Рубим (криво) порты squid`ом

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
shamahn
рядовой
Сообщения: 15
Зарегистрирован: 2009-12-10 4:35:41
Контактная информация:

Рубим (криво) порты squid`ом

Непрочитанное сообщение shamahn » 2009-12-18 11:14:21

Уже подходит к концу почти 3 недели войны с фрей, и по приблизительным подсчетам, результаты не в мою пользу:-)
Надыбал тут статейку
http://www.opennet.ru/base/net/freebsd_gw2.txt.html
из всего того что там нарисовано, меня заинтересовало ообрубание сквидом портов icq (ну, а если попрет, думаю, разрулю я, наконец, всем что хотел).

Прозрачный проксик, вроде, у меня настроен, http-ftp пуляет. Заворачиваю, как написано в статье, и остальные порты в сквид, добавляю правило (для начало - параноидальное, - запрет всех портов, кроме icq.) Http - отваливается, icq тоже перестает работать.

Не буду выклады конфы, пока. Все равно, мало кто читает большие статьи (но если кто откликнется - буду ооооочень признателен). Хотелось бы пока, для начала, разъяснить один момент:
Нат организован средствами IPFW_NAT, squid (3 версии) установлен с опцией QUID_IPFW. Трафик заворачивается в squid на 127.0.0.1:3128. В конфиге squid указан:

Код: Выделить всё

http_port 127.0.0.1 3128 transparent
Так вот смущает меня этот этот транспарент, нужен ли он? если его убрать, проксик начинает доменные имена в запросах, например, в бровзере пишешь, http://bbb.de/?mm, - получается ошибка, плохой урл: /?mm.

Если кто-нибудь, заметил что-нибудь знакомое, прошу - не проходим мимо;)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение hizel » 2009-12-18 13:18:50

зачем вам сквид?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
shamahn
рядовой
Сообщения: 15
Зарегистрирован: 2009-12-10 4:35:41
Контактная информация:

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение shamahn » 2009-12-18 13:47:32

hizel писал(а):зачем вам сквид?
мне начинает нравится Ваша своеобразная манера помогать ;) я, вроде начинаю понимать. И Вы правы)
Squid - http-прокси. Нужен он мне для того, чтобы проверять трафик на ненужные элементы, и разрешать/запрещать/очищать;)

Теперь развивая мысль, подпнутую Вашим риторическим вопросом - ОН ЭТО ДЕЛАЕТ =)
А далее - все просто.. Так как quid - хттп прокси, то он таскает хттп. Если мы хотим использовать его с для других потребностей, необходимо, чтобы эти наши потребности могли работать с http-прокси.
Ну а дальше все совсем просто.. Настараиваем (например) айсикю клиент на работу с хттп-проксиком - все работает, но, вся красота прозрачного проксирования исчезает)

И так, для будущих поколений:
Не пытайтесь заставить хттп-прокси сделать то, чего они не должны делать. (Вот если б мне кто-то так ответил, я б давно все понял и не ломал бы себе и squid`у мозг двое суток.

Еще раз спасибо, hizel!

Вот только теперь вопрос.. Как бы мне удобненько порезать порты, кому надо :cz2: , желательно еще и по макам :st:

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение hizel » 2009-12-18 14:28:12

нет ну вот честно хотел набросать вам ipfw правила, но руки опускаются, вы бы всетаки внимательно почитали man ipfw и страничку описания ipfw в хэндбуке, разобрали примеры из обоих источников, посотрели статьи на эту тему. и пока забудьте об mac адресах, если все остальное у вас будет работать, то проверку mac мы потом добавим в работающий конфиг :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
shamahn
рядовой
Сообщения: 15
Зарегистрирован: 2009-12-10 4:35:41
Контактная информация:

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение shamahn » 2009-12-18 15:29:45

hizel писал(а):нет ну вот честно хотел набросать вам ipfw правила, но руки опускаются, вы бы всетаки внимательно почитали man ipfw
Каждый день пытаюсь сесть почитать, но я пока еще не научился мыслить (моск перестроить) как надо... все еще блондинковские замашки не отпускают после форточек :)
hizel писал(а):и страничку описания ipfw в хэндбуке,
Этот раздел не переведен. Технический нерусский пока оставляет желать лучшего. Вообще, чтобы норм разобраться, надо сесть и самому перевести и то и другое..
разобрали примеры из обоих источников
,
На выходных, думаю, займусь
пока забудьте об mac адресах, если все остальное у вас будет работать
,
все работает) может не так как надо, но работает) хттп заворачивается в прокси. Остальное ходит натом. На нате все чистится и рубится... Все работает, кроме удобного манагирования пользователями и портами. Ну и мелкий тюнинг сервака остался (обновления по крону, включения/выключения, анализ и очистка логов). Этому мне еще учиться прийдется.
то проверку mac мы потом добавим в работающий конфиг
На сколько хватает моего образования (а оно находится в состоянии бегинер =) конфиг ipfw работает идеально)

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1286
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение vintovkin » 2009-12-18 22:13:53

какая у вас задача?
какие именно порты надо запретиь?
Junos OS kernel based on FreeBSD UNIX.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Рубим (криво) порты squid`ом

Непрочитанное сообщение schizoid » 2009-12-19 12:54:52

первое и основное, вам необходимо научиться четко формировать вопрос, как для себя, так и лдя людей. из выше сказанного я вообще нифига не понял что у вас есть, что не работает и что вы хотите сделать.
ядерный взрыв...смертельно красиво...жаль, что не вечно...