Хочу сделать прозрачное проксирование для ВПН-клиентов выходящих в и-нет через билинг. Все сделал, но при запросе сиранички из и-нета сам скуид ругаеться что мол "Аксес Динайн". А на "локальный ВВВ сервер"(где стоит АПАЧ) доступ идет прекрасно. В чем может быть грабля?Система: Фрии 4.9
Билинг: ФРИИНИБС(ВПН-клиенты через МПД-сервер)правила IPFW:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для моего АПАЧА на котором крутиться статистика билинга и форум
add 2 fwd 127.0.0.1,3128 tcp from any to any 80 # НЕ для моего АПАЧА но через МОЙ СКУИД!add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any10.1.4.1/24 - сеть с ВПН клинтами.
dc0 - внешний интерфейс к и-нету
192.168.0.100 - адрес сервера в локальной сетиВОТ ЧТО В ЛОГАХ СКУИДА:
1140391322.513 4 10.10.6.67 TCP_DENIED/403 1411 GET http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi? - NONE/- text/html
1140391322.517 11 10.1.4.2 TCP_MISS/403 1443 GET http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi? - DIRECT/82.137.161.90 text/html
10.1.4.2 - адрес ВПН клиента.
10.10.6.67 - адрес на карточке dc0 ( та что смотрит в и-нет).КОНФИГ СКУИДА:
http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin/?
no_cache deny QUERY
cache_mem 56 MB
logfile_rotate 10
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SMTP port 25
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on============================================================
=====================================================================
================================================================
Спустя некоторое время обсуждений тут : http://www.opennet.me/openforum/vsluhforumID1/64272.htmlВобщем так:
Сам сквид поставился и работает нормально(проверенно несколькими сквидами).
Правила IPFW такие:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80
add 2 fwd 10.1.4.1,3128 tcp from any to any 80
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to anyНастройки Сквида:
http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin/?
no_cache deny QUERY
cache_mem 32 MB
logfile_rotate 10
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck onacl server src 192.168.0.100/255.255.255.255
acl clients src 10.1.4.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SMTP port 25
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow server
http_access allow clientshttp_access deny !Safe_ports
http_access deny SMTP
http_access deny all
icp_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Если работать с такими правилами и настройками, то в браузере видно только "Аксес Динайн". Это очень плохо. Если же отключить правило в IPFW
"add 2 fwd 10.1.4.1,3128 tcp from any to any 80", то хттп запросы начинаю замечательно НАТиться и в браузере идет страница из и-нета, НО МИМО СКВИДА! это тоже не хорошо.
Если же выключить ВПН соединение и оставить одну только сеть, прописать в браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном же правиле форварда, опять таже картина - "Аксесс Динайн")
Вот что в ЛОГ файле Сквида при попытке зайти на страницу(включено правило в фаере):
1140707023.737 835 10.1.4.2 TCP_NEGATIVE_HIT/403 1453 GET http://www.opennet.me/openforum/vsluhforumID1/63498.html - NONE/- text/html
1140707038.287 5 10.10.6.67 TCP_DENIED/403 1365 GET http://btg.btgrab.com/a/Drk.syn? - NONE/- text/html
1140707038.292 248 10.1.4.2 TCP_MISS/403 1392 GET http://btg.btgrab.com/a/Drk.syn? - DIRECT/204.16.123.10 text/html
>НО МИМО СКВИДА! это тоже не хорошо.
>Если же выключить ВПН соединение и оставить одну только сеть, прописать в
>браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и
>добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает
>работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном
>же правиле форварда, опять таже картина - "Аксесс Динайн")Сорри с 4.9 неработал, но на 5.3(и далее) прозрачное прокси без IP_FORWARDING_EXTENDED в ядре не работает (а IP_FORWARDING включен ?) -кусок ядра покажи.
>Сорри с 4.9 неработал, но на 5.3(и далее) прозрачное прокси без IP_FORWARDING_EXTENDED
>в ядре не работает (а IP_FORWARDING включен ?) -кусок ядра покажи.
>
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPDIVERT #divert socketЯ когда-то вроде бы пытался ядро оформить с этой IP_FORWARDING_EXTENDED но оно никак не компелировалось - выдавало ошибку(не распознавало параметр)
У меня почти те же задачи: ipfw+mpd+squid (только на 5.4 (вернее уже 6.1 бэта))- mpd - слушает pptp из инета - при необходимости подключится к сети из инета и слушает модем (из дома хожу в инет через сквид (правда не прозрачно - явно прописано - но попробую прозрачно) - буду на работе - покажу свои настройки.
В ipfw правилах - это все что есть ? или избраный кусок ? mpd на каких адресах слушает ?
Отвлеченный вопрос - freenibs в чистую используешь ? или в составе другого пакета (mabill или иной) ?
не рассказывай людям сказки, IP_FORWARDING_EXTENDED появилось только в 5.4, да и нет такой проблемы вообще
>не рассказывай людям сказки, IP_FORWARDING_EXTENDED появилось только в 5.4, да и нет
>такой проблемы вообще
Сказок никто не расказывает. Читай внимательно мое первое. И не в 5.4 а в 5.3 уже был доступен патч. Если есть желание помочь - помогай, нет - молчи.
10.10.6.67 TCP_DENIEDа тебя на настораживает, что 10.10.6.67 у тебя в clients нету ? именно за этот адрес ты клиентов маскируешь. кто бы говорил про невнимательность...
>10.10.6.67 TCP_DENIED
>
>а тебя на настораживает, что 10.10.6.67 у тебя в clients нету ?
>именно за этот адрес ты клиентов маскируешь. кто бы говорил про
>невнимательность...
Не надо сориться... шас я попробую и скажу...
То что есть в Фаере это все, больше нет ничего. Ну оно пока и не актуально... азы не получаються, что же там дальше писать...
ФрииНИБС использую в чистую... + ВЕБ-интерфейс "от Андрея"...МПД пропатченый 3.18 и слушает на порту:
set pptp self 192.168.0.100 ( адрес сервера на локальной сети)
Добавил в настройку Сквида разрешение для 10,10,6,67( внешний интерфейс) -- диагноз тот же самый.
Вот что опять в логах Сквида...
1141137877.640 5 10.10.6.67 TCP_DENIED/403 1369 GET http://nibs.net.ua/forum/list.php? - NONE/- text/html
1141137877.645 111 10.1.4.3 TCP_MISS/403 1401 GET http://nibs.net.ua/forum/list.php? - DIRECT/212.42
>
>Добавил в настройку Сквида разрешение для 10,10,6,67( внешний интерфейс) --
>диагноз тот же самый.
>
>
>Вот что опять в логах Сквида...
>1141137877.640 5 10.10.6.67 TCP_DENIED/403 1369 GET http://nibs.net.ua/forum/list.php?
>- NONE/- text/html
>1141137877.645 111 10.1.4.3 TCP_MISS/403 1401 GET http://nibs.net.ua/forum/list.php? - DIRECT/212.42
>неверно значит добавил
10.1.4.1/24 - тоже интересный ляп, это как ?
>10.1.4.1/24 - тоже интересный ляп, это как ?Ну это тоже самое что и 10.1.4.10/24 или >10.1.4.255/24. Оно же тут последнюю цифру не в учет берет... это имелось в виду 10.1.4.0/24
СКАЖИТЕ? у кого-то работает прозрачный Сквид под Фрии 4.9???? Если ДА, то лучше попробовать все сделать с нуля, что бы не было столько запарок....
>>10.1.4.1/24 - тоже интересный ляп, это как ?
>
>Ну это тоже самое что и 10.1.4.10/24 или >10.1.4.255/24. Оно же тут последнюю цифру не в учет берет... это имелось в виду 10.1.4.0/24
>
>СКАЖИТЕ? у кого-то работает прозрачный Сквид под Фрии 4.9????
> Если ДА, то лучше попробовать все сделать с нуля,
>что бы не было столько запарок....да работает все, и на 3-ке работало и сейчас на зоопарке 4.x-STABLE, 5.x-STABLE, 6.0-STABLE тоже работает. Инструкция везде использовалалсь одна и таже:
http://www.squid-cache.org/Doc/FAQ/FAQ-17.html#ss17.7
http://neva.vlink.ru/~dsh/squid.htmlНу не можешь ты с natd разобраться - ipnat попробуй для маскировки сетки, оно вроде понаглядней и попроще для понимания.
http://www.opennet.me/base/net/ipnat_freebsd.txt.html
Если не выйдет - дай денег спецу, который это сделает за тебя. Другого выхода я не вижу. Удачи!
>правила IPFW:
>add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для
>моего АПАЧА на котором крутиться статистика билинга и форумСтолкнулся с аналогичной проблемой, решилось добавлением интерфейса...
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 in via ed0
^^^^^^^^^^