forum.lissyara.su

Добавлено: **2015-09-19 23:37:07**

Привет всем.

Есть ipfw + nat + Squid

Хотелось бы разрешить доступ к ip внешнему для локалной сети без прокси(напрямую).
Как такое возможно реализовать, чтобы трафик не заворачивался на сквид который на этот ip внешний идет ?

Код: Выделить всё

#!/bin/sh
ipfw='/sbin/ipfw -q'
${ipfw} -f flush

${ipfw} add 100 allow ip from any to any via lo0
${ipfw} add 110 deny ip from any to 127.0.0.0/8
${ipfw} add 120 deny ip from 127.0.0.0/8 to any

### Squid
${ipfw} add 351 fwd 172.20.0.1,3128 tcp from 172.20.0.0/16 to any 80
${ipfw} add 352 fwd 172.20.0.1,3128 tcp from 172.20.0.0/16 to any 443
#${ipfw} add 353 allow tcp from 172.20.0.1/16 to 195.209.230.144

### Allow DNS
${ipfw} add 200 allow all from any to any dst-port 53
${ipfw} add 2000 allow ip from any to any via igb1
#${ipfw} add 2001 allow ip from 192.168.188.0/24 to any in via igb1

### SSH
${ipfw} add 400 allow tcp from 192.168.188.4 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.33.1 to me dst-port 22
${ipfw} add 402 allow tcp from 172.20.0.2 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.24.2 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.24.3 to me dst-port 22


### Deny SSH & Other
${ipfw} add 441 deny udp from any to me dst-port 80
${ipfw} add 442 deny udp from any to me dst-port 161
${ipfw} add 443 deny udp from any to me dst-port 199
${ipfw} add 444 deny tcp from any to me dst-port 199
${ipfw} add 445 deny tcp from any to me dst-port 161
${ipfw} add 446 deny tcp from any to me dst-port 2605
${ipfw} add 447 deny tcp from any to me dst-port 2601
${ipfw} add 448 deny tcp from any to me dst-port 179
${ipfw} add 449 deny tcp from any to me dst-port 3306
${ipfw} add 450 deny tcp from any to me dst-port 22

### Kernel NAT
${ipfw} nat 1 config log if igb0 reset same_ports

${ipfw} add 3480 allow tcp from any to [b]195.209.230.144 [/b]out via igb0
${ipfw} add 3490 allow tcp from [b]195.209.230.144[/b] to any in via igb0

${ipfw} add 3000 nat 1 ip from any to any via igb0

Добавлено: **2015-09-20 17:26:58**

вроде проблема с порядком..
0 разрешени наружние внутрь
1 нат
2 разрешение внутр во внешние
3 сквид

будем пробовать в понед.

Добавлено: **2015-09-21 9:45:59**

попробуйте с помощью fwd до правил с заворотом на сквид, например:

Код: Выделить всё

fwd (лан ип),80 tcp from $lan to (внешн. ип) 80 in recv $lan

Добавлено: **2015-09-21 9:47:00**

упс, fwd на внешн. ип

Добавлено: **2015-09-22 22:08:30**

Вопрос решился. всем спасибо.
*redberd помог http://forum.lissyara.su/viewtopic.php?p=374378#p374378

почему-то считали что нат в конце правил должен быть.

forum.lissyara.su

простой вопрос по ipfw

простой вопрос по ipfw

простой вопрос по ipfw

простой вопрос по ipfw

простой вопрос по ipfw

простой вопрос по ipfw