squid - весёлый простой вопрос %)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-18 6:50:12

Код: Выделить всё

cat squid.conf | grep 250:
http_port 192.168.121.250:3128
http_port 192.168.121.250:3129 transparent

sockstat -4l | grep tcp | grep squid
squid    squid      1935  10 tcp4   192.168.121.250:3128  *:*
squid    squid      1935  13 tcp4   192.168.121.250:3129  *:*

02105 fwd 192.168.121.250,3128 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443
02106 fwd 192.168.121.250,3129 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443
02107 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443
а теперь, внимание вопрос (С)

какое fwd правило верное? :-D
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alvares
прапорщик
Сообщения: 470
Зарегистрирован: 2008-07-10 12:48:08
Откуда: Воронеж
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение Alvares » 2014-09-18 7:46:00

105
Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными...

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-18 8:02:24

Alvares писал(а):105
ну зачем так серьезно
я ж говорю, вопрос весёлый)
зы. ответ не верный) еще варианты есть?
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!


Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-18 9:19:04

там на самом деле любое срабатывает, независимо на чо форвардить.. хоть на 65535 :-D
такая вот веселуха
Alvares писал(а):105
а почему 105 то?
я ожидал вопчето 106 :bn:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-18 13:01:44

блин, веселого то мало на самом деле..
непонятно. а непонятного я боюсь, потому дропаю всё нах..
зы. гипотезы приветствуются)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Alvares
прапорщик
Сообщения: 470
Зарегистрирован: 2008-07-10 12:48:08
Откуда: Воронеж
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение Alvares » 2014-09-18 16:06:58

полный конфиг ipfw привести надо. Мож там чего раньше 0210* форвардит? И дело не в этих правилах?
Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными...

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-19 6:07:35

Alvares писал(а):полный конфиг ipfw привести надо. Мож там чего раньше 0210* форвардит? И дело не в этих правилах?
да логика то в принципе простая
есть два роутера .1 и .250
на первом есть еще нат в соседнюю 10-ю сетку
на втором роутере сквида с авторизацией (шас еще добавил туда немного ацээлей для части "прозрачных" узеров, что с первого роутера)
факт в том, что если этот 02100-й форвард убрать, то всё как и положено, "прозрачно" не работает, если добавить - работает :pardon:

Код: Выделить всё

00051 count ip from any to any in via vlan195
00052 count ip from any to any out via vlan195
00053 count ip from any to any in via fxp0
00054 count ip from any to any out via fxp0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 192.168.121.0/24 to any in via vlan195
00500 deny log ip from 10.195.35.0/30 to any in via fxp0
00600 deny ip from any to not 10.195.35.1 in via vlan195
00700 allow tcp from 192.168.121.0/24 to 192.168.0.0/16 dst-port 80,443
00900 nat 8999 ip from any to 10.195.35.1 in via vlan195
01700 nat 8999 ip from 192.168.121.0/24{3-254} to 10.0.0.0/8 out via vlan195
02100 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to not 10.0.0.0/8 dst-port 80,443
02800 deny log ip from not 10.195.35.1 to any out via vlan195
02900 allow ip from any to any frag
03000 allow tcp from any to any established
03100 allow tcp from 192.168.1.5,192.168.1.8 to 10.195.35.1 dst-port 25 setup
03400 deny log tcp from any to any in via vlan195 setup
03500 allow tcp from any to any setup
03700 allow udp from any 1701 to 10.195.35.1 dst-port 1701 in via vlan195
03800 allow udp from 10.195.35.1 to any dst-port 53 out via vlan195 keep-state
03900 allow udp from 10.195.9.1,10.195.9.4 53 to 10.195.35.1 dst-port 50000 in via vlan195
04000 allow udp from 10.195.35.1 to any dst-port 33434-33524 out via vlan195 keep-state
04200 allow udp from any to 192.168.121.0/24 in via vlan195
04300 deny log udp from any to any via vlan195
65520 deny log ip from any to any
65535 deny ip from any to any
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Alvares
прапорщик
Сообщения: 470
Зарегистрирован: 2008-07-10 12:48:08
Откуда: Воронеж
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение Alvares » 2014-09-19 9:03:38

2100 и 700 поменять местами не? И где ваши 210(5-7) правила?
Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными...

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-19 9:26:33

Alvares писал(а):2100 и 700 поменять местами не? И где ваши 210(5-7) правила?
неа, всё равно трафик прёт..

Код: Выделить всё

00650     1500       75860 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to not 10.0.0.0/8 dst-port 80,443
лять, куда он прёт то, если порт 4129 не прослушивается? ничо непойму :evil:
И где ваши 210(5-7) правила?
да они равнозначные.. там любой порт пиши, и - трафик прёт..
эт я с целью наглядности\упрощения.. (то, что НЕ в 10/8 == any)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Гость
проходил мимо

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение Гость » 2014-09-19 22:29:10

Вы форвардите кажись на другую машину, адрес не локальный, в этом случае куда девается ваш порт см. man ipfw.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1310
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: squid - весёлый простой вопрос %)

Непрочитанное сообщение dekloper » 2014-09-21 12:52:01

Гость писал(а):Вы форвардите кажись на другую машину, адрес не локальный, в этом случае куда девается ваш порт см. man ipfw.
а ведь вы правы, действительно не локальный.. спасибо за наводку. man, как всегда всемогущ :Yahoo!:
==
а скока еще "странных" спецэффектов может показать ipfw..
можно же сделать fwd вообще всего трафика, и смысл последующих правил потеряется..
а тот же skipto.. всю логику с ног на голову перевернуть можно..
зато "гибкость" правил :pardon:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!