Помогите, пожалуйста разобраться.Система - FreeBSD 7.1-RELEASE #3
ifconfig:
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:1e:58:9f:fa:ef
inet 218.113.217.13 netmask 0xfffffffc broadcast 218.113.217.15
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:14:78:03:2c:3d
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 81.250.227.175 --> 81.250.224.56 netmask 0xffffffff
Opened by PID 1165
(pppoe, поднимается на vr0)ipfw:
00100 14 760 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 allow ip from any to any via gif0
03000 586 91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0
03100 1095970 710951451 divert 8668 ip from any to any
03900 45681 22955486 allow ip from any to 192.168.1.0/24 in via rl0squid 2.7. избранное из squid.conf:
acl hr src 192.168.1.196
acl directors src 192.168.1.10 192.168.1.20 192.168.1.23 192.168.1.3 192.168.1.6 192.168.1.13 192.168.1.7 192.168.1.8
acl executives src 192.168.1.191 192.168.1.192 192.168.1.194 192.168.1.197 192.168.1.198 192.168.1.195
acl our_networks src 192.168.1.0/24acl BadSites url_regex -i "/usr/local/etc/squid/bad.sites.short"
acl GoodSites url_regex -i "/usr/local/etc/squid/good.sites"
acl JobSites url_regex -i "/usr/local/etc/squid/job.sites"
acl MailRu url_regex -i "/usr/local/etc/squid/mail.ru"http_access deny !our_networks
http_access allow our_networks GoodSites
http_access allow hr JobSites
http_access allow hr MailRu
http_access allow directors
http_access allow executives
http_access deny our_networks BadSiteshttp_port 192.168.1.1:3128
В такой конфигурации инет есть, но все ходят мимо сквида.
Если ставить http_port 192.168.1.1:3128 transparent - то инета нет в принципе.
Если прописывать сквид в настройка браузера руками - то инет есть.
Не могу понять как мне правильно настроить прозрачный прокси, так чтобы не сделать его открытым.
Помогите, пожалуйста.
Важно добавить:
acl all src 0.0.0.0/0и в самом конце:
http_access deny allтогда чужие не смогут использовать сквид
>Важно добавить:
>acl all src 0.0.0.0/0
>
>и в самом конце:
>http_access deny all
>
>тогда чужие не смогут использовать сквидвсе, что есть в сквиде по умолчанию, осталось. в том числе и эти директивы.
Переброс с 80-го порта на 3128 сделали?
>Переброс с 80-го порта на 3128 сделали?имеете в виду это:
03000 586 91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0
?
В качестве решения, добавил в ipfw правило:02900 0 0 deny log logamount 100 icmp from any to 255.255.255.255 out via vr0
02950 1347 64888 deny ip from any to MY_EXTERNAL_IP dst-port 3128
03000 371675 141546078 divert 8668 ip from any to any
03100 12988 5801489 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80Не очень нравится, но работает.
Вот тут неправильно было, так как форвардятся пакеты извне, а внутренний интерфейс rl0
>03000 586 91066 fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via tun0Должно так
fwd 192.168.1.1,3128 tcp from any to any dst-port 80 in via rl0
>03100 12988 5801489 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any dst-port 80
>
>Не очень нравится, но работает.Это правило лучше, добавить только in via rl0
в конфиге squid прописать слушающий адрес http_port 127.0.0.1:3128
тогда к прокси не подключаться напрямую изменив в настройках броузера