Народ подскажите в какой стороне копать! Есть bridge на freebsd. Также на этой же машине стоит squid. Хочу чтобы все юзеры могли ходить только через мой прокси а от него уже в инет. Все остальное чтобы они не вводили или оставляли пустым в броузере строчку прокси пустой не пускало их в инет. Настройка прозрачного прокси для меня не подходит. Подскажите в какой стороне копать?
Запретить форвард
>Запретить форвард
Но люди как-то говорят что bridge и forward не совместимы :(
>>Запретить форвард
>
>
>Но люди как-то говорят что bridge и forward не совместимы :(
получается что у тебя юзеры могут выходить в инет двумя способами:
1. через прокси.
2. напрямую через сервер (твой сервер форвадит пакеты от пользователй в сеть.)так вот тебе нуна второй пункт зарубить. если юзер у тебя может, к примеру пинговать ya.ru, знач у тебя открыт форвардинг пакетов. копать нуна в сторону файрволла твоего (iptables или ipfwadm).
если ты ты зарубишь все пакеты из твоей локалки в инет, то юезры смогут юзать инет тока через прокси.
>>>Запретить форвард
>>Но люди как-то говорят что bridge и forward не совместимы :(
>так вот тебе нуна второй пункт зарубить. если юзер у тебя может,
>к примеру пинговать ya.ru, знач у тебя открыт форвардинг пакетов. копать
Я своим юзерам не выключал форвардинг, пингуют любые внешние адреса, однако при этом могут ходить в инет только через мой прокси.
Для этого на интерфейсе смотрящего в сторону LAN, закрыл TCP для почти всех портов. Это вынуждает юзать прокси.>нуна в сторону файрволла твоего (iptables или ipfwadm).
>если ты ты зарубишь все пакеты из твоей локалки в инет, то
>юезры смогут юзать инет тока через прокси.
>Народ подскажите в какой стороне копать! Есть bridge на freebsd. Также на
>этой же машине стоит squid. Хочу чтобы все юзеры могли ходить
>только через мой прокси а от него уже в инет. Все
>остальное чтобы они не вводили или оставляли пустым в броузере строчку
>прокси пустой не пускало их в инет. Настройка прозрачного прокси для
>меня не подходит. Подскажите в какой стороне копать?зачем там бридж.
ты либо роутер из него делаешь либо бриджом.
то и другое противоречит.ложи брижд , а далее по ману настраиваешь роутер.
и все будет путем
>ложи брижд , а далее по ману настраиваешь роутер.
>и все будет путем
denn
Это NAT поднимать что-ли?
>>ложи брижд , а далее по ману настраиваешь роутер.
>>и все будет путем
>denn
>Это NAT поднимать что-ли?
В rc.confGATEWAY=no
>>ложи брижд , а далее по ману настраиваешь роутер.
>>и все будет путем
>denn
>Это NAT поднимать что-ли?Хммм... зачем НАТ при задаче не пускать никого иначе чем через сквид??????
>>>ложи брижд , а далее по ману настраиваешь роутер.
>>>и все будет путем
>>denn
>>Это NAT поднимать что-ли?
>
>Хммм... зачем НАТ при задаче не пускать никого иначе чем через сквид??????
>Ну вроде работает что-то
Но когда вообще ничего не ставишь в браузере в инет ходит можно :), а когда ставишь проксю какую-нибудь, то нет даже если ставишь свой сквид :)
Как теперь настраивать ipfw чтобы он запретил ходить браузеру в инет с пустой строчкой прокси и разрешил ходить со строчкой моего прокси?
Заранее спасибо...
>>>>ложи брижд , а далее по ману настраиваешь роутер.
>>>>и все будет путем
>>>denn
>>>Это NAT поднимать что-ли?
>>
>>Хммм... зачем НАТ при задаче не пускать никого иначе чем через сквид??????
>>
>
>Ну вроде работает что-то
конкретней
>Но когда вообще ничего не ставишь в браузере в инет ходит можно
>:), а когда ставишь проксю какую-нибудь, то нет даже если ставишь
>свой сквид :)
сквид настроен?
>Как теперь настраивать ipfw чтобы он запретил ходить браузеру в инет с
>пустой строчкой прокси и разрешил ходить со строчкой моего прокси?
разрешить ходить примером на порт 80 только с твоего (me) адреса.
клиент прописывает у себя твой сквид, а он уже ломиться через ipfw со своим адресом
>Заранее спасибо...
>Ну вроде работает что-то
>Но когда вообще ничего не ставишь в браузере в инет ходит можно
>:), а когда ставишь проксю какую-нибудь, то нет даже если ставишь
>свой сквид :)
>Как теперь настраивать ipfw чтобы он запретил ходить браузеру в инет с
>пустой строчкой прокси и разрешил ходить со строчкой моего прокси?
