Рубим (криво) порты squid`ом

[shamahn]

Уже подходит к концу почти 3 недели войны с фрей, и по приблизительным подсчетам, результаты не в мою пользу:-)
Надыбал тут статейку
http://www.opennet.ru/base/net/freebsd_gw2.txt.html
из всего того что там нарисовано, меня заинтересовало ообрубание сквидом портов icq (ну, а если попрет, думаю, разрулю я, наконец, всем что хотел).

Прозрачный проксик, вроде, у меня настроен, http-ftp пуляет. Заворачиваю, как написано в статье, и остальные порты в сквид, добавляю правило (для начало - параноидальное, - запрет всех портов, кроме icq.) Http - отваливается, icq тоже перестает работать.

Не буду выклады конфы, пока. Все равно, мало кто читает большие статьи (но если кто откликнется - буду ооооочень признателен). Хотелось бы пока, для начала, разъяснить один момент:
Нат организован средствами IPFW_NAT, squid (3 версии) установлен с опцией QUID_IPFW. Трафик заворачивается в squid на 127.0.0.1:3128. В конфиге squid указан:

Код: Выделить всё

http_port 127.0.0.1 3128 transparent

Так вот смущает меня этот этот транспарент, нужен ли он? если его убрать, проксик начинает доменные имена в запросах, например, в бровзере пишешь, http://bbb.de/?mm, - получается ошибка, плохой урл: /?mm.

Если кто-нибудь, заметил что-нибудь знакомое, прошу - не проходим мимо;)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

зачем вам сквид?

[shamahn]

зачем вам сквид?

мне начинает нравится Ваша своеобразная манера помогать я, вроде начинаю понимать. И Вы правы)
Squid - http-прокси. Нужен он мне для того, чтобы проверять трафик на ненужные элементы, и разрешать/запрещать/очищать;)

Теперь развивая мысль, подпнутую Вашим риторическим вопросом - ОН ЭТО ДЕЛАЕТ
А далее - все просто.. Так как quid - хттп прокси, то он таскает хттп. Если мы хотим использовать его с для других потребностей, необходимо, чтобы эти наши потребности могли работать с http-прокси.
Ну а дальше все совсем просто.. Настараиваем (например) айсикю клиент на работу с хттп-проксиком - все работает, но, вся красота прозрачного проксирования исчезает)

И так, для будущих поколений:
Не пытайтесь заставить хттп-прокси сделать то, чего они не должны делать. (Вот если б мне кто-то так ответил, я б давно все понял и не ломал бы себе и squid`у мозг двое суток.

Еще раз спасибо, hizel!

Вот только теперь вопрос.. Как бы мне удобненько порезать порты, кому надо , желательно еще и по макам

[hizel]

нет ну вот честно хотел набросать вам ipfw правила, но руки опускаются, вы бы всетаки внимательно почитали man ipfw и страничку описания ipfw в хэндбуке, разобрали примеры из обоих источников, посотрели статьи на эту тему. и пока забудьте об mac адресах, если все остальное у вас будет работать, то проверку mac мы потом добавим в работающий конфиг

[shamahn]

нет ну вот честно хотел набросать вам ipfw правила, но руки опускаются, вы бы всетаки внимательно почитали man ipfw

Каждый день пытаюсь сесть почитать, но я пока еще не научился мыслить (моск перестроить) как надо... все еще блондинковские замашки не отпускают после форточек

и страничку описания ipfw в хэндбуке,

Этот раздел не переведен. Технический нерусский пока оставляет желать лучшего. Вообще, чтобы норм разобраться, надо сесть и самому перевести и то и другое..

разобрали примеры из обоих источников

,
На выходных, думаю, займусь

пока забудьте об mac адресах, если все остальное у вас будет работать

,
все работает) может не так как надо, но работает) хттп заворачивается в прокси. Остальное ходит натом. На нате все чистится и рубится... Все работает, кроме удобного манагирования пользователями и портами. Ну и мелкий тюнинг сервака остался (обновления по крону, включения/выключения, анализ и очистка логов). Этому мне еще учиться прийдется.

то проверку mac мы потом добавим в работающий конфиг

На сколько хватает моего образования (а оно находится в состоянии бегинер конфиг ipfw работает идеально)

[vintovkin]

какая у вас задача?
какие именно порты надо запретиь?

[schizoid]

первое и основное, вам необходимо научиться четко формировать вопрос, как для себя, так и лдя людей. из выше сказанного я вообще нифига не понял что у вас есть, что не работает и что вы хотите сделать.