Решил сделать кеширующий прокси, поставил сквид, настроил, всё вроде как должно рабоать. Сквид висит на 127.0.0.1:3128. Заворачиваю туды весь http трафик с определённой машины на пример
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.2 to any 80
Машина со сквидом стоит шлюзом по умолчанию у машины с которой заворачиваю трафик. Смотрю ipfw show и лицезрею, что правило сработало, т.е. счётчики на правиле увеличились. Но нифига не заработало... Смотрю tcpdump -i lo0 трафик и ничего не вижу, т.е. как я понял праило-то выполнилось, но нифига не завернулось... Или я туплю как-то... Вообщем подскажите где косяк?
http://squid.h12.ru/FAQ/FAQ-17.html
http://lists.freebsd.org/pipermail/freebsd-questions/2003-Oc...
>http://squid.h12.ru/FAQ/FAQ-17.html
>http://lists.freebsd.org/pipermail/freebsd-questions/2003-Oc...Чего-то не увилел там ничего дельного.... В настройках squid надписи типа
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
имеют место быть... Ядро собрано с
options IPFIREWALL
options IPFIREWALL_FORWARDНо щас до сквида дело даже не доходит, т.е. как я понимаю при перенаправлнии на 127.0.0.1 я должен лицезреть трафик на lo0, которого нету... Но счётчики на правиле с форвардом увеличиваются, т.е. правило срабатывает...
Ткните носом где я прогнал....
up
Люди, чего не было такого, чтоли не у кого?
>up
>Люди, чего не было такого, чтоли не у кого?может на какие другие правила натыкается где еще 127.0.0.1 и lo0 прописано?
у меня в точно такой же конфигурации работает - только я перенаправляю на 192.168.... а не на 127
Хм...
Странно...
Но вы хотя бы первый пункт читали? =)))1. Откомпилирровать и запустить версию Squid, которая принимает соединения для других адресов. Для некоторых операционных систем вам потребуется отконфигурировать и собрать версию Squid, которая сможет распознать "чужие" (hijacked) соединения и различать адреса назначения. Для Linux это скорее всего будет работать автоматически. Для *BSD-систем вам возможно понадобится пересобрать squid с опцией --enable-ipf-transparent. (Не забывайте делать make clean, если прежняя конфигурация не содержала этой опции или корректные установки не будут присутствовать.)
>Решил сделать кеширующий прокси, поставил сквид, настроил, всё вроде как должно рабоать.
>Сквид висит на 127.0.0.1:3128. Заворачиваю туды весь http трафик с определённой
>машины на пример
>ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.2 to any 80
>Машина со сквидом стоит шлюзом по умолчанию у машины с которой заворачиваю
>трафик. Смотрю ipfw show и лицезрею, что правило сработало, т.е. счётчики
>на правиле увеличились. Но нифига не заработало... Смотрю tcpdump -i lo0
>трафик и ничего не вижу, т.е. как я понял праило-то
>выполнилось, но нифига не завернулось... Или я туплю как-то... Вообщем подскажите
>где косяк?Какая версия ОС?
ОС FreeBSD 4.9На счёт "--enable-ipf-transparent", говорит:
WARNING: Cannot find necessary IP-Filter header files
Transparent Proxy support WILL NOT be enabled
Какие ещё мысли?
upЛюди, товарищи, скажите чё я не так делаю для прозрачного проксирования?
Вот по порядку
1. Собрал ядро
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT2. Поставил squid 2.5
./configure (без всего, ибо там на счёт прозрачного проксирования тока ipf и pf упоминались)3. Правил конфиг сквида
В acl указал сетку свою
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on4. В файрволл добавил правило
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.2 to any 80После этого счётчики на правиле увеличиваются, т.е. правило срабатывает. Но нифига не работает.
Чего я ещё не сделал или сделал не так?
ipfw show покажи.таких строчек там нет случаем?
allow ip from any to any via lo0
deny log ip from any to 127.0.0.0/8
deny log ip from 127.0.0.0/8 to any
ipfw show
00010 61188 5359762 allow ip from any to any via lo0
00030 848557 344865276 divert 8668 tcp from any to any via rl0 established
00040 16407 1153874 divert 8668 ip from 192.168.10.0/24 to any via rl0
00050 703 111405 divert 8668 icmp from any to me via rl0
00060 17137 2508023 divert 8668 udp from any to me via rl0
00070 1378783 581587975 allow tcp from any to any established
00080 31147 2229351 allow ip from me to any
00090 250 18124 allow icmp from any to me
00100 13655 1968008 allow udp from any 53 to me
00110 1108 53412 allow tcp from any to me 80,443,21,2222 setup
00120 733 46050 allow udp from 192.168.10.0/24 to me 53 keep-state
00130 4393 585099 deny ip from any to me
00140 0 0 allow udp from 192.168.1.2 to any 53 keep-state
00150 0 0 allow udp from any 20 to any
01002 2866 323496 allow ip from any to 192.168.10.2
01002 9798 951503 allow ip from 192.168.10.2 to any
01003 4108 453020 allow ip from any to 192.168.10.60
01003 14354 1348151 allow ip from 192.168.10.60 to any
01004 2 152 allow ip from any to 192.168.10.55
01004 956 109405 allow ip from 192.168.10.55 to any
01005 2 152 allow ip from any to 192.168.10.52
01005 3731 358187 allow ip from 192.168.10.52 to any
01007 6 3072 allow ip from any to 192.168.10.59
01007 3527 296988 allow ip from 192.168.10.59 to any
65535 11278 1030987 deny ip from any to anyЩас без ipfw add fwd 127.0.0.1,3128 tcp from 192.168.10.2 to any 80
Потому, что убрал пока.