Страница 1 из 1
Squid не пропускает.
Добавлено: 2008-06-30 18:43:36
JeaRmiX
Вот собственно сабж, машинки в сети прорускать не хочет.
Сонфиг сквида:
Код: Выделить всё
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname main.my_domain.kiev.ua
tcp_outgoing_address 213.160.130.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10
acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/etc/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/etc/squid/limited_IP.conf"
acl localhost src 127.0.0.1/8
acl our_networks src 192.168.0.0/24
acl denied_sites dstdomain "/usr/local/etc/squid/denied_ext.conf"
http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
#httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
rc.firewall
Код: Выделить всё
#!/bin/sh
FwCMD="/sbin/ipfw -q "
LanOut="rl0"
LanIn="vr0"
IpOut="213.160.130.2"
IpIn="192.168.0.2"
NetMask="24"
NetIn="192.168.0.0"
${FwCMD} -f flush
${FwCMD} add check-state
${FwCMD} add allow ip from any to any via vr0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 53 via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
rc.conf
Код: Выделить всё
hostname="main.my-domain.kiev.ua"
ifconfig_rl0="inet 213.160.130.2 netmask 255.255.255.248"
ifconfig_vr0="inet 192.168.0.2 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="213.160.130.2"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_script="/etc/rc.firewall"
natd_enable="YES"
natd_flags="-m -u"
natd_interface="rl0"
ipv6_enable="YES"
usbd_enable="YES"
squid_enable="YES"
в логах примерно такое:
Код: Выделить всё
192.168.0.28 TCP_DENIED/403 1424 POST http://......... - NONE/- text/html
192.168.0.28 TCP_DENIED/403 1404 GET http://......... - NONE/- text/html
Re: Squid не пропускает.
Добавлено: 2008-07-01 11:50:19
skeletor
А если отключить сквид и убрать правило в файере про заворот на сквид - машины в инет ходят?
Re: Squid не пропускает.
Добавлено: 2008-07-01 12:19:26
alex3
Re: Squid не пропускает.
Добавлено: 2008-07-01 12:45:51
JeaRmiX
Ты знаеш не пробовал, а что указывать клиентам? Порт ? Айпишник ?
Кстати сквид 2.5 стаб 14.
Изначально матерился на то что закаментировал.
Хотя смысл выключать сквид.
Я уже пробовал с ацлами
типа:
Код: Выделить всё
acl Pupkin src 192.168.0.28/24
http_access allow Pupkin
все равно фигня
Та всё правильно, мне больше кажется что дело в фаере. но где именно не могу понять
Re: Squid не пропускает.
Добавлено: 2008-07-01 12:47:47
JeaRmiX
Код: Выделить всё
00100 0 0 check-state
00200 200 25292 allow ip from any to any via vr0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 10.0.0.0/8 in via rl0
00600 0 0 deny ip from any to 172.16.0.0/12 in via rl0
00700 126 14129 deny ip from any to 192.168.0.0/16 in via rl0
00800 0 0 deny ip from any to 0.0.0.0/8 in via rl0
00900 0 0 deny ip from any to 169.254.0.0/16 in via rl0
01000 0 0 deny ip from any to 240.0.0.0/4 in via rl0
01100 0 0 deny ip from any to any frag
01200 0 0 deny log logamount 100 icmp from any to 255.255.255.255 in via rl0
01300 0 0 deny log logamount 100 icmp from any to 255.255.255.255 out via rl0
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
01600 0 0 divert 8668 from 192.168.0.0/24 to any out via rl0
01700 77 6271 divert 8668 from any to 213.160.130.2 in via rl0
01800 0 0 deny ip from 10.0.0.0/8 to any out via rl0
01900 0 0 deny ip from 172.16.0.0/12 to any out via rl0
02000 0 0 deny ip from 192.168.0.0/16 to any out via rl0
02100 0 0 deny ip from 0.0.0.0/8 to any out via rl0
02200 0 0 deny ip from 169.254.0.0/16 to any out via rl0
02300 0 0 deny ip from 224.0.0.0/4 to any out via rl0
02400 0 0 deny ip from 240.0.0.0/4 to any out via rl0
02500 893 344218 allow tcp from any to any established
02600 69 4818 allow ip from 213.160.130.234 to any out xmit rl0
02700 13 1948 allow udp from any 53 to any via rl0
02800 0 0 allow udp from any to any dst-port 53 via rl0
02900 0 0 allow udp from any to any dst-port 123 via rl0
03000 0 0 allow icmp from any to any icmptypes 0,8,11
03100 0 0 allow tcp from any to 213.160.130.2 dst-port 80 via rl0
03200 56 2644 allow tcp from any to 213.160.130.2 dst-port 25 via rl0
03300 0 0 allow tcp from any to 213.160.130.2 dst-port 22 via rl0
03400 3 144 allow tcp from any to 213.160.130.2 dst-port 110 via rl0
03500 0 0 allow gre from any to any via vr0
03600 92 4416 allow tcp from any to any via vr0
03700 32 2875 allow udp from any to any via vr0
03800 22 1232 allow icmp from any to any via vr0
03900 7 1599 deny ip from any to any
65535 13 791 allow ip from any to any
Re: Squid не пропускает.
