Squid Transparent Proxy

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 10:58:39

pimlab писал(а):
set писал(а):rdr pass on $lan inet proto tcp from any to $lan port $web -> 127.0.0.1 port 3128 - это правило что должно делать?
И не помню, какое

Код: Выделить всё

#Interfaces
wan="fxp0"
lan="rl0"

web="{80:83 1080 8080:8088 11523}"

set block-policy drop
set skip on lo0
scrub in all

#WWW transperent
rdr pass on $lan inet proto tcp from any to $lan port $web -> $loop port 3128
nat on $lan inet proto tcp tagged FTP -> ($wan)

pass in all
pass out all
Переброска с 80 на 3128 работает, сквид не хочет пахать в прозрачном режиме.... :st:

Код: Выделить всё

table <home_lan> const { 192.168.0.0/24 }

rdr pass on $lan inet proto tcp from <home_lan> to any port $web -> $loop port 3128
Внес предложенные изменения в pf.conf. Переброска есть, прозрачности нет. Может кто-нибудь настраивал сквид в прозрачном режиме на FreeBSD81, подскажите пожалуйста, как добились его работы, какие версии программ использовали.
Все относительно

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-11 11:22:31

честно говоря настроил давно и постепенно обновляю по мере обновления , а также настроил wpad (автоматом прописывается proxy на клиенте)и нет проблем ....
что squid говорит ?

Код: Выделить всё

pfctl -sn

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 11:32:18

pimlab писал(а):честно говоря настроил давно и постепенно обновляю по мере обновления , а также настроил wpad (автоматом прописывается proxy на клиенте)и нет проблем ....
что squid говорит ?

Код: Выделить всё

pfctl -sn

Код: Выделить всё

freebsd# pfctl -sn
nat on rl0 inet proto tcp all tagged FTP -> (fxp0) round-robin
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port 80:83 -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port = socks -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port 8080:8088 -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port = 11523 -> 127.0.0.1 port 3128
access.log при попытке подключится в прозрачном режиме молчит, вот последние записи:

Код: Выделить всё

freebsd# pwd
/var/squid/logs

freebsd# tail -f access.log
1289474709.111    396 192.168.1.2 TCP_MISS/302 399 GET http://kiks.yandex.ru/su/ - DIRECT/93.158.134.143 -
1289474709.127      0 192.168.1.2 TCP_IMS_HIT/304 398 GET http://kiks.yandex.ru/system/fc06.html - NONE/- text/html
1289474712.469     23 192.168.1.2 TCP_MISS/200 6982 GET http://ya.ru/ - DIRECT/87.250.250.3 text/html
1289474712.714    268 192.168.1.2 TCP_MISS/200 890 GET http://sitecheck2.opera.com/? - DIRECT/91.203.99.45 text/xml
1289474712.844      8 192.168.1.2 TCP_MISS/200 618 GET http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0 - DIRECT/217.73.200.219 image/gif
1289474712.850      4 192.168.1.2 TCP_MISS/302 399 GET http://kiks.yandex.ru/su/ - DIRECT/93.158.134.143 -
1289474712.853      0 192.168.1.2 TCP_IMS_HIT/304 398 GET http://kiks.yandex.ru/system/fc06.html - NONE/- text/html
1289474712.917     14 192.168.1.2 TCP_MISS/200 641 GET http://www.yandex.ru/data/mail.js? - DIRECT/87.250.251.3 text/javascript
1289474712.935      0 192.168.1.2 TCP_IMS_HIT/304 361 GET http://suggest.yandex.ru/jquery-1-4-2.crossframeajax.html - NONE/- text/html
1289474712.951    104 192.168.1.2 TCP_MISS/200 579 GET http://mc.yandex.ru/watch/723233 - DIRECT/77.88.21.190 image/gif
Все относительно

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-11 11:57:52

А это полный pf.conf?

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-11 12:07:37

Так у вас авторизация стоит на squid ?
тогда прозрачно и не будет

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 12:09:07

pimlab писал(а):А это полный pf.conf?

