Внес предложенные изменения в pf.conf. Переброска есть, прозрачности нет. Может кто-нибудь настраивал сквид в прозрачном режиме на FreeBSD81, подскажите пожалуйста, как добились его работы, какие версии программ использовали.pimlab писал(а):set писал(а):rdr pass on $lan inet proto tcp from any to $lan port $web -> 127.0.0.1 port 3128 - это правило что должно делать?
И не помню, какоеПереброска с 80 на 3128 работает, сквид не хочет пахать в прозрачном режиме....Код: Выделить всё
#Interfaces wan="fxp0" lan="rl0" web="{80:83 1080 8080:8088 11523}" set block-policy drop set skip on lo0 scrub in all #WWW transperent rdr pass on $lan inet proto tcp from any to $lan port $web -> $loop port 3128 nat on $lan inet proto tcp tagged FTP -> ($wan) pass in all pass out all
Код: Выделить всё
table <home_lan> const { 192.168.0.0/24 } rdr pass on $lan inet proto tcp from <home_lan> to any port $web -> $loop port 3128
Squid Transparent Proxy
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
Все относительно
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
честно говоря настроил давно и постепенно обновляю по мере обновления , а также настроил wpad (автоматом прописывается proxy на клиенте)и нет проблем ....
что squid говорит ?
что squid говорит ?
Код: Выделить всё
pfctl -sn
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
pimlab писал(а):честно говоря настроил давно и постепенно обновляю по мере обновления , а также настроил wpad (автоматом прописывается proxy на клиенте)и нет проблем ....
что squid говорит ?Код: Выделить всё
pfctl -sn
Код: Выделить всё
freebsd# pfctl -sn
nat on rl0 inet proto tcp all tagged FTP -> (fxp0) round-robin
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port 80:83 -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port = socks -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port 8080:8088 -> 127.0.0.1 port 3128
rdr pass on rl0 inet proto tcp from 192.168.1.0/24 to any port = 11523 -> 127.0.0.1 port 3128
Код: Выделить всё
freebsd# pwd
/var/squid/logs
freebsd# tail -f access.log
1289474709.111 396 192.168.1.2 TCP_MISS/302 399 GET http://kiks.yandex.ru/su/ - DIRECT/93.158.134.143 -
1289474709.127 0 192.168.1.2 TCP_IMS_HIT/304 398 GET http://kiks.yandex.ru/system/fc06.html - NONE/- text/html
1289474712.469 23 192.168.1.2 TCP_MISS/200 6982 GET http://ya.ru/ - DIRECT/87.250.250.3 text/html
1289474712.714 268 192.168.1.2 TCP_MISS/200 890 GET http://sitecheck2.opera.com/? - DIRECT/91.203.99.45 text/xml
1289474712.844 8 192.168.1.2 TCP_MISS/200 618 GET http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0 - DIRECT/217.73.200.219 image/gif
1289474712.850 4 192.168.1.2 TCP_MISS/302 399 GET http://kiks.yandex.ru/su/ - DIRECT/93.158.134.143 -
1289474712.853 0 192.168.1.2 TCP_IMS_HIT/304 398 GET http://kiks.yandex.ru/system/fc06.html - NONE/- text/html
1289474712.917 14 192.168.1.2 TCP_MISS/200 641 GET http://www.yandex.ru/data/mail.js? - DIRECT/87.250.251.3 text/javascript
1289474712.935 0 192.168.1.2 TCP_IMS_HIT/304 361 GET http://suggest.yandex.ru/jquery-1-4-2.crossframeajax.html - NONE/- text/html
1289474712.951 104 192.168.1.2 TCP_MISS/200 579 GET http://mc.yandex.ru/watch/723233 - DIRECT/77.88.21.190 image/gif
Все относительно
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
А это полный pf.conf?
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
Так у вас авторизация стоит на squid ?
тогда прозрачно и не будет
тогда прозрачно и не будет
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
pimlab писал(а):А это полный pf.conf?
