forum.lissyara.su

есть шлюз под FreeBSD 4.11 на которой IPFW + SQUID.

настройки сервера вроде в норме. по мануалу сказано что на клиенте(windows) кроме шлюза ничо указывать ненадо.

клиент в этом случае невидит проксю.

ставишь ему в настройках эксплорера - проксю - ххх.ххх.ххх.ххх:80. Все работает.

правило форвардинга которые стоят в IPFW:

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

что ему еще надо? ядро собрал со всеми нужными опциями. IPFW тоже. в сквиде - тож все указал.......

PS - если надо могу настройки ядра, файрвола и сквида тож все сюда кинуть........

прокси бывают прозрачные, а бывают непрозрачные....

трщ майор - собирал по вашим статьям-с:-) прозрачную проксю.

А ты пойди от противного, попробуй IPFW поставить в дефолт, в /etc/rc.conf firewall_enable="YES"
firewall_type="OPEN"
в squid.conf порт 3128 и никаких прозрачных проксей. Ессли клиент получит все что ему нужно, тогда уже играй настройками... А вообще, ipfw мудреная штуковина, помимо "тупого" копирования конфигурационных строк, нужно четко понимать его работу, хотя бы приблизительно...как в прочем и сам squid... т.к. оттюнинговать под свои нужны, тут не один день потребуеться...[/i]

причем здесь тупое копирование?

суть в том что ipfw пакеты с клиента на сквид незаворачивает. в эксплорере укажешь хх.хх.хх.хх:80 - начинает заворачивать.

правило отвечающее за форвард я указал выше.

Тебе по ходу надо в настройках подключения по локальной сети в винде указать основным шлюзом адрес твоего шлюза на фряхе.

vaz писал(а):причем здесь тупое копирование?

суть в том что ipfw пакеты с клиента на сквид незаворачивает. в эксплорере укажешь хх.хх.хх.хх:80 - начинает заворачивать.

правило отвечающее за форвард я указал выше.

так. если прокси прозрачный - то заворачивает файрволл. если при этом настройки самого сквида на непрозрачный прокси - не пашет
если прокси непрозрачный - то надо указывать у клиентов прокси в настройках. НО если не указывать и завернуть сквидом - тоже не пашет.
====
итого - 4 варианта настроек. Какие ты хочешь сделать?

вощем бодался я бодался. вырисовывается такая фигня. 98 винда шлет запоросы (если в эксплорере неуказана прокся, а просто только указан дефолтовый гейт) не по TCP а по UDP. файрвол естественно их исправно пропускает незаворачивая на сквид. попытка удпшный траффик завернуть на удпишный порт сквида - никчему не привела.

если в эсплорере напишешь прокся такая-то такаято - все работает(неважно какой порт укажешь 3128, или 80 - пофигу). но мнето нужно прозрачную проксю млин........

по какому UDP и куда...

Чтобы тебе быстрее помочь выкладывай конфиги фаервола сквида и выводы ipfw show и netstat -na | grep -i LISTEN

options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да )
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее


ipfw:

#!/bin/sh

# для начала вводим переменные - для нашего же удобства, чтобы не
# вводить по сотне раз одно и то же, а потом искать почему не работает,
# и в итоге выяснять, что ошибся IP адресом в одном из правил

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="lnc0" # внешний интерфейс
LanIn="lnc1" # внутренний интерфейс
IpOut="192.168.0.1" # внешний IP адрес машины
IpIn="192.168.15.1" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.15.0" # Внутренняя сеть

${FwCMD} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24{локальный сетка} to any 80 out via {внешный интерфейс}
${FwCMD} add divert natd ip from any to any via {внешный интерфейс}


squid:
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.79.2
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

acl all src 0.0.0.0/0.0.0.0
acl allowed_sites dstdomain "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl limited_IP src "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.15.0/24
acl denied_sites dstdomain "/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access deny denied_sites
http_access allow allowed_sites
http_access deny limited_IP
http_access allow our_networks
http_access allow localhost
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid

ipfw show

показывает только правила указанные в вышеуказанном мной списке правил файрволла.

netstat показывает три порта листен - 21,22,3128

2 Lissyara:

удп пакеты - это имхо днс запрос...

DNS при прозрачном прокси не надо на сквид заворачивать. им named должен заниматься.

а если named невключен? может изза этого все стопорится?

а у клиентов DNS`ом кто прописан?

2 Lissyara:

никто естественно. у Вас в статье ж прямо сказано. кроме шлюза никаких других настроек неделать.

а ещё во всех статьях у меня есть фраза о том, что надо своей головой думать....
====
советую почитать чё-нить о принципах работы TCP/IP - хотябы вкратце и по диагонали....

==================================
DNS пропиши.

2 lissyara.

вкурсе я мал-мал по стеку тсп\ип.

но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.

ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.

ну если ты вкурсе про работу TCP/IP, то как же у тя без DNS имена разрешаться будут?

vaz писал(а):2 lissyara.

вкурсе я мал-мал по стеку тсп\ип.

но если статья написана давно и у людей не возникала сходных со мной проблем - значит имхо дело в чем то другом.

ненадо делать из меня идиота. просто я пытаюсь настроить систему следуя инструкциям. а не лезть во все дыры с монтировкой - авось получится. систему ставлю первый раз. тем более все это в виртуальной машине с виртуальными сетевыми интерфейсами.

ты не злись зря. не ты один на эти грабли наступил, а lissyara правильный совет даёт - не будешь думать, а тупо по инструкциям следовать куда ты приедешь?

2 Lissyara
на внешнем интерфейсе поднят нат средствами бсд. гейтвеем стоит нат самой вмвари. сервер прекрасно видит инет. просто запросы от клиента неперенаправлялись на вышестоящий днс сервер. я об этом с самого начала говорил. сам нелез без подтверждения. имхо должно лечится настройкой намед.конф. фсе. тема закрыта? или я попал пальцем в небо?

либо на клиентах провайдерский DNS либо у ся кэширующий подымай...

сенкс за исчерпывающий ответ:-)