URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 38810
[ Назад ]

Исходное сообщение
"ipfw игнорирует обращение к squid"
Отправлено Siberian_Cat , 24-Дек-03 17:24

Hi All!
У меня FreeBSD 4.9 и непонятная проблема: у меня ipfw игнорирует forward на
squid и пропускает людей в интернет через NAT без разговоров.
Вот фрагмент rc.firewall:
.............................................
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via xl0
   /* xl0 - внешний интерфейс с реальным IP от провайдера */
   /* xl1 - внутренний интерфейс с адресом 192.168.0.1 */
ipfw add allow tcp from any to any established
ipfw add allow ip from <real_IP> to any out xmit xl0
ipfw add allow tcp from any to any 25,110 via xl0
ipfw add allow tcp from any 25,110 to any via xl0
ipfw add allow udp from any 53 to any via xl0
ipfw add allow udp from any to any 53 via xl0
ipfw add divert natd ip from 192.168.0.0/24 to any out via xl0
ipfw add divert natd ip from any to any xl0 in recv via xl0
ipfw add allow ip from any to any via xl1
ipfw add deny ip from any to any
..............................................
Сам собственно squid нормально запускается и висит в списке процессов,
но когда люди из внутренней сетки идут в интернет, ipfw show говорит,
что к
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via xl0
обращений 0, зато обращения идут к правилам
  allow tcp from any to any established
  allow ip from <real_IP> to any out xmit xl0
  allow udp from any 53 to any via xl0
  allow ip from any to any via xl1
но больше всего к самому последнему 65535-му правилу
  allow ip from any to any
Все остальное остается по нулям. Интернет, точнее http, у всех работает
просто "на ура", но больше ничего - ни POP3, ни SMTP, ни ICQ.
Если кто-то сталкивался уже с этим ребусом, plz, подскажите, что еще надо проставить, чтобы работало все. За неделю весь opennet.ru и ещё много чего
переискал - толкового ничего не нашел.
Заранее thanx!

Содержание

ipfw игнорирует обращение к squid,A Clockwork Orange, 17:30 , 24-Дек-03
ipfw игнорирует обращение к squid,crash, 17:32 , 24-Дек-03
- ipfw игнорирует обращение к squid,Siberian_Cat, 07:02 , 25-Дек-03
ipfw игнорирует обращение к squid,noname, 11:52 , 25-Дек-03
ipfw игнорирует обращение к squid,Pol, 18:43 , 28-Дек-03

Сообщения в этом обсуждении

"ipfw игнорирует обращение к squid"
Отправлено A Clockwork Orange , 24-Дек-03 17:30

>Hi All!
>
>У меня FreeBSD 4.9 и непонятная проблема: у меня ipfw игнорирует forward
>на
>squid и пропускает людей в интернет через NAT без разговоров.
>
>Вот фрагмент rc.firewall:
>
>.............................................
>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via
>xl0
1. УБЕРИ OUT VIA XL0, ну ли по крайней мере должно быть in via внутренний_if
2. ВМЕСТО 127.0.0.1 ПОСТАВИТЬ АДРЕС КОТОРЫЙ СЛУШАЕТ SQUID

