URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7020
[ Назад ]

Исходное сообщение
"Прозрачный Squid + ipfw проблема редиректа"

Отправлено enzorik , 12-Авг-13 14:17 
Добрый день Всем.
Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер.
Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8
Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно.
Ниже предоставляю конфиги:
squid.conf

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl my_network src 192.168.50.0/24

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow my_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 3128 intercept
http_port 3129

cache_dir ufs /cache 20480 16 256
coredump_dir /cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


ipfw rules:

ipfw="/sbin/ipfw"
int="bge0"
ext="bge1"

${ipfw} add 101 fwd 127.0.0.1,3128 tcp from any to any 80 recv $int
${ipfw} add 1000 allow ip from any to any via $int # ALLOW LAN TRAFFIC

${ipfw} add 5000 divert natd all from any to any out xmit $ext
${ipfw} add 20000 divert natd all from any to any in recv $ext
${ipfw} add 60000 permit ip from any to any

exit 0

Буду признателен за любую помощь.


Содержание

Сообщения в этом обсуждении
"Прозрачный Squid + ipfw проблема редиректа"
Отправлено михалыч , 12-Авг-13 18:09 
Почему forwarding раньше divert ?
Давайте от простого к сложному.

Загрузите минимальный набор правил.
После, добавляйте/усложняйте по вкусу.

add 50 divert natd all from any to any via bge1
add 100 allow all from any to any via lo0
add 200 deny all from any to 127.0.0.0/8
add 300 deny all from 127.0.0.0/8 to any
add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv bge0
add 500 allow all from any to any


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 12-Авг-13 18:17 
>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to any

Большое спасибо за ответ, попробую вечером - отпишусь.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 13-Авг-13 00:00 
>[оверквотинг удален]
>> Загрузите минимальный набор правил.
>> После, добавляйте/усложняйте по вкусу.
>> add 50 divert natd all from any to any via bge1
>> add 100 allow all from any to any via lo0
>> add 200 deny all from any to 127.0.0.0/8
>> add 300 deny all from 127.0.0.0/8 to any
>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>> bge0
>> add 500 allow all from any to any
> Большое спасибо за ответ, попробую вечером - отпишусь.

Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся, но вот в access.log нету записей. Таке впечатление что сквид не ловит.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено михалыч , 13-Авг-13 04:37 
>[оверквотинг удален]
>>> add 100 allow all from any to any via lo0
>>> add 200 deny all from any to 127.0.0.0/8
>>> add 300 deny all from 127.0.0.0/8 to any
>>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>>> bge0
>>> add 500 allow all from any to any
>> Большое спасибо за ответ, попробую вечером - отпишусь.
> Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся,
> но вот в access.log нету записей. Таке впечатление что сквид не
> ловит.

Добавить в самое начало:
acl localhost src 127.0.0.1/32

Так как у вас указана ваша сеть:
acl my_network src 192.168.50.0/24

то это всё
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
можно(нужно) убрать.

Строку
http_access allow localnet
заменить на
http_access allow my_network

Строку
http_port 3128 intercept
заменить на
http_port 127.0.0.1:3128 intercept

Убрать строку
http_port 3129

Выхлоп ipfw show покажите.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 13-Авг-13 10:15 
>[оверквотинг удален]
> http_access allow localnet
> заменить на
> http_access allow my_network
> Строку
> http_port 3128 intercept
> заменить на
> http_port 127.0.0.1:3128 intercept
> Убрать строку
> http_port 3129
> Выхлоп ipfw show покажите.

Загрузил правила, согласно вашим рекомендациям. Выхлоп:

00050  702 475601 divert 8668 ip from any to any via bge1
00100    0      0 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400    0      0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
00500 1474 957392 allow ip from any to any
65535 9194 553357 allow ip from any to any

Также поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается:
ERROR: No forward-proxy ports configured.
Согласно информации з гугла, для прозрачного прокси нужен еще один порт.

Вот конфиг сквида новый:
acl localhost src 127.0.0.1/32
acl my_network src 192.168.50.0/24

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT


http_access allow my_network

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

http_access allow localhost

http_access deny all

http_port 127.0.0.1:3128 intercept
http_port 3129

cache_dir ufs /cache 20480 16 256
coredump_dir /cache

refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


Лог сквида:
2013/08/13 12:14:00 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2013/08/13 12:14:00 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Squid plugin modules loaded: 0
2013/08/13 12:14:00 kid1| Adaptation support is off.
2013/08/13 12:14:00 kid1| Store logging disabled
2013/08/13 12:14:00 kid1| DNS Socket created at 0.0.0.0, FD 9
2013/08/13 12:14:00 kid1| Adding domain csia.net from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.4 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.6 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| HTCP Disabled.
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Pinger socket opened on FD 15
2013/08/13 12:14:00| pinger: Initialising ICMP pinger ...
2013/08/13 12:14:00| pinger: ICMP socket opened.
2013/08/13 12:14:00 kid1| Loaded Icons.
2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 11 flags=41
2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129 remote=[::] FD 12 flags=9


Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted :

tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed: (1) Operation not permitted

Результат к сожалению тот же.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено михалыч , 13-Авг-13 11:41 
>[оверквотинг удален]
> 2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128
> remote=[::] FD 11 flags=41
> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
> remote=[::] FD 12 flags=9
> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
> :
> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
> (1) Operation not permitted
> Результат к сожалению тот же.

