А то выползают глюки. К примеру не работает редирект на сквид... (
Вкратце сеть. Через нее ходят пользователи. + VPN на MPD. На шлюзе на котором настраиваем веб сервер редиректит на эксчейндж. Приму любые советы от мэтров.
pf.conf
ext_if="rl0" (Статический айпи, интерфейс во внешний мир)
vpn_if="{ng0, ng1, ng2, ng3, ng4}" (айпи диапазон выделяется mpd)
int_if="fxp0" (статический айпи 10.10.10.1)trusted_lan="10.10.10.0/24"
localnet="127.0.0.0/8"
icmp_types="{echoreq, unreach}"set block-policy return
set skip on lo0
set skip on $int_if (если убрать перестает работать vpn подсеть. Как не пробовал написать правило. Увы примеров не нашел)set skip on $vpn_if
scrub in all# NAT
rdr on $int_if proto tcp from $trusted_lan to any port www -> 127.0.0.1 port 3128
nat on $ext_if from $trusted_lan to any -> $ext_if#----------------------------------------------------
block all
pass out on $ext_if from $ext_if to any keep state
pass out on $ext_if from $trusted_lan to any keep state
pass in on $ext_if proto tcp from any to $ext_if port ssh
pass in on $int_if proto tcp from any to $int_if port ssh
pass in on $ext_if proto tcp from any to $ext_if port 1723
pass in on $vpn_if proto tcp from any to $trusted_lan port rdp
pass out on $vpn_if proto tcp from $trusted_lan to any
pass in on $ext_if proto tcp from any to $ext_if port 80 keep state
pass in on $ext_if proto tcp from any to $ext_if port 443 keep state
pass log inet proto icmp all
на squid не перенапровляеися из-за
set skip on $int_if
>[оверквотинг удален]
>pass in on $ext_if proto tcp from any to $ext_if port 1723
>
>pass in on $vpn_if proto tcp from any to $trusted_lan port rdp
>
>pass out on $vpn_if proto tcp from $trusted_lan to any
>pass in on $ext_if proto tcp from any to $ext_if port 80
>keep state
>pass in on $ext_if proto tcp from any to $ext_if port 443
>keep state
>pass log inet proto icmp allНу так тыж скип на внтреннем интерфейе делаеш, потому и не работает.
Спасибо всем. Переписал правила сам. Вот что получилось. Все равно с машин во внутренней сети даже при остановке сквида, интернет продолжает поступатьext_if="rl0"
vpn_if="{ng0, ng1, ng2, ng3, ng4}"
int_if="fxp0"
#Задаем локальные сервисы
ppp_srv="{ 22, 80, 443, 1723}"
trusted_lan="10.10.10.0/24"
localnet="127.0.0.0/8"
icmp_types="{echoreq, unreach}"set block-policy return
set skip on lo0scrub in all
# NAT
rdr on $int_if proto tcp from $int_if to any port www -> 127.0.0.1 port 3128Выше вначале пробовал from $trusted_lan to any port www -> 127.0.0.1 port 3128 эффект такой же
nat on $ext_if from !$ext_if -> $ext_if
block all
################################
pass quick on $vpn_if
pass quick on $int_if# Traffic from gateway
pass out on $ext_if from $ext_if to any
#Включаем локальные сервисы
pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv
# ICMP
pass log inet proto icmp all
>[оверквотинг удален]
>pass quick on $vpn_if
>pass quick on $int_if
>
># Traffic from gateway
>pass out on $ext_if from $ext_if to any
>#Включаем локальные сервисы
>pass in on $ext_if proto tcp from any to $ext_if port $ppp_srv
>
># ICMP
>pass log inet proto icmp allТак нат закоментируй.
>
>Так нат закоментируй.Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копать
>>
>>Так нат закоментируй.
>
>Как только помещаем строчку nat on $ext_if from !$ext_if -> $ext_if в коменты интернет у внутренней сети исчезает напрочь. Смотрел логи сквида. Никаких ошибок - ждет transparent на 3128 порту. Даже уже не знаю куда копатьначните с параметров сборки и версии squid.
в access.log при запросе что-то пишется?
>начните с параметров сборки и версии squid.
>в access.log при запросе что-то пишется?Не буду приводить опции сквид, лишь приведу конфиг.
FBSD - 7.2 squid-3.0.16
Строчка
rdr on $int_if proto tcp from ANY to any port www -> 10.10.10.1 port 3128исправила все.