Добавлено: 2008-07-01 12:57:19
zingel
Re: Squid не пропускает.
Добавлено: 2008-07-01 14:08:37
JeaRmiX
Код: Выделить всё
03900 7 1599 deny ip from any to any
65535 13 791 allow ip from any to any
чё за нах
Re: Squid не пропускает.
Добавлено: 2008-07-01 14:57:37
alex3
Код: Выделить всё
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
Re: Squid не пропускает.
Добавлено: 2008-07-01 15:26:50
JeaRmiX
alex3 писал(а):Код: Выделить всё
01400 0 0 fwd 192.168.0.2,2121 tcp from 192.168.0.0/24 to any dst-port 21 via rl0
01500 0 0 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via rl0
не форвардится... куды девается?
И чво с этим делать?
Re: Squid не пропускает.
Добавлено: 2008-07-01 15:42:28
alex3
включать логи в ipfw и смотреть
а еще лучше убрать 200 правило или перенести пониже....
а совсем хорошо - как Dikens посоветовал читать
и
http://nuclight.livejournal.com/124348.html
Re: Squid не пропускает.
Добавлено: 2008-07-01 16:12:30
JeaRmiX
блин но без
Код: Выделить всё
00200 200 25292 allow ip from any to any via vr0
сквид не будет пахать, кстати тут же нужно указывать внутренний интерфейс или внешний???? или что то ещё(((((((????
Народ помогите пож!!!
кстати включить лог как
??????
на ЖЖ оч сложно.... Не для меня.
Re: Squid не пропускает.
Добавлено: 2008-07-01 16:25:45
paradox
точно
как говрит zingel
а я добавлю
фаерволы нынче молодежь
строит из вывода
чем больше правил
тем надежней
не понимая вообще что они делают
Re: Squid не пропускает.
Добавлено: 2008-07-02 1:55:03
zingel
а потом спрашивают куда сокеты кончаются
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:10:27
JeaRmiX
Блин а сложно тыкнуть носом
Может кто либо подсказать выд конфига фаервола для моей ситуации.
Squid, Nat, Samba, mail(POP, SMTP), IPSec, DNS.
Буду весьма благодарен
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:18:41
paradox_
тыкнуть носом неполучиться
так как фаер ваш нужно весь переписывать
начините с того что поставте правило allow from any to any
а потом уже добавляйте
и не добавляйте того что непониматет как оно работает
а fwd нужно на via out
если на то пошло
но это при правильном фаере
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:28:20
JeaRmiX
paradox_ писал(а):
а fwd нужно на via out
Код: Выделить всё
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
${FwCMD} add fwd 192.168.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:32:56
paradox_
все
марш ищи фаер
нечего угадыванием заниматься
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:34:23
paradox_
марш Учи фаер
= )))
Re: Squid не пропускает.
Добавлено: 2008-07-02 18:42:21
zingel
Re: Squid не пропускает.
Добавлено: 2008-07-03 8:27:40
alex3
вот для таких и нужна "идея" Лиссяры. Самому лень читать - за денюшку другие настроят.
Re: Squid не пропускает.
Добавлено: 2008-07-03 8:53:11
manefesto
дайте денюжек...настрою
Re: Squid не пропускает.
Добавлено: 2008-07-03 9:34:05
Alex Keda
проблема в том, что читать не хотят, учитсья новому хотят, но как-то старнно - не читая, рандомно тыкаясь и пытаяссь сделать.
психика травмированная M$ с мышиными интерфейсами...
Re: Squid не пропускает.
Добавлено: 2008-07-03 10:06:16
manefesto
я кстати ему свой рабочий конфиг сквида давал(он минимальный).
Топикстартер: кто будет писать???:
Код: Выделить всё
${FwCMD} add allow ip from any to any via lo0
Я один раз наткнулся.
Фарйвол начинай осваивать с написания небольших правил. Нахрапом не получится