Здравствуйте господа! Я начинающии в фряхе месяц назад начала осваивать все это время только и делаю что чту инфу терпение уже на исходе и теперь нуждаюсь в помощи. Появилась необходимость поставить проксю... если коротко то моя проблема заключаеться в следующем инет и дхцп, поставил squid настроил работает правильно только в том случае если в браузер клиента вписать шлюз и порт (access.log пишет), если оставить все как есть (без прокси в браузере) инет тоже есть но в этом случае не пишеться access.log. Хотелось бы понять в чем дело, не удобно ходить и каждому прописывать проксю.
Версия 2.6 STABLE16
>>>squid.confacl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 10.10.10.0/255.255.255.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny allicp_access allow all
http_port 3128 transparent
always_direct allow all#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header onhierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERYcache_mem 32 MB
cache_dir ufs /usr/local/squid/cache 100 16 256
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.logrefresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#cache_effective_user squid
#cache_effective_group squid
visible_hostname freebsdicp_port 0
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid/cacheа да и права на access.log и squid.conf 774
не пишется в access.log потому что есть сильное подозрение, что пользователи ходят через НАТ, и squid.conf тут непричем.
Подскажите
>>>rc.conffont8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
mousechar_start="3"
moused_enable="YES"
moused_port="/dev/psm0"
moused_type="auto"
scrnmap="koi8-r2cp866"
hostname="freebsd"
defaultrouter="10.10.0.1"
ifconfig_rl0="inet 10.10.0.2 netmask 255.255.255.0"
ifconfig_rl1="inet 10.10.10.2 netmask 255.255.255.0"
sshd_enable="YES"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
#natd_flags="-f /etc/redirect.conf"
firewall_enable="YES"
firewall_type="OPEN"
#firewall_script="/etc/firewall.conf"
router_enable="YES"
router="/sbin/routed"
router_flags="-q"
squid_enable="YES"
apache22_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_ifaces="rl1"
inetd_enable="YES"
>[оверквотинг удален]
>#firewall_script="/etc/firewall.conf"
>router_enable="YES"
>router="/sbin/routed"
>router_flags="-q"
>squid_enable="YES"
>apache22_enable="YES"
>dhcpd_enable="YES"
>dhcpd_flags="-q"
>dhcpd_ifaces="rl1"
>inetd_enable="YES"ipfw list покажите
00050 divert 8668 ip4 from any to any via rl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
>00050 divert 8668 ip4 from any to any via rl0
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>65000 allow ip from any to any
>65535 allow ip from any to anyhttp_port 3128 transparent - эта строка вроде бы показывает, что об организации прозрачного прокси Вы читали... но не более?
ipfw add 10 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
естественно сквид должен слушать 127.0.0.1 и 192.168.0.0 - ваша подсеть
В чем все таки проблема?
Тоже самое еще и с фаервомлов когда его включаю
#!/bin/shFwCMD="/sbin/ipfw -q"
ipfw -f flush
IfOut="rl0"
IpOut="10.10.0.2"
NetOut="10.10.0.0/24"IfIn="rl1"
IpIn="10.10.10.2"
NetIn="10.10.10.0/24"${FwCMD} add allow ip from any to any via lo0
${FwCMD} add 10 fwd 127.0.0.1,3128 tcp from ${NetIn} to any 21,80,443,5190 out via ${IfOut}
${FwCMD} add allow all from any to any
то без указания прокси в браузере не вуыходит
>[оверквотинг удален]
>NetIn="10.10.10.0/24"
>
>${FwCMD} add allow ip from any to any via lo0
>
>${FwCMD} add 10 fwd 127.0.0.1,3128 tcp from ${NetIn} to any 21,80,443,5190 out
>via ${IfOut}
>
>${FwCMD} add allow all from any to any
>
>то без указания прокси в браузере не вуыходиту Вас 2 сетевухи с одинаковыми адресами?
Вобщем ответ на вопрос звучит так: ничего не пишется в access.log потому, что в этот момент сквид не используется. Пользователь выходит в интернет через НАТ. Для решения задачи почитайте внимательно статьи по настройке transparent proxy, особенно на предмет того, каким образом трафик перенаправляется в сквид.
>[оверквотинг удален]
>NetIn="10.10.10.0/24"
>
>${FwCMD} add allow ip from any to any via lo0
>
>${FwCMD} add 10 fwd 127.0.0.1,3128 tcp from ${NetIn} to any 21,80,443,5190 out
>via ${IfOut}
>
>${FwCMD} add allow all from any to any
>
>то без указания прокси в браузере не вуыходитСмотрите, если строите прозрачное проксирование, тогда Вам нужно соответствующе настроить Squid. Пусть он будет слушать порт 3128 на "внутреннем" интерфейсе, т.е. котрый смотрит в локальную сеть, ну, к примеру, так:
http_port 10.10.10.2:3128 transparentЗатем, Вам нужно "перенаправить" трафик, скажем, на 80 порт из внутренней сетки поступающий на "внутренний" интерфейс на порт 3128, кроме трафика, который не нужно проксировать (для него можно просто указать правила с меньшим номером, которые будут выполняться до divert'a).