Покажите вывод
cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 13-Авг-13 12:32 
>[оверквотинг удален]
>> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
>> remote=[::] FD 12 flags=9
>> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
>> :
>> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
>> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
>> (1) Operation not permitted
>> Результат к сожалению тот же.
> Покажите вывод
> cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL

Вывод - пустая строка.
Я не не делал перекомпиляции ядра.
Вот вывод kldstat и sysctl

sysctl -a | grep forward
kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0
net.wlan.hwmp.replyforward: 1

kldstat
Id Refs Address            Size     Name
1   12 0xffffffff80200000 1323408  kernel
2    3 0xffffffff81612000 cf6e     ipfw.ko
3    1 0xffffffff8161f000 a07d     dummynet.ko
4    1 0xffffffff8162a000 16e3     ipdivert.ko


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено михалыч , 13-Авг-13 13:55 
> Я не не делал перекомпиляции ядра.

Для включения fwd пересобирать ядро всё же необходимо.
Вот кусок man ipfw который чётко об этом говорит.

To enable fwd a custom kernel needs to be compiled with the
option options IPFIREWALL_FORWARD.

А вот для включения divert можно использовать два варианта.

man divert

To enable support for divert sockets, place the following lines in the
kernel configuration file:

      options IPFIREWALL
      options IPDIVERT

Alternatively, to load divert as a module at boot time, add the following
lines into the loader.conf(5) file:

      ipfw_load="YES"
      ipdivert_load="YES"

Если будете компилировать ядро включите туда и divert
то есть добавьте следующее.

options         IPFIREWALL              # firewall
options         IPFIREWALL_VERBOSE      # enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=10     # limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    # allow everything by default
options         IPFIREWALL_FORWARD      # packet destination changes
options         IPFIREWALL_NAT          # ipfw kernel nat support
options         IPDIVERT                # divert sockets

cp /usr/src/sys/`uname -m`/conf/GENERIC  /usr/src/sys/`uname -m`/conf/mykernel

cd /usr/src/sys/`uname -m`/conf/
ee mykernel

Отредактируйте mykernel, добавив вышеуказанные строки с IPFIREWALL и IPDIVERT
и заменив строку
ident           GENERIC
на
ident           mykernel

После этого

cd /usr/src/
make buildkernel KERNCONF=mykernel
make installkernel KERNCONF=mykernel

Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
ipfw_load="YES"
ipdivert_load="YES"

P.S. Рекомендую вместо natd использовать kernel nat


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 13-Авг-13 17:32 
>[оверквотинг удален]
> на
> ident           mykernel
> После этого
> cd /usr/src/
> make buildkernel KERNCONF=mykernel
> make installkernel KERNCONF=mykernel
> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
> ipfw_load="YES"
> ipdivert_load="YES"
> P.S. Рекомендую вместо natd использовать kernel nat

Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
Буду пробовать. Об результатах обязательно сообщу.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 19-Авг-13 15:46 
>[оверквотинг удален]
>> После этого
>> cd /usr/src/
>> make buildkernel KERNCONF=mykernel
>> make installkernel KERNCONF=mykernel
>> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
>> ipfw_load="YES"
>> ipdivert_load="YES"
>> P.S. Рекомендую вместо natd использовать kernel nat
> Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
> Буду пробовать. Об результатах обязательно сообщу.

Добрый день. После перекомпиляции ядра все пошло. Спасибо большое за советы!


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено Аноним , 13-Авг-13 12:39 
> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
> 00050  702 475601 divert 8668 ip from any to any via bge1
> 00100    0      0 allow  ip from any to any via lo0
> 00200    0      0 deny   ip from any to 127.0.0.0/8
> 00300    0      0 deny   ip from 127.0.0.0/8 to any
> 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0

Форвардится только ОДИН IP ?????


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено enzorik , 13-Авг-13 12:50 
>> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
>> 00050  702 475601 divert 8668 ip from any to any via bge1
>> 00100    0      0 allow  ip from any to any via lo0
>> 00200    0      0 deny   ip from any to 127.0.0.0/8
>> 00300    0      0 deny   ip from 127.0.0.0/8 to any
>> 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
> Форвардится только ОДИН IP ?????

Это моя машина, делаю так, чтобы не трогать пользователей.


"Прозрачный Squid + ipfw проблема редиректа"
Отправлено Tiarasu , 18-Сен-14 13:30 
>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to any

Попробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально?