Может вопрос не по адресу, но всетаки...
Есть машина, которая одним концом смотрит на ADSL-модем, а другим в локальную сеть.
Установлен SQUID, при настройке ослика в ручную все работает, интернет есть. При попытке настроить "прозрачный прокси", ни чего не получается.
Все необходимые опции в ядро добавлены, настройка NAT и IPFW ни чего не дает. Однозначно где-то ошибся, но где?
Смущает отсутствие IPFIREWALL_FORWARD, FreeBSD 5.2.
Очень надеюсь на помощь. Я в этом деле еще начинающий :-)

• Прозрачный прокси, FreeBSD 5.2, ADSL,adil_18, 02:05 , 20-Ноя-06
• Прозрачный прокси, FreeBSD 5.2, ADSL,NetSpyder, 09:41 , 20-Ноя-06
  • Прозрачный прокси, FreeBSD 5.2, ADSL,DeadLoco, 11:43 , 20-Ноя-06
    • Прозрачный прокси, FreeBSD 5.2, ADSL,NetSpyder, 11:50 , 20-Ноя-06
      • Прозрачный прокси, FreeBSD 5.2, ADSL,DeadLoco, 12:35 , 20-Ноя-06
        • Прозрачный прокси, FreeBSD 5.2, ADSL,NetSpyder, 12:45 , 20-Ноя-06
          • Прозрачный прокси, FreeBSD 5.2, ADSL,DeadLoco, 00:37 , 21-Ноя-06
            • Прозрачный прокси, FreeBSD 5.2, ADSL,NetSpyder, 12:12 , 21-Ноя-06

Oslik xo4et pryamoy dostup k opredelennim portam.

>Может вопрос не по адресу, но всетаки...
>Есть машина, которая одним концом смотрит на ADSL-модем, а другим в локальную
>сеть.
>Установлен SQUID, при настройке ослика в ручную все работает, интернет есть. При
>попытке настроить "прозрачный прокси", ни чего не получается.
>Все необходимые опции в ядро добавлены, настройка NAT и IPFW ни чего
>не дает. Однозначно где-то ошибся, но где?
>Смущает отсутствие IPFIREWALL_FORWARD, FreeBSD 5.2.
>Очень надеюсь на помощь. Я в этом деле еще начинающий :-)

Все заработало! Засада была как мне кажется в правилах IPFW, был не правильно настроен DIVERT, а с fwd проблем не возникло.

********** ipfw.rules *************
add 50 divert natd all from any to any via rl0
add 100 divert natd all from 192.168.0.0/24 to any out recv rl1 xmit rl0
add 200 divert natd all from not 192.168.0.0/24 to 192.168.1.35 recv rl0
add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80
add 6500 allow all from any to any

не пойму только, почему ipfw list выдает последнюю строку дважды, только под разными номерами?

>не пойму только, почему ipfw list выдает последнюю строку дважды, только под
>разными номерами?

Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило № 65535. Поэтому  вы имеете дело не с двумя дублями одного правила, а с двумя одинаковыми правилами - одним своим, и одним - автоматическим.

>>не пойму только, почему ipfw list выдает последнюю строку дважды, только под
>>разными номерами?
>
>Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В
>зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило №
>65535. Поэтому  вы имеете дело не с двумя дублями одного
>правила, а с двумя одинаковыми правилами - одним своим, и одним
>- автоматическим.

Т.е. я могу сделать его в целом закрытым, но добавить опр. правила для разрешения доступа? Я так понимаю.

>Т.е. я могу сделать его в целом закрытым, но добавить опр. правила
>для разрешения доступа? Я так понимаю.
Совершенно верно. Используются две политики фильтрования. Первая:
      все, что не запрещено явно - разрешено по умолчанию.
И наоборот, вторая:
      все, что не разрешено явно - запрещено по умолчанию.

Более осторожной политикой является вторая - открыто лишь то, что открыл админ. Хотел он этого или нет - отдельный разговор. Однако в некоторых случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения по умолчанию.

>Совершенно верно. Используются две политики фильтрования. Первая:
>      все, что не запрещено явно -
>разрешено по умолчанию.
>И наоборот, вторая:
>      все, что не разрешено явно -
>запрещено по умолчанию.
>
>Более осторожной политикой является вторая - открыто лишь то, что открыл админ.
>Хотел он этого или нет - отдельный разговор. Однако в некоторых
>случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения
>по умолчанию.

Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более половины компьютеров в сети должны иметь доступ в интернет. Может быть проще явно запретить, а остальным разрешить по умолчанию?

>Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более
>половины компьютеров в сети должны иметь доступ в интернет. Может быть
>проще явно запретить, а остальным разрешить по умолчанию?

Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт 3128 с запросами и получать оттуда ответы, а затем в сквиде одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц. Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам - блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь - тем более. Запрещающее правило по умолчанию - это последний шанс не пустить вредителя. Лучше, чтобы он был.

>Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт
>3128 с запросами и получать оттуда ответы, а затем в сквиде
>одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп
>средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц.
>Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам
>- блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь -
>тем более. Запрещающее правило по умолчанию - это последний шанс не
>пустить вредителя. Лучше, чтобы он был.

Спасибо за ценные, для меня - как начинающего, советы. Я обязательно ими воспользуюсь!