forum.lissyara.su

Доброе время суток!

Есть локальная сеть, где в качестве шлюза стоит Фряха 7 ветки. На ней поднял Squid+IPFW+IPNAT. В файрволе заворачиваются все на squid, нужные порты на почту 25-110 открыты. Далее проверяю работу(все отлично работает, запрос логина пароля и.тд) за исключением одного НО - не могу принять и отправить почту. Далее прописываю в нате - map xl0 192.168.1.1/24 -> 89.XXX.XXX.XXX (ип сетевухи которая смотирт в инет)
Проверяю все ок, почта пошла, НО! -> В браузере ввожу настройки прокси, инет работает нормально, далее убираю настройки прокси из браузера и опять же интернет РАБОТАЕТ напрямую в обход прокси... А это надо запретить, т.е. надо, чтобы пользователи могли ходить в инет ТОЛЬКО через прокси-сервер, чтобы можно было учитывать их трафик.

Если мапинг не делать почта не работает... а с мапингом юзеры в нет выходят в обход прокси... где засада подскажите коллеги.

squid в режим транспарент прокси
и fwd в него
тогда никто мимо не пройдет

Если можно, распиши по строчно нужные мне правила. Заранее благодарен!!!

Вот таким образом у меня в файрволе fwd на сквид верное правило?

Тоесть нужен прозрачный сквид(Transparent proxy) для етого правила? Потому как на данный момент у меня сквид НЕ прозрачный, правило прописано результат тотже...

Добавил в конфиг следующие строки для Transparent Proxy:


собственно это мне нужно для нужной работы прокси?

Up коллеги, для меня етот вопрос еще актуальный.

хелп как говорится

вечером стукнись в аську...посмотрю как у меня

ок, до связи!

товариЩи вопрос все еще актуален!

ну так у тебя в конфигах вроде все правильно
что не работае то ?)

у него на проксю форвард не срабатывает

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via out 89.x.x.x.x

сделать множество запросов в екплоере
и показать ipfw show


я надеюсь у него там фря не в бридже

щас меня интересует как сделать проброс в IPNATE , т.к natd я не использую.

на данный момент вся сетка выпущена через нат и всё ходит и почта и инет. Если ввожу прокси в браузере все нормально работает - запрос логина и паса выскакивает(тоесть прокси работает), стоит мне убрать проксю из браузера инет также работает, только без запроса логина и паса, а на прямую. Вообщем неразбериха какая-то... А если проброс убираю прокся пашет инет ходит, а почта не идет - ну ето логично в принципе.

причет тут ipnat
ты сам непонимаешь что ты хочешь
пытаешься бутерброды сосискаки запивать))

Ipnat как раз при том - т.к в нем сделан map xl0 192.168.1.0/24 -> Внешний ип БСД. - ето говорит о том что вся подсеть моя смотрит в нет напрямую.

В этом случае инет работает без настроек браузера (прокси).

Стоит мне убрать етот мапинг , инет ходит исключительно через проксю , НО почта не РАБОТАЕТ!

По логике вещей нужно заменить етот мапинг map xl0 192.168.1.0/24 -> Внешний ип БСД. таким образом чтобы подсети 192.168.1.0/24 был разрешен выход в нет напрямую ТОЛЬКО на порты 25 и 110. Как грамотно прописать это в ipnat я хз.(потому и спрашиваю). Вообщем надеюсь щас я более внятнее обьяснил что и как.

можно вроде в почтовых клиентах проксю указывать...

schizoid писал(а):можно вроде в почтовых клиентах проксю указывать...

Прокся по своей сути не может работать с pop3/smtp
независимо есть настройки прокси в почте или нету их.... если бы было все так просто.

да ну...
со сквидом не работал, а вот 3proxy точно умеет с почтой работать.

в моем случае ето squid, так что без комментариев=)

ipnat не занимаеться разрешением/запретом
этим фаервол занимаеться


ну так пусть map остаеться
просто нужно понимать
что у вас есть внутренный интерфейс(сетевка)
и внешний
на внешнем висит ваш map
котроый позволяет всему ходить к вам и от вас

а на нтурненний нужно прописать правило в фаерволе
которое разрешает к серверу токо по указаным портам
и усе

буду благодарен если вы озвучите ето самое правило. Моя проблема отпадет сразу.

Проблема решена.

Грабли были в файрволе а именно надо было закрыть доступ по 80 порту с внутреннего интерфейса на внешний.


paradox , благодарю что направил на правельный путь) +

Такая же потчти ситуация ток вместо ipfw используется ipf ,ipnat включен на ppp0.То есть имеется два физических соединения xl0 -локальная
rl0 -модем и pppoe тунель tun0.Не как неполучается настроить ,чтобы пользователь локальной сети использовали интернет только через прокси сервер squid c стандартным портом ,почта соответсвенно через нат.Планировалось натить только определённые порты.Для этого в файрволе на внутренем интерфейсе открыты 25,110,3128 порты ,на интерфейсе с модемом открыты все,на внешнем только необходимые порты для работы и интернета.
в squid.conf
http_port 192.168.0.1:3128 transparent
в ipnat.rules
rdr xl0 0.0.0.0/0 port 80 -> 192.168.0.1 port 3128 tcp
rdr xl0 0.0.0.0/0 port 8080 -> 192.168.0.1 port 3128 tcp
В настройках клиентского компа прописан и шлюз и днс ,Далее пользователь ходит и как через прокси так и без ,объяснить пожайлуста что не так.
Squid пока без авторизации в целях настройки.

Во-первых, чтобы был прозрачный повесь squid на локалхост 127.0.0.1:3128 Причём когда сквид работает прозрачным прокси, то в браузере никаких настроек прокси вводить не надо на него заворачиваются все запросы по 80 и 8080 портам твоими правилами ipf (тоже в таком случае надо заворачивать на 127.0.0.1:3128) . Соответственно в прозрачном режиме сквид не будет просить никаких логинов/паролей для доступа в сеть а просто незаметно для пользователей заниматься своим делом. Если надо с логином паролем чтобы через прокси ходил, тогда сквид вешай на 192.168.0.1 и НЕ в transparent ну и заворачивай правилами ipf всё уже на 192.168.0.1

Спасибо !!! За ответ [quote="goshanecr"]! Попробовал воопщем как вы описали ,настроил авторизацию по логину и паролю через АД + sams .