https://www.opennet.me/openforum/vsluhforumID1/76549.html Большая просьба прояснить ситуацию: <br>Имеется squid и фаерволл на одной машине (ось FreeBSD) Имеется большое желание сделать "прозрачный-прокси" (чтобы прокся работала с юзерами невидимо для них) До этого я уже поднимал подобный вопрос на что мне была дана интересная ссылка: http://www.sun.com/bigadmin/content/submitted/transp_proxy.html которую я без внимания не оставил. Я сделал всё как там описана перекомпилил squid, настроил его, приведённые там правила мне показались неправильными, но ради интереса я в тупую их скопировал подставил нужные значения и всё... Результат - не работает! <br><br>Поэтому решил настривать по-своему.<br>Пожалуйста подскажите как грамотно огранизвать форвардинг на проксю... Имеются правила в наличии следующие: <br><br>ipfw add 400 allow ip from me to any <br>ipfw add 500 allow ip from any to me <br><br>#?????????????? <br>ipfw add 700 divert 127.0.0.1,3128 ip from any to any <br>#??????????????<br> https://www.opennet.me/openforum/vsluhforumID1/76549.html#5 Wed, 03 Oct 2007 11:40:50 GMT &gt;[оверквотинг удален]<br>&gt;для прозрачного сквида нужно одно лишь правило: <br>&gt;add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80,8080,8081 <br>&gt;в ядре ессно должны быть опции: IPFIREWALL_FORWARD, IPFIREWALL_FORWARD_EXTENDED (в &gt;6.x экстендед опции афаик нет и не надо).<br>&gt;<br>&gt;а все остальное - аську, почту, банки - только nat-ить. <br>&gt;add divert natd ip from ${local_net} to any out via ${ext_if} <br>&gt;add divert natd ip from any to ${ext_ip} in via ${ext_if} <br>&gt;эти правила должы идти _после_ форварда, иначе не будет прозрачного проксирования. <br>&gt;по хорошему после этого еще написать правила для открытия только нужных портов <br>&gt;и фаер в дефаулт_ту_блок перевести. <br><br>Большое СПАСИБО!!!<br> https://www.opennet.me/openforum/vsluhforumID1/76549.html#4 Wed, 03 Oct 2007 07:01:30 GMT &gt;Народ неужели никто с подобной задачей не сталкивался??? <br><br>для начала squid работает только с http/ftp-траффиком, т.е. про заворот на него почты, аськи и прочего можно забыть.<br>для прозрачного сквида нужно одно лишь правило:<br>add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80,8080,8081<br>в ядре ессно должны быть опции: IPFIREWALL_FORWARD, IPFIREWALL_FORWARD_EXTENDED (в &gt;6.x экстендед опции афаик нет и не надо).<br><br>а все остальное - аську, почту, банки - только nat-ить. <br>add divert natd ip from ${local_net} to any out via ${ext_if}<br>add divert natd ip from any to ${ext_ip} in via ${ext_if}<br>эти правила должы идти _после_ форварда, иначе не будет прозрачного проксирования.<br>по хорошему после этого еще написать правила для открытия только нужных портов и фаер в дефаулт_ту_блок перевести.<br> https://www.opennet.me/openforum/vsluhforumID1/76549.html#3 Tue, 02 Oct 2007 13:55:47 GMT Народ неужели никто с подобной задачей не сталкивался???<br> https://www.opennet.me/openforum/vsluhforumID1/76549.html#2 Tue, 02 Oct 2007 11:58:32 GMT &gt;&gt;#?????????????? <br>&gt;&gt;ipfw add 700 divert 127.0.0.1,3128 ip from any to any <br>&gt;&gt;#?????????????? <br>&gt;<br>&gt;ipfw add 700 divert 127.0.0.1,3128 tcp from any to any dst-port 80 <br>&gt;<br>&gt;А то у тебя все что только можно на проклю заворачивается <br><br>Да в принципе так и должно быть чтобы всё заворачивалось на проксю ведь у клиентов не только работает интернет эксплорер но так же и ICQ и Skype и клиент банк и проч и проч....<br>И приведённое Вами правило не работает к тому же. Хотя логика, чёрт возьми, верна (я так думаю)!!! В чём может быть проблема? <br> https://www.opennet.me/openforum/vsluhforumID1/76549.html#1 Tue, 02 Oct 2007 10:30:57 GMT &gt;#?????????????? <br>&gt;ipfw add 700 divert 127.0.0.1,3128 ip from any to any <br>&gt;#?????????????? <br><br>ipfw add 700 divert 127.0.0.1,3128 tcp from any to any dst-port 80<br>А то у тебя все что только можно на проклю заворачивается<br>