forum.lissyara.su

Не сбить нас с верного пути, нам по фигу куда идти
https://forum.lissyara.su/

проблемы с ipfw

https://forum.lissyara.su/viewtopic.php?f=3&t=12169

Страница 1 из 1

проблемы с ipfw

Добавлено: 2008-11-03 19:47:36
DnDwarf
Добрый вечер, раньше работал с iptables, и не возникало никаких проблем, вот теперь необходимо стало вникнуть и настроить ipfw и возникли проблемы, хочу попросить у Вас помощи. решил набросить небольшой конфиг для организации чисто просто прозрачного прокси без нат для начала, и все равно чтото не работает хотя конфиг донельзя прост должен быть, подскажите пожалуйста что не так делаю. сеть простейшая, все машины находятся в подсети 192.168.0.0/24. 125ая машина - ipfw, 100ая машина клиент для прокси и 192.168.0.1ая - dlink шлюз для фряхи 125ой. Соответственно на 100ой машине шлюзом выставлена 125ая. Для простоты днской для 100ой машины прописан dlink шлюз из той же подсети.
Вот пример конфига:

Код: Выделить всё

#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.1/24'
ifuser='rl0'
${ipfw} flush
${ipfw} add 100 check-state
${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 300 allow ip from any to any via lo
${ipfw} add 310 allow ip from me to not ${ournet} keep-state out via ${ifuser}  
${ipfw} add 350 allow ip from me to ${ournet}
${ipfw} add 360 allow ip from ${ournet} to me via ${ifuser}
${ipfw} add 400 allow ip from any to me 21,22,25,80,110,3128
${ipfw} add 450 forward 127.0.0.1,3128 tcp from 192.168.0.100 to any http out via ${ifuser}   
${ipfw} add 500 allow ip from 192.168.0.100 to not me in via ${ifuser} 
${ipfw} add 65535 deny ip from any to any
Так что по логике если ктото на 100ой машине захочет пойти на ya.ru то он сначала стукнется на днс, получит от dlinka ответ и пошлет пакет на юникс с адресом получателя www.ya.ru порт 80, и соответственно этот пакет подпадает под правило 500 и должен быть пропущен, дальше вроде как он должен попасть в маршрутизацию и пойти на выход интерфейса ifuser где его и должно поймать правило 450 и перебросить на сквид, ну а дальше обмен данными между фрей и 100кой разрешен и обмен данными между фрей и внешним миром собссна тоже, только вот ничего не работает и в логах сквида нет запроса, хотя сегодня когда по другому настраивал ipfw запрос на сквид шел, но в его логах стояла ошибка вида:

Код: Выделить всё

1225694182.855      0 192.168.0.100 TCP_DENIED/400 1890 GET error:invalid-request - NONE/- text/html
Очень жду вашей помощи чтобы разобраться, заранее спасибо!

Re: проблемы с ipfw

Добавлено: 2008-11-03 20:35:00
dikens3
Зачем изобретать велосипед.

1. Проще правила для первого раза.
2. fwd 127.0.0.1 делай на входе, а не выходе.
3. Squid должен быть настроен на работу в прозрачном режиме.
4. SSL(https) работать не будет.

Код: Выделить всё

${ipfw} add allow ip from any to any via lo
${ipfw} add fwd 127.0.0.1,3128 tcp from 192.168.0.100 to any 80 in via ${ИНТЕРФЕЙС_LAN}
${ipfw} add allow ip from any to any
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/