Код: Выделить всё
#Interfaces
wan="fxp0"
lan="rl0"
web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all
#WWW transperent
rdr pass on $lan inet proto tcp from any to $lan port $web -> $loop port 3128
nat on $lan inet proto tcp tagged FTP -> ($wan)
pass in all
pass out all
Все относительно
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2009-06-14 7:02:26
Re: Squid Transparent Proxy
ну почему, почему from any to $lan то?
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
Я исправил, сути не меняет. Сквид не работает в прозрачном режимеBurner писал(а):ну почему, почему from any to $lan то?
Все относительно
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2009-06-14 7:02:26
Re: Squid Transparent Proxy
суть абсолютно меняетset писал(а):Я исправил, сути не меняет. Сквид не работает в прозрачном режиме
ls -l /dev/pf
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
Re: Squid Transparent Proxy
быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
- сборка squid выполнена с учетом pfmanefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:
Код: Выделить всё
#Interfaces
wan="fxp0"
lan="rl0"
web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all
#WWW transperent
rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port
nat on $lan inet proto tcp -> ($lan)
pass in all
pass out all
Все относительно
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
freebsd# ls -l /dev/pfBurner писал(а):суть абсолютно меняетset писал(а):Я исправил, сути не меняет. Сквид не работает в прозрачном режиме
ls -l /dev/pf
crw------- 1 root wheel 0, 72 Nov 11 12:05 /dev/pf
Все относительно
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
в строчкеset писал(а):- сборка squid выполнена с учетом pfmanefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:Гугл излазен до дыр в течении 2х последних дней по теме прозрачный прокси сквид на фре. Как я уже писал если указываю в браузере настройках прокси порт 80 и шлюз 192.168.1.1 - инет есть, если проксик не указываю - нет. http_port 3128 transparent в конфиге сквид указан.Код: Выделить всё
#Interfaces wan="fxp0" lan="rl0" web="{80:83 1080 8080:8088 11523}" set block-policy drop set skip on lo0 scrub in all #WWW transperent rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port nat on $lan inet proto tcp -> ($lan) pass in all pass out all
Код: Выделить всё
rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port
Все относительно
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
обьясните наконец , какой внутренний и какой внешний интерфейс .....set писал(а):- сборка squid выполнена с учетом pfmanefesto писал(а):быстро в гугл.
при сборке сквида пиши что используется pf
в pf заворачиваешь на 3128, либо на локалхост либо на айпишник на котором висит выход в локалку
- pf разворачивает 80 -> 192.168.1.1:3128
pf.conf:Гугл излазен до дыр в течении 2х последних дней по теме прозрачный прокси сквид на фре. Как я уже писал если указываю в браузере настройках прокси порт 80 и шлюз 192.168.1.1 - инет есть, если проксик не указываю - нет. http_port 3128 transparent в конфиге сквид указан.Код: Выделить всё
#Interfaces wan="fxp0" lan="rl0" web="{80:83 1080 8080:8088 11523}" set block-policy drop set skip on lo0 scrub in all #WWW transperent rdr on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> 192.168.1.1 port nat on $lan inet proto tcp -> ($lan) pass in all pass out all
если fxp внешний , то и нат будет там
Код: Выделить всё
nat on $wan from !($wan) -> ($wan:0)
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
попробую пересобрать без учета возможности авторизации.pimlab писал(а):Так у вас авторизация стоит на squid ?
тогда прозрачно и не будет
Все относительно
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
Внешний $wan="fxp0"pimlab писал(а): обьясните наконец , какой внутренний и какой внешний интерфейс .....
если fxp внешний , то и нат будет тамКод: Выделить всё
nat on $wan from !($wan) -> ($wan:0)
Внутренний $lan="rl0"
не помогло, я даже полностью строчку с нат закомментировал, ничего не изменилось, видимо она и не нужна. И из конфига самся все признаки авторизации я убрал и его собрал без поддержки авторизации. Но он всеравно не прозрачен.
Все относительно
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?
а вообще без прокси в нетт пускает ?
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
Да, пускает, если в браузере прокси указать и порт можно 3128 или 80. Конфиги завтра утром кину, седня уже доступа к машине нет.pimlab писал(а):покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?