>Заранее спасибо...Бррр... у кого-то из нас непорядки с головой... Fes тебе очень подробно объяснил - повторяю... Если выходят в инет без прокси - значит, у тебя включен форвард пакетов. Для работы сквида форвард пакетов не нужен - обращение идет к внутреннему адресу. Достаточно выключить форвард - и задача решена.
Извиняюсь за мою тупость :( Так что нужно нужно переконфигурить ядро без
IPFIREWALL_FORWARDING?
>Извиняюсь за мою тупость :( Так что нужно нужно переконфигурить ядро без
>
>IPFIREWALL_FORWARDING?если хочешь следовать совету о выключении форварда, то
sysctl net.inet.ip.forwarding в 0
а если хочешь по-человечески (для того он и роутер чтоб форвардить, а настройка политики - это уже администрирование роутера), используй настройки фаирвола, прозрачный прокси и тд. для гибкости управления внутренней сетью и пополнения опыта.
>если хочешь следовать совету о выключении форварда, то
>sysctl net.inet.ip.forwarding в 0
>а если хочешь по-человечески (для того он и роутер чтоб форвардить, а
>настройка политики - это уже администрирование роутера), используй настройки фаирвола, прозрачный
>прокси и тд. для гибкости управления внутренней сетью и пополнения опыта.
>
Я пробовал поставить прозрачный прокси, но c ipfilter не получилось, да и хотелось сначала с ipfw разобраться до конца. Через wccp тоже не получается, fwd в bridge не работает. А подругому не знаю как!
Поставил как было сказано!
sysctl net.inet.ip.forwarding в 0
Но все равно при пустом прокси ходит инет!
>Поставил как было сказано!
>sysctl net.inet.ip.forwarding в 0
>Но все равно при пустом прокси ходит инет!а бридж ты прибил?
250669862 пиши вобщем если есть желание
А можно топологию сети в студию. У тебя кто роутер в сети? И где бридж стоит.
Еге.. меня вот сумтила фраза: "пробовал настроить прозрачный прокси".. Магёт он у тебя и настроен.
Вообщем исходя из твоих слов даже когда
ps -xa | grep squid тебе ничё не выдаёт кроме самого ps (т.е. сквид вырублен) и когда
cat /proc/sys/net/ipv4/ip_forward выдаёт 0
У ТЕБЯ ВСЁ РАВНО ЛЮДИ ХОДЯТ В ИНЕТ???!!!!!!
мля... ну я в это не верю. :) знач у тя шо-то ещё их в сеть пускает :)
P.s. магёт када ты сетевой кабель из сервака вынимаешь у тебя тоже люди в инет ходють? (шутка) :) :) :)
Кстати, сам топик: "Закрыть все прокси кроме сквид". Магёт ты ещё какую проксю ставил и она у тебя юзверей в инет пускает?
Была проблема в проводах напарник поменял провод, и ушел! Извиняюсь ступил.
Ситуация следующая отключаю формардинг инет идет отключаю бридж инет умирает! Полностью вместе со сквидом и с пустой строчкой.
А что делать дальше?
>Была проблема в проводах напарник поменял провод, и ушел! Извиняюсь ступил.
>Ситуация следующая отключаю формардинг инет идет отключаю бридж инет умирает! Полностью вместе
>со сквидом и с пустой строчкой.
>А что делать дальше?Топологию твоей сети разрисовать. От роутера до конечного host. И где что стоит. По другому тебе врятли смогут помочь (хотя может это мне только так кажеться)
(LAN-192.168.10.0/24)
|
|
in0
(bridge FreeBSD)
ext0
|
|
192.168.10.1
(cisco)
Internet IP
|
|
|
ISPДоступа к Циске у меня нет! Нат установить не возможно. По причине того что я не знаю какие адреса открыты
>Доступа к Циске у меня нет! Нат установить не возможно. По причине
>того что я не знаю какие адреса открытыНо хоть одну работающую машину у себя в сети ты знаешь? вот ее адрес и используй для маскарада Ж8-)
>
>
>
> (LAN-192.168.10.0/24)
>
>
>
>
> |
>
>
>
>
> |
>
>
>
>
> in0
>
>
>
> (bridge FreeBSD)
>
>
>
>
> ext0
>
>
>
>
> |
>
>
>
>
> |
>
>
>
>
>192.168.10.1
>
>
>
>
> (cisco)
>
>
>
>
>Internet IP
>
>
>
>
> |
>
>
>
>
> |
>
>
>
>
> |
>
>
>
>
> ISP
>
>Доступа к Циске у меня нет! Нат установить не возможно. По причине
>того что я не знаю какие адреса открытыЕсли хочешь оставить бридж, то наверное и не надо доступа к циске. Теперь открой свой бридж для всего и вся. И смотри что присходит с прокси. Так ты выяснишь что не работает, прокси или бридж. Также включи логирование в файерволе и смотри что куда идет или нет.