URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6227
[ Назад ]

Исходное сообщение
"SQUID прозрачный - не работает"

Отправлено JackRip , 03-Ноя-09 10:40 
Помогите, пожалуйста разобраться.

Система - FreeBSD 7.1-RELEASE #3

ifconfig:
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:1e:58:9f:fa:ef
        inet 218.113.217.13 netmask 0xfffffffc broadcast 218.113.217.15
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:14:78:03:2c:3d
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 81.250.227.175 --> 81.250.224.56 netmask 0xffffffff
        Opened by PID 1165
(pppoe, поднимается на vr0)

ipfw:
00100      14       760 allow ip from any to any via lo0
00200       0         0 deny ip from any to 127.0.0.0/8
00300       0         0 deny ip from 127.0.0.0/8 to any
00400       0         0 allow ip from any to any via gif0
03000     586     91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0
03100 1095970 710951451 divert 8668 ip from any to any
03900   45681  22955486 allow ip from any to 192.168.1.0/24 in via rl0

squid 2.7. избранное из squid.conf:
acl hr src 192.168.1.196
acl directors src 192.168.1.10 192.168.1.20 192.168.1.23 192.168.1.3 192.168.1.6 192.168.1.13 192.168.1.7 192.168.1.8
acl executives src 192.168.1.191 192.168.1.192 192.168.1.194 192.168.1.197 192.168.1.198 192.168.1.195
acl our_networks src 192.168.1.0/24

acl BadSites url_regex -i "/usr/local/etc/squid/bad.sites.short"
acl GoodSites url_regex -i "/usr/local/etc/squid/good.sites"
acl JobSites url_regex -i "/usr/local/etc/squid/job.sites"
acl MailRu url_regex -i "/usr/local/etc/squid/mail.ru"

http_access deny !our_networks
http_access allow our_networks GoodSites
http_access allow hr JobSites
http_access allow hr MailRu
http_access allow directors
http_access allow executives
http_access deny our_networks BadSites

http_port 192.168.1.1:3128


В такой конфигурации инет есть, но все ходят мимо сквида.
Если ставить http_port 192.168.1.1:3128 transparent - то инета нет в принципе.
Если прописывать сквид в настройка браузера руками - то инет есть.
Не могу понять как мне правильно настроить прозрачный прокси, так чтобы не сделать его открытым.
Помогите, пожалуйста.


Содержание

Сообщения в этом обсуждении
"SQUID прозрачный - не работает"
Отправлено Иван , 03-Ноя-09 16:37 
Важно добавить:
acl all src 0.0.0.0/0

и в самом конце:
http_access deny all

тогда чужие не смогут использовать сквид


"SQUID прозрачный - не работает"
Отправлено JackRip , 03-Ноя-09 17:04 
>Важно добавить:
>acl all src 0.0.0.0/0
>
>и в самом конце:
>http_access deny all
>
>тогда чужие не смогут использовать сквид

все, что есть в сквиде по умолчанию, осталось. в том числе и эти директивы.


"SQUID прозрачный - не работает"
Отправлено dzh2000 , 11-Ноя-09 00:44 
Переброс с 80-го порта на 3128 сделали?

"SQUID прозрачный - не работает"
Отправлено JackRip , 11-Ноя-09 16:01 
>Переброс с 80-го порта на 3128 сделали?

имеете в виду это:
03000     586     91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0
?


"SQUID прозрачный - не работает"
Отправлено JackRip , 16-Ноя-09 09:51 
В качестве решения, добавил в ipfw правило:

02900      0         0 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
02950   1347     64888 deny ip from any to MY_EXTERNAL_IP dst-port 3128
03000 371675 141546078 divert 8668 ip from any to any
03100  12988   5801489 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80

Не очень нравится, но работает.



"SQUID прозрачный - не работает"
Отправлено alLl , 02-Дек-09 16:11 
Вот тут неправильно было, так как форвардятся пакеты извне, а внутренний интерфейс rl0
>03000     586     91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0

Должно так

fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via rl0

>03100  12988   5801489 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80
>
>Не очень нравится, но работает.

Это правило лучше, добавить только in via rl0
в конфиге squid прописать слушающий адрес http_port 127.0.0.1:3128
тогда к прокси не подключаться напрямую изменив в настройках броузера