странные прохождиния пакетов (сквид)

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2009-10-15 12:45:12

стоит сквид 3,0...заметил, что через правило

Код: Выделить всё

 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
не идут пакеты, когда лезешь в инет из локалки через прокси....и только иногда через некоторое время пакеты проходят и то - ели ели...

вот выхлоп правил

Код: Выделить всё

00050      0         0 check-state
00100      0         0 deny log logamount 100 ip from any to any frag
00200     96      6336 reject ip from any to any not verrevpath in
00300      0         0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00310      0         0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00320      0         0 reject tcp from any to any not established tcpflags fin
00400      0         0 deny tcp from any to any dst-port 113 in via xl0
00500      0         0 deny tcp from any to any dst-port 135-139 via xl0
00510      0         0 deny tcp from any to any dst-port 135-139 via rl0
00600      0         0 deny icmp from any to any frag
00610      0         0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00700      0         0 deny log logamount 100 icmp from any to 255.255.255.255 in via xl0
00710      0         0 deny log logamount 100 icmp from any to 255.255.255.255 out via xl0
00800      0         0 deny ip from any to 127.0.0.0/8
00810      0         0 deny ip from 127.0.0.0/8 to any
00900     96      6336 allow ip from any to any via lo0
00950      0         0 allow ip from any to any via ng0
00960      0         0 allow ip from any to any via ng1
00970      0         0 allow ip from any to any via ng2
01000      0         0 deny ip from 10.0.0.0/24 to any in via xl0
01010      0         0 deny ip from 10.0.1.0/24 to any in via rl0
01100      0         0 deny ip from any to 192.168.0.0/16 in via xl0
01110      0         0 deny ip from any to 172.16.0.0/12 in via xl0
01120      0         0 deny ip from any to 0.0.0.0/8 in via xl0
01130      0         0 deny ip from any to 169.254.0.0/16 in via xl0
01200      0         0 deny ip from any to 224.0.0.0/4 in via xl0
01210      0         0 deny ip from any to 240.0.0.0/4 in via xl0
01300      0         0 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
01400   2961    367494 divert 8668 ip from 10.0.0.0/24 to any out via xl0
01410  52847  64931798 divert 8668 ip from any to 10.0.1.2 in via xl0
как видно - по правилу 900 (разешаем всё по lo0) пакеты ходят туда...я так понял на сквид....возник вопрос - должно ли так быть??? ведь правило 1300 должно перехватывать и заворачивать 80 порт на порт 3128 и пакеты должны бегать...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35262
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Alex Keda » 2010-01-02 20:58:11

на сквид, по вашему листингу, ничё не идёт
Убей их всех! Бог потом рассортирует...

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2010-01-02 23:27:36

Судя по листингу да, но на самом деле доступ в инет идет по сквиду + скорость режется им же и с этой стороны я вижу что все работает

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35262
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Alex Keda » 2010-01-03 8:35:15

значит сквид непрозрачный
Убей их всех! Бог потом рассортирует...

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Kos » 2010-01-03 12:07:18

на самом деле доступ идет через НАТ.
mediamag писал(а):стоит сквид 3,0...заметил, что через правило

Код: Выделить всё

 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
не идут пакеты, когда лезешь в инет из локалки через прокси....и только иногда через некоторое время пакеты проходят и то - ели ели...
если на локальной машине прописать вручную прокси, то пакеты и не будут попадать под это правило.

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
заменить на

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80
если на шлюзе есть веб-сервер, то доступ к нему нужно разрешить раньше этого правила.
Проверить собран ли сквид с поддержкой транспарента.

П.С. правило № 50 не имеет смысла в Вашем случае.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2010-01-03 13:57:55

сквид не прозрачный...никто не ходит через нат, так как в правилах не один внутрений айпи не прописан...у всех в браузерах прописан прокси, а в сквиде в acl прописаны все кто может ходить.

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Kos » 2010-01-03 21:25:19

хм... а в чем вопрос?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2010-01-03 22:28:56

Вопрос выше...через правило заворота на сквид не проходит пакетов или проходит но считаные байты, вместо этого большая часть попадает на правило loopback allow ip from any to any via lo0 ...... Так и должно быть при непрозрачном сквиде?????

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Kos » 2010-01-03 23:29:36

если на клиентах прописан прокси, то браузер шлет запрос на порт Вашего прокси (3128 например). Так почему пакеты должны попадать под правило для 80-го порта??? правило с форвардом нужно только для ПРОЗРАЧНОГО прокси.

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2010-01-04 13:56:40

Но без форвардинга непрозрачный прокси все таки не работает

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Kos » 2010-01-04 17:20:57

форвардинг не должен иметь никакого отношения к непрозрачной проксе. У Вас путаница какая-то с настройками. Оставьте одно правило типа:

Код: Выделить всё

allow all from any to any
при этом непрозрачный сквид 100% должен доступ в инет давать, а потом уже добавляйте те правила что Вы считаете нужными.
П.С. и если никто не ходит через нат то зачем правила с дивертом вообще нужны?

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение mediamag » 2010-01-04 22:57:14

Через нат я пускаю определенные порты, если закоментить правила с форвардом на сквид, то сквид не пашет

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: странные прохождиния пакетов (сквид)

Непрочитанное сообщение Kos » 2010-01-05 0:11:09

покажите squid.conf, ipfw show и ifconfig.