Код: Выделить всё

#Interfaces
wan="fxp0"
lan="rl0"

web="{80:83 1080 8080:8088 11523}"

set block-policy drop
set skip on lo0
scrub in all

#WWW transperent
rdr pass on $lan inet proto tcp from any to $lan port $web -> $loop port 3128
nat on $lan inet proto tcp tagged FTP -> ($wan)

pass in all
pass out all
Вот это полный pf.conf
Все относительно

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Squid Transparent Proxy

Непрочитанное сообщение Burner » 2010-11-11 12:25:56

ну почему, почему from any to $lan то?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение manefesto » 2010-11-11 12:54:18

from $lan to any
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 13:08:35

Burner писал(а):ну почему, почему from any to $lan то?
Я исправил, сути не меняет. Сквид не работает в прозрачном режиме
Все относительно

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Squid Transparent Proxy

Непрочитанное сообщение Burner » 2010-11-11 14:58:48

set писал(а):Я исправил, сути не меняет. Сквид не работает в прозрачном режиме
суть абсолютно меняет
ls -l /dev/pf

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение manefesto » 2010-11-11 15:59:18

быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 16:50:05

manefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- сборка squid выполнена с учетом pf
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:

Код: Выделить всё

#Interfaces
wan="fxp0"
lan="rl0"

web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all

#WWW transperent
rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port
nat on $lan inet proto tcp  -> ($lan)

pass in all
pass out all
Гугл излазен до дыр в течении 2х последних дней по теме прозрачный прокси сквид на фре. Как я уже писал если указываю в браузере настройках прокси порт 80 и шлюз 192.168.1.1 - инет есть, если проксик не указываю - нет. http_port 3128 transparent в конфиге сквид указан.
Все относительно

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 16:53:00

Burner писал(а):
set писал(а):Я исправил, сути не меняет. Сквид не работает в прозрачном режиме
суть абсолютно меняет
ls -l /dev/pf
freebsd# ls -l /dev/pf
crw------- 1 root wheel 0, 72 Nov 11 12:05 /dev/pf
Все относительно

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 17:04:26

set писал(а):
manefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- сборка squid выполнена с учетом pf
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:

Код: Выделить всё

#Interfaces
wan="fxp0"
lan="rl0"

web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all

#WWW transperent
rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port
nat on $lan inet proto tcp  -> ($lan)

pass in all
pass out all
Гугл излазен до дыр в течении 2х последних дней по теме прозрачный прокси сквид на фре. Как я уже писал если указываю в браузере настройках прокси порт 80 и шлюз 192.168.1.1 - инет есть, если проксик не указываю - нет. http_port 3128 transparent в конфиге сквид указан.
в строчке

Код: Выделить всё

rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port 
порт 3128 не влез, но в конфе он есть (криво скопировал, с путти еще не привык работать)
Все относительно

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-11 17:13:11

set писал(а):
manefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- сборка squid выполнена с учетом pf
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:

Код: Выделить всё

#Interfaces
wan="fxp0"
lan="rl0"

web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all

#WWW transperent
rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port
nat on $lan inet proto tcp  -> ($lan)

pass in all
pass out all
Гугл излазен до дыр в течении 2х последних дней по теме прозрачный прокси сквид на фре. Как я уже писал если указываю в браузере настройках прокси порт 80 и шлюз 192.168.1.1 - инет есть, если проксик не указываю - нет. http_port 3128 transparent в конфиге сквид указан.
обьясните наконец , какой внутренний и какой внешний интерфейс .....
если fxp внешний , то и нат будет там

Код: Выделить всё

nat on $wan from !($wan) -> ($wan:0)

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 17:18:56

pimlab писал(а):Так у вас авторизация стоит на squid ?
тогда прозрачно и не будет
попробую пересобрать без учета возможности авторизации.
Все относительно

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 17:59:12

pimlab писал(а): обьясните наконец , какой внутренний и какой внешний интерфейс .....
если fxp внешний , то и нат будет там

Код: Выделить всё

nat on $wan from !($wan) -> ($wan:0)
Внешний $wan="fxp0"
Внутренний $lan="rl0"

не помогло, я даже полностью строчку с нат закомментировал, ничего не изменилось, видимо она и не нужна. И из конфига самся все признаки авторизации я убрал и его собрал без поддержки авторизации. Но он всеравно не прозрачен.
Все относительно

