Всем здравствуйте!
Избитая тема, но я все что можно перечитал, но так у меня ничего и не вышло. Посоветуте как настроить squid.
У меня настроен мост с ed0 и ed1. ed0 смотрит в интернет фильтруя исходящие и входящие пакеты,
а ed1 смотрит в сеть и пропускает все.
На ed1 поднят IP на нем работает httpd (для внешних пользователей) и
squid (для внутренних).Squid настроен на работу с ipfw.
(
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
)Правила в кратце:
(
# ed1:
350 fwd ${my_server},3128 tcp from ${my_net} to any 80 via ed1
400 allow all from any to any via ed1
...
# ну и ed0:
allow all from ${my_server} 1024-65535 to any 80 out via ed0
allow all from any 80 to ${my_server} 1024-65535 in via ed0
...
)пакеты заворачивают, и ничего более
http://www.opennet.me/openforum/vsluhforumID12/643.html
У меня та же проблема, только еще маскарадинг есть.
Основной вопрос на первом этапе : с какими ключами собирать squid?
>http://www.opennet.me/openforum/vsluhforumID12/643.html
>У меня та же проблема, только еще маскарадинг есть.
>Основной вопрос на первом этапе : с какими ключами собирать squid?в /etc/rc.conf:
gateway_enable="YES" --???
опция ядра IPFIREWALL_FORWARD присутствует?
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARDВ логах видно что правило fwd сработало, но больше пакет никида не идет.
Вопрос: надо ли собирать с ключами enable-transparent, с какими для ipfw + natd ?
>options IPFIREWALL
>options IPDIVERT
>options IPFIREWALL_FORWARD
>
>В логах видно что правило fwd сработало, но больше пакет никида не
>идет.
>
>Вопрос: надо ли собирать с ключами enable-transparent, с какими для ipfw +
>natd ?
--enable-ipf-transparent
И не понятно, зачем natd? У меня и без него все работает.
>--enable-ipf-transparent
>И не понятно, зачем natd? У меня и без него все работает.
>Для маскарадинга
>
>>--enable-ipf-transparent
>>И не понятно, зачем natd? У меня и без него все работает.
>>
>
>Для маскарадинга
Для какого маскарадинга? Сквид со своего внешнего адреса запрос посылает. Если есть маскарадинг, зачем тогда прокси?
Мне одно не понятно, после того как пакет передан squid (через fwd), он больше не обрабатывается ipfw, через ipfw проходит только выдача клиенту результата запроса. А передача пакета от Squid через внешний интерефейс, и приход ответа к Squid через внешний интерфейс?Фырезка правил ipfw:
${fwcmd} add 10015 count log logamount 100 tcp from $lan to any via $lan_interface in
${fwcmd} add 19998 fwd 192.168.2.254,3128 log logamount 100 tcp from $lan to any 80 via $lan_interface
${fwcmd} add 19999 allow log logamount 100 tcp from any to anyСмотрим лог:
Mar 25 08:30:15 fl /kernel: ipfw: 10015 Count TCP 192.168.2.15:3953 194.186.36.138:80 in via fxp0
Mar 25 08:30:15 fl /kernel: ipfw: 19998 Forward to 192.168.2.254:3128 TCP 192.168.2.15:3953 194.186.36.138:80 in via fxp0
Mar 25 08:30:15 fl /kernel: ipfw: 19999 Accept TCP 194.186.36.138:80 192.168.2.15:3953 out via fxp0Засветился только fwd с внутреннего интерфейса, и ответ клиенту с внутреннего интерфейса. Все!!! А шде пакеты через внешний интерфейс ? Как squid обходит ipfw?
спасибо за ответы.
я читал, что IP_FORWARD не работает c BRIDGE.
Это на самом деле так?
у меня все именно так и работало,
пока на заменил ipfw на ipfw2 и теперь точно так же не работает (((