTP/1.0
User-Agent: Wget/1.10.2
Accept: */*
Host: ya.ru
Via: 1.0 mail.my_domain.ru:3128 (squid/2.6.STABLE13+ICAP)
X-Forwarded-For: 192.168.0.18
Cache-Control: max-age=259200
Connection: keep-alive
store.log
Код: Выделить всё
1190824220.548 RELEASE -1 FFFFFFFF 2EA6E236BFA9A511DABD37CFAA09EE3D 403 1190824220 0 1190824220 text/html 1067/1067 GET http://ya.ru/
Последний раз редактировалось
Alex Keda 2007-09-26 16:57:31, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...
ffzema
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
-cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
-
Контактная информация:
Непрочитанное сообщение
-cat- » 2007-09-26 15:54:12
1. Информация неполная, явно не хватает вывода
2. В Squide забей все http_access до
и посмотри что будет
-cat-
-
Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
-
Контактная информация:
Непрочитанное сообщение
Alex Keda » 2007-09-26 16:59:17
и юзай кнопочку code - ибо вот -cat- захотел разбираться в портянке что ты вывалил, а я ууже не хочу.
мне хватило минуты убитой на расставление тегов.
а мог бы ту же минуту потратить на въезжание в твою проблему.
Убей их всех! Бог потом рассортирует...
Alex Keda
-
ffzema
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2007-09-26 14:54:53
Непрочитанное сообщение
ffzema » 2007-09-27 7:20:20
Код: Выделить всё
ipfw -a list
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="sis0" # внешний интерфейс
LanIn="rl0" # внутренний интерфейс
IpOut="192.168.1.76" # внешний IP адрес машины
IpIn="192.168.0.76" # внутренний IP машины
NetMask="24"
00100 0 0 check-state
00200 7902 997116 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 10.0.0.0/8 in via sis0
00600 0 0 deny ip from any to 172.16.0.0/12 in via sis0
00700 0 0 deny ip from any to 0.0.0.0/8 in via sis0
00800 0 0 deny icmp from any to any frag
00900 256 15705 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via sis0
01000 86 5453 divert 8668 ip from 192.168.0.0/24 to any out via sis0
01100 593 395731 divert 8668 ip from any to 192.168.1.76 in via sis0
01200 1453 500202 allow tcp from any to any established
01300 183 11673 allow ip from 192.168.1.76 to any out xmit sis0
01400 86 22495 allow udp from any 53 to any via sis0
01500 0 0 allow udp from any to any dst-port 53 via sis0
01600 0 0 allow udp from any to any dst-port 123 via sis0
01700 0 0 allow tcp from any to 192.168.1.76 dst-port 21 via sis0
01800 0 0 allow tcp from any to 192.168.1.76 dst-port 6667 via sis0
01900 0 0 allow tcp from any to 192.168.1.76
02000 0 0 allow tcp from any to 192.168.1.76 dst-port 49152-65535 via sis0
02100 9 700 allow icmp from any to any icmptypes 0,8,11
02200 0 0 allow tcp from any to 192.168.1.76 dst-port 22 via sis0
02300 238 14288 allow tcp from any to any via rl0
02400 222 32913 allow udp from any to any via rl0
02500 0 0 allow icmp from any to any via rl0
02600 25 1872 deny ip from any to any
65535 0 0 allow ip from any to any
Поставил везде allow
Проблемма таже
И еще если пакеты в ipfw не перенаправляешь на squid, то инет раздается
ffzema
-
-cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
-
Контактная информация:
Непрочитанное сообщение
-cat- » 2007-09-27 7:42:58
Полагаю ошибка здесь
ffzema писал(а):И еще если пакеты в ipfw не перенаправляешь на squid, то инет раздается
Клиенты лезут напрямую через NATD, а не через SQUID
-cat-
-
ffzema
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2007-09-26 14:54:53
Непрочитанное сообщение
ffzema » 2007-09-27 9:43:40
Да все получилось. Ура!
Спапсибо -cat- за помощь. Поставил
то есть внешнюю сетевуху, которая в инет смотрит и все заработало.
Буду ща прикручивать clam.
Удачи всем
ffzema