Очень приблизительно - вот так:
${FwCMD} add allow all from any to any via lo0
${FwCMD} add fwd ${IpIn},3128 tcp from ${NetIn} to any 80 in via ${IpIn}
${FwCMD} add allow all from ${NetIn} to ${IpIn},3128 to any in via ${IpIn}
${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
${FwCMD} add allow tcp from any to ${IfOut} established
${FwCMD} add deny all from any to anyСоответвтвенно, ядро должно быть собрано со следующими опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_FORWARDНу, и в процессе настройки, пользуйтесь tcpdump и добавьте в правила протоколирование трафика - очень способствует! :)
>настроил работает правильно только в том случае если в браузер клиента
>вписать шлюз и порт (access.log пишет), если оставить все как есть
>(без прокси в браузере) инет тоже есть но в этом случае
>не пишеться access.log. Хотелось бы понять в чем дело, не удобно
>ходить и каждому прописывать проксю.если не было задачи "настроить transparent proxy", то таки придется прописывать. ну, или почитать про WPAD.
${FwCMD} add allow all from any to any via lo0
${FwCMD} add fwd ${IpIn},3128 tcp from ${NetIn} to any 80 in via ${IpIn}
${FwCMD} add allow all from ${NetIn} to ${IpIn},3128 to any in via ${IpIn}
${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
${FwCMD} add allow tcp from any to ${IfOut} established
${FwCMD} add deny all from any to any
Не выходит так
>[оверквотинг удален]
>${IpIn}
>${FwCMD} add allow all from ${NetIn} to ${IpIn},3128 to any in via
>${IpIn}
>${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
>${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
>
>${FwCMD} add allow tcp from any to ${IfOut} established
>${FwCMD} add deny all from any to any
>
>Не выходит такoptions IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_FORWARDэто добовлял при пересборке
Проблема в том что без явного указания прокси в браузерах в инет не выходит а это не удобно ходит по каждому пк и вбивать проксю помогите кто нить очень срочно нужно
>Проблема в том что без явного указания прокси в браузерах в инет
>не выходит а это не удобно ходит по каждому пк и
>вбивать проксю помогите кто нить очень срочно нужноох епта, да прочти уже наконец про автоматическую настройку проксей. искать у гугле: wpad.dat
>[оверквотинг удален]
>${IpIn}
>${FwCMD} add allow all from ${NetIn} to ${IpIn},3128 to any in via
>${IpIn}
>${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
>${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
>
>${FwCMD} add allow tcp from any to ${IfOut} established
>${FwCMD} add deny all from any to any
>
>Не выходит такэто нечитабельно. Сбросьте ipfw list или ipfw show
>[оверквотинг удален]
>>${IpIn}
>>${FwCMD} add allow all from ${IpOut} to any via ${IfOut}
>>${FwCMD} add allow udp from any 53 to ${IpOut} in via ${IfOut}
>>
>>${FwCMD} add allow tcp from any to ${IfOut} established
>>${FwCMD} add deny all from any to any
>>
>>Не выходит так
>
>это нечитабельно. Сбросьте ipfw list или ipfw show00100 allow ip from any to any via lo0
00200 allow ip from 10.10.10.0/24 to 10.10.10.2 dst-port 3128 via rl1
00300 fwd 10.10.10.2,3128 tcp from 10.10.10.0/24 to any dst-port 80
00400 allow ip from 10.10.0.2 to any via rl0
00500 allow udp from any 53 to any via rl0
00600 allow tcp from any to any established
00700 allow tcp from 10.10.10.0/24 to any dst-port 5190 in via rl1 setup
65535 allow ip from any to any
>[оверквотинг удален]
>
>00100 allow ip from any to any via lo0
>00200 allow ip from 10.10.10.0/24 to 10.10.10.2 dst-port 3128 via rl1
>00300 fwd 10.10.10.2,3128 tcp from 10.10.10.0/24 to any dst-port 80
>00400 allow ip from 10.10.0.2 to any via rl0
>00500 allow udp from any 53 to any via rl0
>00600 allow tcp from any to any established
>00700 allow tcp from 10.10.10.0/24 to any dst-port 5190 in via rl1
>setup
>65535 allow ip from any to anyчто-то у вас скрипты одни, а правила совсем другие...
