forum.lissyara.su

Добавлено: **2009-10-15 12:45:12**

стоит сквид 3,0...заметил, что через правило

 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0

не идут пакеты, когда лезешь в инет из локалки через прокси....и только иногда через некоторое время пакеты проходят и то - ели ели...

вот выхлоп правил

Код: Выделить всё

00050      0         0 check-state
00100      0         0 deny log logamount 100 ip from any to any frag
00200     96      6336 reject ip from any to any not verrevpath in
00300      0         0 reject tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
00310      0         0 reject tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
00320      0         0 reject tcp from any to any not established tcpflags fin
00400      0         0 deny tcp from any to any dst-port 113 in via xl0
00500      0         0 deny tcp from any to any dst-port 135-139 via xl0
00510      0         0 deny tcp from any to any dst-port 135-139 via rl0
00600      0         0 deny icmp from any to any frag
00610      0         0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00700      0         0 deny log logamount 100 icmp from any to 255.255.255.255 in via xl0
00710      0         0 deny log logamount 100 icmp from any to 255.255.255.255 out via xl0
00800      0         0 deny ip from any to 127.0.0.0/8
00810      0         0 deny ip from 127.0.0.0/8 to any
00900     96      6336 allow ip from any to any via lo0
00950      0         0 allow ip from any to any via ng0
00960      0         0 allow ip from any to any via ng1
00970      0         0 allow ip from any to any via ng2
01000      0         0 deny ip from 10.0.0.0/24 to any in via xl0
01010      0         0 deny ip from 10.0.1.0/24 to any in via rl0
01100      0         0 deny ip from any to 192.168.0.0/16 in via xl0
01110      0         0 deny ip from any to 172.16.0.0/12 in via xl0
01120      0         0 deny ip from any to 0.0.0.0/8 in via xl0
01130      0         0 deny ip from any to 169.254.0.0/16 in via xl0
01200      0         0 deny ip from any to 224.0.0.0/4 in via xl0
01210      0         0 deny ip from any to 240.0.0.0/4 in via xl0
01300      0         0 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
01400   2961    367494 divert 8668 ip from 10.0.0.0/24 to any out via xl0
01410  52847  64931798 divert 8668 ip from any to 10.0.1.2 in via xl0

как видно - по правилу 900 (разешаем всё по lo0) пакеты ходят туда...я так понял на сквид....возник вопрос - должно ли так быть??? ведь правило 1300 должно перехватывать и заворачивать 80 порт на порт 3128 и пакеты должны бегать...

Добавлено: **2010-01-02 20:58:11**

на сквид, по вашему листингу, ничё не идёт

Добавлено: **2010-01-02 23:27:36**

Судя по листингу да, но на самом деле доступ в инет идет по сквиду + скорость режется им же и с этой стороны я вижу что все работает

Добавлено: **2010-01-03 8:35:15**

значит сквид непрозрачный

Добавлено: **2010-01-03 12:07:18**

на самом деле доступ идет через НАТ.

mediamag писал(а):стоит сквид 3,0...заметил, что через правило
Код: Выделить всё
 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0
не идут пакеты, когда лезешь в инет из локалки через прокси....и только иногда через некоторое время пакеты проходят и то - ели ели...

если на локальной машине прописать вручную прокси, то пакеты и не будут попадать под это правило.

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 via xl0

заменить на

Код: Выделить всё

fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80

если на шлюзе есть веб-сервер, то доступ к нему нужно разрешить раньше этого правила.
Проверить собран ли сквид с поддержкой транспарента.

П.С. правило № 50 не имеет смысла в Вашем случае.

Добавлено: **2010-01-03 13:57:55**

сквид не прозрачный...никто не ходит через нат, так как в правилах не один внутрений айпи не прописан...у всех в браузерах прописан прокси, а в сквиде в acl прописаны все кто может ходить.

Добавлено: **2010-01-03 21:25:19**

хм... а в чем вопрос?

Добавлено: **2010-01-03 22:28:56**

Вопрос выше...через правило заворота на сквид не проходит пакетов или проходит но считаные байты, вместо этого большая часть попадает на правило loopback allow ip from any to any via lo0 ...... Так и должно быть при непрозрачном сквиде?????

Добавлено: **2010-01-03 23:29:36**

если на клиентах прописан прокси, то браузер шлет запрос на порт Вашего прокси (3128 например). Так почему пакеты должны попадать под правило для 80-го порта??? правило с форвардом нужно только для ПРОЗРАЧНОГО прокси.

Добавлено: **2010-01-04 13:56:40**

Но без форвардинга непрозрачный прокси все таки не работает

Добавлено: **2010-01-04 17:20:57**

форвардинг не должен иметь никакого отношения к непрозрачной проксе. У Вас путаница какая-то с настройками. Оставьте одно правило типа:

Код: Выделить всё

allow all from any to any

при этом непрозрачный сквид 100% должен доступ в инет давать, а потом уже добавляйте те правила что Вы считаете нужными.
П.С. и если никто не ходит через нат то зачем правила с дивертом вообще нужны?

Добавлено: **2010-01-04 22:57:14**

Через нат я пускаю определенные порты, если закоментить правила с форвардом на сквид, то сквид не пашет

Добавлено: **2010-01-05 0:11:09**

покажите squid.conf, ipfw show и ifconfig.

forum.lissyara.su

странные прохождиния пакетов (сквид)

странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)

Re: странные прохождиния пакетов (сквид)