URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47129
[ Назад ]

Исходное сообщение
"Прошу помочь разобраться с IPFW"

Отправлено tzirulnicov , 12-Авг-04 20:41 
Есть локальная сеть с клиентами и сервер, прдоставляющий коллективный доступ этих клиентов в Интернет. Нужно все входящие соединения от клиентов на хосты FTP в Интернет перенаправлять на обработку SQUID'ом.

add 1 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any ftp out via vr0
не пашет (vr0 - смотрит в Интернет, rl0 - на клиентов). При этом, если в настройках клиента указать подключение к FTP через прокси, то всё нормально. Т.е. IPFW по вышеизложенному правилу не перенаправляет запросы ! Почему ?

Нужно, чтобы у клиента был полный доступ в Интернет (т.е. по всем портам).

add 1002 allow ip from 192.168.1.1 to any via rl0
add 1002 allow ip from any to 192.168.1.1 via rl0

- не катит. У клиента пропинговываются хосты Интернета, но ни по одному соединиться ни по каким портам не может...

Даже если данные правила в первую очередь поставить (add 1 allow ip (...)), исключив влияние других правил... :(

------------

Почему add 510 divert natd ip from 192.168.1.0/24 to any via vr0
не пашет, в то время как
add 510 divert natd ip from any to any via vr0 - срабатывает (клиент 192.168.1.1, сервер 192.168.1.100) ?

Детальное изучения мана ipfw не помогло...


Содержание

Сообщения в этом обсуждении
"Прошу помочь разобраться с IPFW"
Отправлено A Clockwork Orange , 13-Авг-04 06:21 
Прозрачное проксирование для FTP на сквиде не работает. Попробуй использовать проски сервер frox.

Со второй частью не очень понятно.
Предоставить выходи сети в Интернет с использованием natd.

Не работает правило
ipfw add 510 divert natd ip from 192.168.1.0/24 to any via vr0
по причине что это правило в одну сторону-от клиента, в то время как правило
add 510 divert natd ip from any to any via vr0
влюкчает в себя двухстороннее движение трафика: от клиента и к клиента


"Прошу помочь разобраться с IPFW"
Отправлено tzirulnicov , 13-Авг-04 10:42 
>Прозрачное проксирование для FTP на сквиде не работает. Попробуй

Между тем сквид в данной роли меня устраивает. Моя задача - отрубить соединения крякнутых программ CuteFTP, которые при запуске пытаются соединиться к dbregistration.cuteftp.com. Вместе данного сайта нужно выдать что-то другое, например, картинку. Либо перенаправить запрос на локальный web-сервер. Просто запретить нельзя, т.к. CuteFTP при этом вешается. Мой вариант:

* Перекидываем запросы по FTP на обработку сквида.
* Сквид запускает Perl-скрипт redirect, который предназначен для подмены хостов - вместо банеров выдаёт картинку 1x1, вместо ресурсов dbregistration.cuteftp.com - опять-таки картинку.