Страница 1 из 1
ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 8:13:04
neurobomman
на роутере защищенном ipfw для подсчета трафика использую NetAMS.назрела необходимость установки squid как прозрачного прокси.согласно
http://www.opennet.ru/tips/info/1517.shtml
необходимо добавить для ipfw правило разворачивающее http трафик на squid
Код: Выделить всё
ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80
однако для функционирования NetAMS заданы вот такие правила
Код: Выделить всё
go# ipfw list
00049 divert 199 ip from any to any out via vr0
00050 divert 8668 ip4 from any to any via rl0
00051 divert 199 ip from any to any in via vr0
подскажите, каким номером ставить правило для squid?мне кажется что после 51го, но возможно я ошибаюсь.
Заранее спасибо за сотрудничество!!!
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 8:28:13
Alex Keda
48.5
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 8:28:52
Alex Keda
принудительная нумерация - это зло, и нужна она в исключительных случаях
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 14:23:33
neurobomman
можно конктретнее....пожалуйста.
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 17:34:07
schizoid
нужно ставить ДО НАТа и НЕТАМСа
з.ы.: а нетамс у тя правильно считает при таких правилах диверта?
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 18:43:47
neurobomman
schizoid писал(а):нужно ставить ДО НАТа и НЕТАМСа
з.ы.: а нетамс у тя правильно считает при таких правилах диверта?
да считает правильно.
блин да чтож это.
помогите
Код: Выделить всё
go# ipfw add 48 fwd 127.0.0.1,3128 tcp from any to any 80
ipfw: getsockopt(IP_FW_ADD): Invalid argument
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-08 22:06:49
mod
а ядро с такой опцией собрал ?)
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 10:15:22
neurobomman
сначала просто добавил эту опцию в мой файл конфига ядра, пересобрал, что было см.выше.скопировал и переименовал мой конфиг, добавил туда опцию пересобрал ядро с новым ident.теперь имею
Код: Выделить всё
go# ipfw add 48 fwd 127.0.0.1,3128 from any to any 80
ipfw: unrecognised option [-1] from
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 10:44:29
mod
У меня вот так написано
Код: Выделить всё
${fwcmd} add 40 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
кстати и твоё правило легко добавляется у меня...
Код: Выделить всё
vinet# ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80
00049 fwd 127.0.0.1,3128 tcp from any to any dst-port 80
моэет всё такие собрал не так..перезагружался хоть ?
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 10:52:39
neurobomman
я осел
Код: Выделить всё
go# ipfw add 48 fwd 127.0.0.1,3128 tcp from any to any 80
протокол забыл чудищь...после ночной смены, башка не варит....извините
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 11:02:10
mod
хех)я чёт тоже не заметил)тоже не выспался:)
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 12:43:40
neurobomman
вот вилы...хз...
вобщем если прописываю сквид в /етс/rc.conf о при старте создает свое правило номер 65100
Код: Выделить всё
65100 fwd 127.0.0.1,3128 tcp from any to any 80
и через сервак не проходит ничего
если прописываю в файле создания правил для ipfw (правила задаю в рц.конф firewall_type=/usr/local/etc/myipfw) где myipfw файл с правилами)
Код: Выделить всё
add 48 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 {2-245} to any 80
то после перезагрузки получаю только
Код: Выделить всё
00049 divert 199 ip from any to any out via vr0
00051 divert 199 ip from any to any in via vr0
65535 allow ip from any to any
куда копать?как сделать чтоб создавалось нужное правило для ipfw и сквид стартовал не создавая левых правил?
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 14:27:31
Alex Keda
разбиратся в работе файрволла.
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 20:07:31
mod
Код: Выделить всё
add 48 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 {2-245} to any 80
{2-245} - а это что?)
в файле фаервола поставь номер правила повыше..у меня до ната стоит..
и прописано так в конфигурационном файле фаера..и пашет всё..нат стоит 50 правилом..
Код: Выделить всё
${fwcmd} add 40 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80 via rl0
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 21:40:29
neurobomman
{2-254} это можно указать диапазон адресов в подсети...ну конечно тобой предложеный вариант проще
через
ipfw add работает, попробую еще его запихнуть в мой файл конфигурации файрвола
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-09 22:56:59
neurobomman
все!!!работает!!!теперь и с squid_enable="YES" в /etc/rc.conf проблем не возникает....фух...мужики всем гигантское спасибо!!!!росту прям в своих глазах на глазах
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-02-21 20:21:42
InventoR
Оживлю темку по netams, народ а кто-то разобрался как функционирует правило:
restrict all drop local pass
все вроде прописано:
Код: Выделить всё
unit group oid 0AC999 name OFFICE acct-policy ip www mail ftp ssh icq cs
unit host oid 0D4ACB name ServerOUT ip 213.247.236.145 acct-policy ip www mail ftp ssh icq dns cs icecast_in icecast_out
unit net oid 093D6C name LAN ip 192.168.0.0/24 acct-policy ip www mail ftp ssh icq cs
unit user oid 0670E3 name Server_Inet ip 192.168.0.1 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 025900 name client1 ip 192.168.0.2 parent OFFICE acct-policy ip www mail ftp ssh icq cs
unit user oid 0A45EB name client2 ip 192.168.0.9 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 08DABD name client3 ip 192.168.0.11 parent OFFICE acct-policy ip www mail ftp ssh icq
а когда меняю правило на
restrict all drop local drop
пакеты в обще перестають ходить.
Re: ipfw+NetAMS+squid=?
Добавлено: 2008-03-02 15:29:12
Egor_G
NarkomanLove писал(а):Оживлю темку по netams, народ а кто-то разобрался как функционирует правило:
restrict all drop local pass
все вроде прописано:
Код: Выделить всё
unit group oid 0AC999 name OFFICE acct-policy ip www mail ftp ssh icq cs
unit host oid 0D4ACB name ServerOUT ip 213.247.236.145 acct-policy ip www mail ftp ssh icq dns cs icecast_in icecast_out
unit net oid 093D6C name LAN ip 192.168.0.0/24 acct-policy ip www mail ftp ssh icq cs
unit user oid 0670E3 name Server_Inet ip 192.168.0.1 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 025900 name client1 ip 192.168.0.2 parent OFFICE acct-policy ip www mail ftp ssh icq cs
unit user oid 0A45EB name client2 ip 192.168.0.9 parent OFFICE acct-policy ip www mail ftp ssh icq
unit user oid 08DABD name client3 ip 192.168.0.11 parent OFFICE acct-policy ip www mail ftp ssh icq
а когда меняю правило на
restrict all drop local drop
пакеты в обще перестають ходить.
А какая версия NetAMS? Если 3.4.Х, то переходите на 3.3.5 Или правьте исходный код, а патчик присылайте авторам NetAMS. Они (авторы), судя по всему, почти не занимаются развитием данного продукта.
P.S. С подобными вопросами лучше на родной форум NetAMS