Большая просьба прояснить ситуацию:
Имеется squid и фаерволл на одной машине (ось FreeBSD) Имеется большое желание сделать "прозрачный-прокси" (чтобы прокся работала с юзерами невидимо для них) До этого я уже поднимал подобный вопрос на что мне была дана интересная ссылка: http://www.sun.com/bigadmin/content/submitted/transp_proxy.html которую я без внимания не оставил. Я сделал всё как там описана перекомпилил squid, настроил его, приведённые там правила мне показались неправильными, но ради интереса я в тупую их скопировал подставил нужные значения и всё... Результат - не работает!

Поэтому решил настривать по-своему.
Пожалуйста подскажите как грамотно огранизвать форвардинг на проксю... Имеются правила в наличии следующие:

ipfw add 400 allow ip from me to any
ipfw add 500 allow ip from any to me

#??????????????
ipfw add 700 divert 127.0.0.1,3128 ip from any to any  
#??????????????

• ipfw + proxy (прозрачный прокси),DustpaN, 14:30 , 02-Окт-07
  • ipfw + proxy (прозрачный прокси),darkness, 15:58 , 02-Окт-07
  • ipfw + proxy (прозрачный прокси),darkness, 17:55 , 02-Окт-07
    • ipfw + proxy (прозрачный прокси),stonecold, 11:01 , 03-Окт-07
      • ipfw + proxy (прозрачный прокси),darkness, 15:40 , 03-Окт-07

>#??????????????
>ipfw add 700 divert 127.0.0.1,3128 ip from any to any
>#??????????????

ipfw add 700 divert 127.0.0.1,3128 tcp from any to any dst-port 80
А то у тебя все что только можно на проклю заворачивается

>>#??????????????
>>ipfw add 700 divert 127.0.0.1,3128 ip from any to any
>>#??????????????
>
>ipfw add 700 divert 127.0.0.1,3128 tcp from any to any dst-port 80
>
>А то у тебя все что только можно на проклю заворачивается

Да в принципе так и должно быть чтобы всё заворачивалось на  проксю ведь у клиентов не только работает интернет эксплорер но так же и ICQ и Skype и клиент банк и проч и проч....
И приведённое Вами правило не работает к тому же. Хотя логика, чёрт возьми, верна (я так думаю)!!! В чём может быть проблема?

Народ неужели никто с подобной задачей не сталкивался???

>Народ неужели никто с подобной задачей не сталкивался???

для начала squid работает только с http/ftp-траффиком, т.е. про заворот на него почты, аськи и прочего можно забыть.
для прозрачного сквида нужно одно лишь правило:
add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80,8080,8081
в ядре ессно должны быть опции: IPFIREWALL_FORWARD, IPFIREWALL_FORWARD_EXTENDED (в >6.x экстендед опции афаик нет и не надо).

а все остальное - аську, почту, банки - только nat-ить.
add divert natd ip from ${local_net} to any out via ${ext_if}
add divert natd ip from any to ${ext_ip} in via ${ext_if}
эти правила должы идти _после_ форварда, иначе не будет прозрачного проксирования.
по хорошему после этого еще написать правила для открытия только нужных портов и фаер в дефаулт_ту_блок перевести.

>[оверквотинг удален]
>для прозрачного сквида нужно одно лишь правило:
>add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80,8080,8081
>в ядре ессно должны быть опции: IPFIREWALL_FORWARD, IPFIREWALL_FORWARD_EXTENDED (в >6.x экстендед опции афаик нет и не надо).
>
>а все остальное - аську, почту, банки - только nat-ить.
>add divert natd ip from ${local_net} to any out via ${ext_if}
>add divert natd ip from any to ${ext_ip} in via ${ext_if}
>эти правила должы идти _после_ форварда, иначе не будет прозрачного проксирования.
>по хорошему после этого еще написать правила для открытия только нужных портов
>и фаер в дефаулт_ту_блок перевести.

Большое СПАСИБО!!!