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-11 18:29:48

покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-11 19:37:06

pimlab писал(а):покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?
Да, пускает, если в браузере прокси указать и порт можно 3128 или 80. Конфиги завтра утром кину, седня уже доступа к машине нет.
Все относительно

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-12 10:40:09

pimlab писал(а):покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?
pf.conf

Код: Выделить всё

wan="fxp0"
lan="rl0"
loop="127.0.0.1"
web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all
rdr pass on $lan inet proto tcp from 192.168.1.0/24 to any port $web  -> $loop port 3128
pass in all
pass out all
squid.conf

Код: Выделить всё

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/squid/logs/access.log squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /var/squid/cache

rc.conf

Код: Выделить всё

defaultrouter="192.168.0.1"
hostname="freebsd.localhost"
ifconfig_fxp0="inet 192.168.0.96  netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.1.1  netmask 255.255.255.0"
gateway_enable="YES"
keymap="ru.koi8-r"
pf_enable="YES"
pf_rules="/etc/pf.conf"
moused_enable="YES"
sshd_enable="YES"
apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"
Версии:

Код: Выделить всё

freebsd# uname -a
FreeBSD freebsd.localhost 8.1-RELEASE FreeBSD 8.1-RELEASE #1: Wed Nov 10 14:53:56 UTC 2010     user@freebsd.localhost:/usr/obj/usr/src/sys/MYKERNEL  i386

freebsd# pkg_info | grep squid
squid-2.7.9         HTTP Caching Proxy
Проблемы - какие и были: прозрачный прокси не работает, обычный работает (с 80 или 3128 порта без разницы)... У меня решения нет. Начинаю склонятся к мысли о переустановки системы, может 8.1 со сквидом ваще работать в прозрачном режиме не хочет думаю попробовать 7.3 ( хотя сильно в этом сомневаюсь)
Все относительно

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-12 11:15:39

1. Прозрачно на 7.1 и 8.1 с squid 2.7.9 работает и это факт!
2. Проверте ,если все таки раскоментировать нат в пф и пустить все напраймую без проxы. работать будет?
3. Ну не вижу я никаких проблем...

Что за клиент, browser?
У меня еще в squid.conf

Код: Выделить всё

forwarded_for off
, но это совсем другая история.

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-12 11:54:42

pimlab писал(а):1. Прозрачно на 7.1 и 8.1 с squid 2.7.9 работает и это факт!
2. Проверте ,если все таки раскоментировать нат в пф и пустить все напраймую без проxы. работать будет?
3. Ну не вижу я никаких проблем...

Что за клиент, browser?
У меня еще в squid.conf

Код: Выделить всё

forwarded_for off
, но это совсем другая история.
Опера и эксплорер пробовал

параметры установки сквид, я указал все кроме авторизации...

Код: Выделить всё

freebsd# squid -v
Squid Cache: Version 2.7.STABLE9
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=ufs diskd null aufs coss' '--enable-delay-pools' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' '--enable-icmp' '--disable-internal-dns' '--enable-htcp' '--enable-forw-via-db' '--enable-cache-digests' '--enable-wccpv2' '--disable-http-violations' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '--enable-pf-transparent' '--enable-ipf-transparent' '--enable-follow-x-forwarded-for' '--with-large-files' '--enable-large-cache-files' '--enable-stacktraces' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.1' 'build_alias=i386-portbld-freebsd8.1' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -g -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CPP=cpp'
Все относительно

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Squid Transparent Proxy

Непрочитанное сообщение Burner » 2010-11-12 12:25:31

chown root:squid /dev/pf
chmod g+w /dev/pf

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Squid Transparent Proxy

Непрочитанное сообщение pimlab » 2010-11-12 12:32:10

Burner писал(а):chown root:squid /dev/pf
chmod g+w /dev/pf
это по моему для squid3 нужно иначе ругаться, но пашет

Аватара пользователя
set
рядовой
Сообщения: 20
Зарегистрирован: 2010-11-10 13:38:07
Контактная информация:

Re: Squid Transparent Proxy

Непрочитанное сообщение set » 2010-11-12 12:37:20

Burner писал(а):chown root:squid /dev/pf
chmod g+w /dev/pf
сделал chmod 777. Не помогло. Снес все, по новой настраиваю 7.3 ...
Все относительно