URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93666
[ Назад ]

Исходное сообщение
"ipfw - squid"
Отправлено _John_ , 09-Авг-12 01:15

Здравствуйте уважаемые,
подскажите пожалуйста, достаточно ли этих правил (и корректны ли они) для
того, чтобы сквиду были доступны и другие порты (кроме 80), например https://site.ru:2835?
Исходные данные:
${LocalNet} - локальная сеть
${Out} - интерфейс смотрящий в интернет
Сквид на порту 3128
Правила:
Из локалки:
add 1 allow all from ${LocalNet} to me 3128
add 2 allow all from me 3128 to ${LocalNet}
Из интернет:
add 3 allow all from me 3128 to any via ${Out}
add 4 allow all from any to me 3128 via ${Out} established
add 5 deny all from any to any

Содержание

ipfw - squid,михалыч, 07:51 , 09-Авг-12
- ipfw - squid,_John_, 09:08 , 09-Авг-12
  - ipfw - squid,reader, 11:26 , 09-Авг-12
    - ipfw - squid,Pahanivo, 13:46 , 09-Авг-12
      - ipfw - squid,_John_, 17:59 , 09-Авг-12
        
        ipfw - squid,user, 22:34 , 09-Авг-12
        
        ipfw - squid,Pahanivo, 10:09 , 15-Авг-12
- ipfw - squid,gardener, 03:08 , 15-Авг-12

Сообщения в этом обсуждении

"ipfw - squid"
Отправлено михалыч , 09-Авг-12 07:51

>[оверквотинг удален]
> ${Out} - интерфейс смотрящий в интернет
> Сквид на порту 3128
> Правила:
> Из локалки:
> add 1 allow all from ${LocalNet} to me 3128
> add 2 allow all from me 3128 to ${LocalNet}
> Из интернет:
> add 3 allow all from me 3128 to any via ${Out}
> add 4 allow all from any to me 3128 via ${Out} established
> add 5 deny all from any to any
Это что??
Вы уж, извините, за прямоту, но у вас каша, в голове.. ))
Зачем указываете me ?
me это ведь значит на всех/(для всех) интервейсах.
Зачем вам это?
Потом, что, вы совсем не используете nat ?
И squid, вроде как, для заворота http трафика в основном используется,
причём здесь другие порты?
Вообще, что хотите получить в сухом остатке?
Локальную сеть вывести в интернет, узнать
кто и куда ходил, squid для логирования, кэширования использовать ?

"ipfw - squid"
Отправлено _John_ , 09-Авг-12 09:08

>[оверквотинг удален]
> Вы уж, извините, за прямоту, но у вас каша, в голове.. ))
> Зачем указываете me ?
> me это ведь значит на всех/(для всех) интервейсах.
> Зачем вам это?
> Потом, что, вы совсем не используете nat ?
> И squid, вроде как, для заворота http трафика в основном используется,
> причём здесь другие порты?
> Вообще, что хотите получить в сухом остатке?
> Локальную сеть вывести в интернет, узнать
> кто и куда ходил, squid для логирования, кэширования использовать ?
Чтобы сквиду были доступны и другие порты (кроме 80), например https://site.ru:2835?.
На данный момент сквид может получить только данные по 80-му порту, при запросе на отличные от 80-го порты выдает ошибку о загрузке страницы.
К сожалению не могу сейчас скинуть правила ipfw, буду на работе только через пару недель.
С me спасибо, учел.
Правила:
Из локалки:
add 1 allow all from ${LocalNet} to ${InternalInterfaceIP} 3128
add 2 allow all from ${InternalInterfaceIP} 3128 to ${LocalNet}
Из интернет:
add 3 allow all from ${ExternalInterfaceIP} 3128 to any via ${Out}
add 4 allow all from any to ${ExternalInterfaceIP} 3128 via ${Out} established
add 5 deny all from any to any

"ipfw - squid"
Отправлено reader , 09-Авг-12 11:26

>[оверквотинг удален]
> через пару недель.
> С me спасибо, учел.
> Правила:
> Из локалки:
> add 1 allow all from ${LocalNet} to ${InternalInterfaceIP} 3128
> add 2 allow all from ${InternalInterfaceIP} 3128 to ${LocalNet}
> Из интернет:
> add 3 allow all from ${ExternalInterfaceIP} 3128 to any via ${Out}
> add 4 allow all from any to ${ExternalInterfaceIP} 3128 via ${Out} established
> add 5 deny all from any to any
для хождения в инет squid-ом будут использоваться любые порты выше 1023 разрешенные системой, а не только 3128

"ipfw - squid"
Отправлено Pahanivo , 09-Авг-12 13:46

очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и толку тоже ...

"ipfw - squid"
Отправлено _John_ , 09-Авг-12 17:59

> очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и
> толку тоже ...
Еще один великий гуру ... не, пахан сетевых технологий, судя по нику.

"ipfw - squid"
Отправлено user , 09-Авг-12 22:34

>> очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и
>> толку тоже ...
> Еще один великий гуру ... не, пахан сетевых технологий, судя по нику.
Да вы что. )) Какой там гуру, пахан...
Это известный глупыш и невежа на просторах опеннета :-))

"ipfw - squid"
Отправлено Pahanivo , 15-Авг-12 10:09

> Да вы что. )) Какой там гуру, пахан...
> Это известный глупыш и невежа на просторах опеннета :-))
толсто хохо

"ipfw - squid"
Отправлено gardener , 15-Авг-12 03:08

>> add 1 allow all from ${LocalNet} to me 3128
>> add 2 allow all from me 3128 to ${LocalNet}
>> Из интернет:
>> add 3 allow all from me 3128 to any via ${Out}
>> add 4 allow all from any to me 3128 via ${Out} established
> Зачем указываете me ?
> me это ведь значит на всех/(для всех) интервейсах.
ME это не совсем интерфейсы, это скорее IP - уровень L3 модели OSI.
То есть, если приписать направление и интерфейс (что всегда желательно) то очень даже можно:
add 1 allow all dst-ip me dst-port 3128 in recv _имя_внутреннего_интерфейса_
Из интернет:
add 3 allow all src-ip me src-port 3128 out xmit ${Out}