forum.lissyara.su

Добавлено: **2014-09-18 6:50:12**

cat squid.conf | grep 250:
http_port 192.168.121.250:3128
http_port 192.168.121.250:3129 transparent

sockstat -4l | grep tcp | grep squid
squid    squid      1935  10 tcp4   192.168.121.250:3128  *:*
squid    squid      1935  13 tcp4   192.168.121.250:3129  *:*

02105 fwd 192.168.121.250,3128 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443
02106 fwd 192.168.121.250,3129 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443
02107 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to any dst-port 80,443

а теперь, внимание вопрос (С)

какое fwd правило верное?

Добавлено: **2014-09-18 7:46:00**

Добавлено: **2014-09-18 8:02:24**

Alvares писал(а):105

ну зачем так серьезно
я ж говорю, вопрос весёлый)
зы. ответ не верный) еще варианты есть?

Добавлено: **2014-09-18 8:12:54**

никакое

Добавлено: **2014-09-18 9:19:04**

там на самом деле любое срабатывает, независимо на чо форвардить.. хоть на 65535

такая вот веселуха

Alvares писал(а):105

а почему 105 то?
я ожидал вопчето 106

Добавлено: **2014-09-18 13:01:44**

блин, веселого то мало на самом деле..
непонятно. а непонятного я боюсь, потому дропаю всё нах..
зы. гипотезы приветствуются)

Добавлено: **2014-09-18 16:06:58**

полный конфиг ipfw привести надо. Мож там чего раньше 0210* форвардит? И дело не в этих правилах?

Добавлено: **2014-09-19 6:07:35**

Alvares писал(а):полный конфиг ipfw привести надо. Мож там чего раньше 0210* форвардит? И дело не в этих правилах?

да логика то в принципе простая
есть два роутера .1 и .250
на первом есть еще нат в соседнюю 10-ю сетку
на втором роутере сквида с авторизацией (шас еще добавил туда немного ацээлей для части "прозрачных" узеров, что с первого роутера)
факт в том, что если этот 02100-й форвард убрать, то всё как и положено, "прозрачно" не работает, если добавить - работает

Код: Выделить всё

00051 count ip from any to any in via vlan195
00052 count ip from any to any out via vlan195
00053 count ip from any to any in via fxp0
00054 count ip from any to any out via fxp0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny log ip from 192.168.121.0/24 to any in via vlan195
00500 deny log ip from 10.195.35.0/30 to any in via fxp0
00600 deny ip from any to not 10.195.35.1 in via vlan195
00700 allow tcp from 192.168.121.0/24 to 192.168.0.0/16 dst-port 80,443
00900 nat 8999 ip from any to 10.195.35.1 in via vlan195
01700 nat 8999 ip from 192.168.121.0/24{3-254} to 10.0.0.0/8 out via vlan195
02100 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to not 10.0.0.0/8 dst-port 80,443
02800 deny log ip from not 10.195.35.1 to any out via vlan195
02900 allow ip from any to any frag
03000 allow tcp from any to any established
03100 allow tcp from 192.168.1.5,192.168.1.8 to 10.195.35.1 dst-port 25 setup
03400 deny log tcp from any to any in via vlan195 setup
03500 allow tcp from any to any setup
03700 allow udp from any 1701 to 10.195.35.1 dst-port 1701 in via vlan195
03800 allow udp from 10.195.35.1 to any dst-port 53 out via vlan195 keep-state
03900 allow udp from 10.195.9.1,10.195.9.4 53 to 10.195.35.1 dst-port 50000 in via vlan195
04000 allow udp from 10.195.35.1 to any dst-port 33434-33524 out via vlan195 keep-state
04200 allow udp from any to 192.168.121.0/24 in via vlan195
04300 deny log udp from any to any via vlan195
65520 deny log ip from any to any
65535 deny ip from any to any

Добавлено: **2014-09-19 9:03:38**

2100 и 700 поменять местами не? И где ваши 210(5-7) правила?

Добавлено: **2014-09-19 9:26:33**

Alvares писал(а):2100 и 700 поменять местами не? И где ваши 210(5-7) правила?

неа, всё равно трафик прёт..

Код: Выделить всё

00650     1500       75860 fwd 192.168.121.250,4129 tcp from 192.168.121.0/24{2-254} to not 10.0.0.0/8 dst-port 80,443

лять, куда он прёт то, если порт 4129 не прослушивается? ничо непойму

И где ваши 210(5-7) правила?

да они равнозначные.. там любой порт пиши, и - трафик прёт..
эт я с целью наглядности\упрощения.. (то, что НЕ в 10/8 == any)

Добавлено: **2014-09-19 22:29:10**

Вы форвардите кажись на другую машину, адрес не локальный, в этом случае куда девается ваш порт см. man ipfw.

Добавлено: **2014-09-21 12:52:01**

Гость писал(а):Вы форвардите кажись на другую машину, адрес не локальный, в этом случае куда девается ваш порт см. man ipfw.

а ведь вы правы, действительно не локальный.. спасибо за наводку. man, как всегда всемогущ

==
а скока еще "странных" спецэффектов может показать ipfw..
можно же сделать fwd вообще всего трафика, и смысл последующих правил потеряется..
а тот же skipto.. всю логику с ног на голову перевернуть можно..
зато "гибкость" правил

forum.lissyara.su

squid - весёлый простой вопрос %)

squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)

Re: squid - весёлый простой вопрос %)