>   /* xl0 - внешний интерфейс с реальным IP от
>провайдера */
>   /* xl1 - внутренний интерфейс с адресом 192.168.0.1 */
>
>
>ipfw add allow tcp from any to any established
>ipfw add allow ip from <real_IP> to any out xmit xl0
>ipfw add allow tcp from any to any 25,110 via xl0
>ipfw add allow tcp from any 25,110 to any via xl0
>ipfw add allow udp from any 53 to any via xl0
>ipfw add allow udp from any to any 53 via xl0
>
>ipfw add divert natd ip from 192.168.0.0/24 to any out via xl0
>
>ipfw add divert natd ip from any to any xl0 in recv
>via xl0
>
>ipfw add allow ip from any to any via xl1
>
>ipfw add deny ip from any to any
>..............................................
>
>Сам собственно squid нормально запускается и висит в списке процессов,
>но когда люди из внутренней сетки идут в интернет, ipfw show говорит,
>
>что к
>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via
>xl0
>обращений 0, зато обращения идут к правилам
>  allow tcp from any to any established
>  allow ip from <real_IP> to any out xmit xl0
>  allow udp from any 53 to any via xl0
>  allow ip from any to any via xl1
>но больше всего к самому последнему 65535-му правилу
>  allow ip from any to any
>
>Все остальное остается по нулям. Интернет, точнее http, у всех работает
>просто "на ура", но больше ничего - ни POP3, ни SMTP, ни
>ICQ.
>
>Если кто-то сталкивался уже с этим ребусом, plz, подскажите, что еще надо
>проставить, чтобы работало все. За неделю весь opennet.ru и ещё много
>чего
>переискал - толкового ничего не нашел.
>
>Заранее thanx!

"ipfw игнорирует обращение к squid"
Отправлено crash , 24-Дек-03 17:32

>Hi All!
>
>У меня FreeBSD 4.9 и непонятная проблема: у меня ipfw игнорирует forward
>на
>squid и пропускает людей в интернет через NAT без разговоров.
>
>Вот фрагмент rc.firewall:
>
>.............................................
>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via
>xl0
помойму проблема в 127.0.0.1, почему не указать нормальный айпи?

"ipfw игнорирует обращение к squid"
Отправлено Siberian_Cat , 25-Дек-03 07:02

>>Hi All!
>>
>>У меня FreeBSD 4.9 и непонятная проблема: у меня ipfw игнорирует forward
>>на
>>squid и пропускает людей в интернет через NAT без разговоров.
>>
>>Вот фрагмент rc.firewall:
>>
>>.............................................
>>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via
>>xl0
>помойму проблема в 127.0.0.1, почему не указать нормальный айпи?

Откровенно говоря, я уже все, что можно менять - менял, в частности
и IP-шник в форварде. Увы - не помогло: squid упорно игнорируется,
это видно из ipfw show. Правила местами двигал по rc.firewall (то вверх,
то вниз)... Просто непонятно, кто в связке ipfw+natd+squid "слабое звено".
Проверял свою настройку по умным книгам и по статьям в инете - блин, ну
ничего сверъестественного я в своих conf-файлах не прописывал, однако
результат один и тот же. Может есть ещё какие-нибудь мысли (хочется думать,
что виноваты не ipfw+natd+squid, а немного кривоватые ручки :-)))

"ipfw игнорирует обращение к squid"
Отправлено noname , 25-Дек-03 11:52

>Hi All!
>
>У меня FreeBSD 4.9 и непонятная проблема: у меня ipfw игнорирует forward
>на
>squid и пропускает людей в интернет через NAT без разговоров.
>
>Вот фрагмент rc.firewall:
>
>.............................................
>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any http out via
>xl0
со 192.168 на 127.0.0.1? Такие вещи надо запрещать, если не ошибаюсь
может быть что то в этом роде?
ipfw add fwd <squid_ip>,3128 tcp from 192.168.0.0/24 to any http out via xl0
где squid_ip=192.168.1.1, например

"ipfw игнорирует обращение к squid"
Отправлено Pol , 28-Дек-03 18:43

Вот читал где-то тут недолеко... ;-D
________________________________________________________
Принудительное проксирование в FreeBSD
Для принудительного проксирования, на прокси-сервере следует ввести правила Firewall:
01000 fwd 127.0.0.1,3128 tcp from 10.128.0.0/16 to any 80,8080,8101
В squid.conf нужно добавить:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
При этом принудительное проксирование будет работать, если ПРОКСИ-сервер стоит в качестве маршрутизатора. Если же нет, то следует на маршрутизаторе "развернуть" Веб-трафик на ПРОКСИ-сервер. Например, так:
ipfw add 10 fwd 195.131.31.3 tcp from 10.128.0.0/16 to any 80,8080 out xmit lnc0
(195.131.31.3 - адрес ПРОКСИ-сервера)