Все относительно
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
pf.confpimlab писал(а):покажите ка со всеми правильными последними изменениями свои конфоги squid.conf rc.conf pf.conf
а вообще без прокси в нетт пускает ?
Код: Выделить всё
wan="fxp0"
lan="rl0"
loop="127.0.0.1"
web="{80:83 1080 8080:8088 11523}"
set block-policy drop
set skip on lo0
scrub in all
rdr pass on $lan inet proto tcp from 192.168.1.0/24 to any port $web -> $loop port 3128
pass in all
pass out all
Код: Выделить всё
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/squid/logs/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /var/squid/cache
Код: Выделить всё
defaultrouter="192.168.0.1"
hostname="freebsd.localhost"
ifconfig_fxp0="inet 192.168.0.96 netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
gateway_enable="YES"
keymap="ru.koi8-r"
pf_enable="YES"
pf_rules="/etc/pf.conf"
moused_enable="YES"
sshd_enable="YES"
apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"
Код: Выделить всё
freebsd# uname -a
FreeBSD freebsd.localhost 8.1-RELEASE FreeBSD 8.1-RELEASE #1: Wed Nov 10 14:53:56 UTC 2010 user@freebsd.localhost:/usr/obj/usr/src/sys/MYKERNEL i386
freebsd# pkg_info | grep squid
squid-2.7.9 HTTP Caching Proxy
Все относительно
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
1. Прозрачно на 7.1 и 8.1 с squid 2.7.9 работает и это факт!
2. Проверте ,если все таки раскоментировать нат в пф и пустить все напраймую без проxы. работать будет?
3. Ну не вижу я никаких проблем...
Что за клиент, browser?
У меня еще в squid.conf, но это совсем другая история.
2. Проверте ,если все таки раскоментировать нат в пф и пустить все напраймую без проxы. работать будет?
3. Ну не вижу я никаких проблем...
Что за клиент, browser?
У меня еще в squid.conf
Код: Выделить всё
forwarded_for off
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
Опера и эксплорер пробовалpimlab писал(а):1. Прозрачно на 7.1 и 8.1 с squid 2.7.9 работает и это факт!
2. Проверте ,если все таки раскоментировать нат в пф и пустить все напраймую без проxы. работать будет?
3. Ну не вижу я никаких проблем...
Что за клиент, browser?
У меня еще в squid.conf, но это совсем другая история.Код: Выделить всё
forwarded_for off
параметры установки сквид, я указал все кроме авторизации...
Код: Выделить всё
freebsd# squid -v
Squid Cache: Version 2.7.STABLE9
configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--with-pthreads' '--enable-storeio=ufs diskd null aufs coss' '--enable-delay-pools' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' '--enable-icmp' '--disable-internal-dns' '--enable-htcp' '--enable-forw-via-db' '--enable-cache-digests' '--enable-wccpv2' '--disable-http-violations' '--enable-referer-log' '--enable-useragent-log' '--enable-arp-acl' '--enable-pf-transparent' '--enable-ipf-transparent' '--enable-follow-x-forwarded-for' '--with-large-files' '--enable-large-cache-files' '--enable-stacktraces' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.1' 'build_alias=i386-portbld-freebsd8.1' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/include -g -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CPP=cpp'
Все относительно
-
- лейтенант
- Сообщения: 693
- Зарегистрирован: 2009-06-14 7:02:26
Re: Squid Transparent Proxy
chown root:squid /dev/pf
chmod g+w /dev/pf
chmod g+w /dev/pf
-
- прапорщик
- Сообщения: 483
- Зарегистрирован: 2007-10-09 11:31:03
Re: Squid Transparent Proxy
это по моему для squid3 нужно иначе ругаться, но пашетBurner писал(а):chown root:squid /dev/pf
chmod g+w /dev/pf
- set
- рядовой
- Сообщения: 20
- Зарегистрирован: 2010-11-10 13:38:07
- Контактная информация:
Re: Squid Transparent Proxy
сделал chmod 777. Не помогло. Снес все, по новой настраиваю 7.3 ...Burner писал(а):chown root:squid /dev/pf
chmod g+w /dev/pf
Все относительно