поменяйте местами правила 200 и 300
в правило, которое сейчас 200 добавьте in перед via (in via rl1)если это все ваши правила, то с 400 по 700 включительно можно смело убрать
не че не получаеться
еще раз выкладываю ipfw list
00100 allow ip from any to any via lo0
00200 fwd 10.10.10.2,3128 tcp from 10.10.10.0/24 to any dst-port 80
00300 allow ip from 10.10.10.0/24 to 10.10.10.2 dst-port 3128 in via rl1
65535 allow ip from any to any
и конфиги
squid.conf:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
#auth_param ntlm program <uncomment and complete this line to activate>
#auth_param ntlm children 5
#auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive on
#auth_param basic realm Access Squid
#auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/squid.users
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl localnet src 10.10.10.0/255.255.255.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow manager localhost
http_access allow localnet
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny allicp_access allow all
http_port 3128 transparent
always_direct allow all#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header onhierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERYcache_mem 32 MB
cache_dir ufs /usr/local/squid/cache 100 16 256
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.logrefresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#cache_effective_user squid
#cache_effective_group squid
visible_hostname freebsdicp_port 0
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid/cacherc.conf:
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
mousechar_start="3"
moused_enable="YES"
moused_port="/dev/psm0"
moused_type="auto"
scrnmap="koi8-r2cp866"
hostname="freebsd"
defaultrouter="10.10.0.1"
ifconfig_rl0="inet 10.10.0.2 netmask 255.255.255.0"
ifconfig_rl1="inet 10.10.10.2 netmask 255.255.255.0"
sshd_enable="YES"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
#natd_flags="-f /etc/redirect.conf -m -u"
firewall_enable="YES"
#firewall_type="OPEN"
firewall_script="/etc/firewall.conf"
#router_enable="YES"
#router="/sbin/routed"
#router_flags="-q"
squid_enable="YES"
apache22_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="-q"
dhcpd_ifaces="rl1"
#inetd_enable="YES"ядро собрал со следующими опциями:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFIREWALL_DEFAULT_TO_ACCEPTчерез явное указание прокси сервера прет а без него нет и почему то скорость уменьшилась все долго стало грузиться
Спасибо за помощ помогло добавление правила divert
00200 divert 8668 ip from 10.10.10.0/24 to any via rl0
00300 divert 8668 ip from any to 10.10.0.2 via rl0
теперь проблема в скорости, она значительно упала. Долгии конект с инетом
есть смысл менять правила местами, 200 ниже 400 поставить?
00100 allow ip from any to any via lo0
00200 fwd 127.0.0.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
00300 divert 8668 ip from 10.10.10.0/24 to any out via rl0
00400 divert 8668 ip from any to 10.10.0.2 in via rl0
65535 allow ip from any to any
>есть смысл менять правила местами, 200 ниже 400 поставить?
>00100 allow ip from any to any via lo0
>00200 fwd 127.0.0.1,3128 tcp from 10.10.10.0/24 to any dst-port 80
>00300 divert 8668 ip from 10.10.10.0/24 to any out via rl0
>00400 divert 8668 ip from any to 10.10.0.2 in via rl0
>65535 allow ip from any to anyВам есть смысл разобраться, что вы хотите сделать. Для работы сквида правила 300 и 400 не нужны.
А сделать его сначало не прозрачным проверить и уж потом прозрачить не пробовал?
>А сделать его сначало не прозрачным проверить и уж потом прозрачить не
>пробовал?Рекомендую прочитать первое сообщение ;)
Если правила диверт убираю, то без указания прокси у клиентов не выходит в инет.
>Если правила диверт убираю, то без указания прокси у клиентов не выходит
>в инет.покажите вывод squid -v
>>Если правила диверт убираю, то без указания прокси у клиентов не выходит
>>в инет.
>
>покажите вывод squid -vSquid Cache: Version 2.6.STABLE16
configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS='
>[оверквотинг удален]
>
>Squid Cache: Version 2.6.STABLE16
>configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter'
>'--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP'
>'--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-err-languages=Armenian
>Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French
>German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish
>Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish
>Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc'
>'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS='сквид пересобрать нада, и включить поддержку ipf-transparent
Squid Cache: Version 2.6.STABLE16
configure options: '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-ipf-transparent' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS='оставил два правила
firewall.conf:
#!/bin/shFwCMD="/sbin/ipfw -q"
${FwCMD} -f flushIfOut="rl0"
IpOut="10.10.0.2"
NetOut="10.10.0.0/24"IfIn="rl1"
IpIn="10.10.10.2"
NetIn="10.10.10.0/24"${FwCMD} add allow ip from any to any via lo0
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80
Все равно не получаеться пока не пропишешь прокси у клиента не выходит.
>[оверквотинг удален]
>NetOut="10.10.0.0/24"
>
>IfIn="rl1"
>IpIn="10.10.10.2"
>NetIn="10.10.10.0/24"
>
>${FwCMD} add allow ip from any to any via lo0
>${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80
>Все равно не получаеться пока не пропишешь прокси у клиента не выходит.
>296320002