Добрый день Всем.
Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер.
Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8
Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно.
Ниже предоставляю конфиги:
squid.confacl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machinesacl my_network src 192.168.50.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECThttp_access allow my_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny managerhttp_access allow localnet
http_access allow localhosthttp_access deny all
http_port 3128 intercept
http_port 3129cache_dir ufs /cache 20480 16 256
coredump_dir /cacherefresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
ipfw rules:ipfw="/sbin/ipfw"
int="bge0"
ext="bge1"${ipfw} add 101 fwd 127.0.0.1,3128 tcp from any to any 80 recv $int
${ipfw} add 1000 allow ip from any to any via $int # ALLOW LAN TRAFFIC${ipfw} add 5000 divert natd all from any to any out xmit $ext
${ipfw} add 20000 divert natd all from any to any in recv $ext
${ipfw} add 60000 permit ip from any to anyexit 0
Буду признателен за любую помощь.
Почему forwarding раньше divert ?
Давайте от простого к сложному.Загрузите минимальный набор правил.
После, добавляйте/усложняйте по вкусу.add 50 divert natd all from any to any via bge1
add 100 allow all from any to any via lo0
add 200 deny all from any to 127.0.0.0/8
add 300 deny all from 127.0.0.0/8 to any
add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv bge0
add 500 allow all from any to any
>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to anyБольшое спасибо за ответ, попробую вечером - отпишусь.
>[оверквотинг удален]
>> Загрузите минимальный набор правил.
>> После, добавляйте/усложняйте по вкусу.
>> add 50 divert natd all from any to any via bge1
>> add 100 allow all from any to any via lo0
>> add 200 deny all from any to 127.0.0.0/8
>> add 300 deny all from 127.0.0.0/8 to any
>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>> bge0
>> add 500 allow all from any to any
> Большое спасибо за ответ, попробую вечером - отпишусь.Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся, но вот в access.log нету записей. Таке впечатление что сквид не ловит.
>[оверквотинг удален]
>>> add 100 allow all from any to any via lo0
>>> add 200 deny all from any to 127.0.0.0/8
>>> add 300 deny all from 127.0.0.0/8 to any
>>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>>> bge0
>>> add 500 allow all from any to any
>> Большое спасибо за ответ, попробую вечером - отпишусь.
> Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся,
> но вот в access.log нету записей. Таке впечатление что сквид не
> ловит.Добавить в самое начало:
acl localhost src 127.0.0.1/32Так как у вас указана ваша сеть:
acl my_network src 192.168.50.0/24то это всё
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
можно(нужно) убрать.Строку
http_access allow localnet
заменить на
http_access allow my_networkСтроку
http_port 3128 intercept
заменить на
http_port 127.0.0.1:3128 interceptУбрать строку
http_port 3129Выхлоп ipfw show покажите.
>[оверквотинг удален]
> http_access allow localnet
> заменить на
> http_access allow my_network
> Строку
> http_port 3128 intercept
> заменить на
> http_port 127.0.0.1:3128 intercept
> Убрать строку
> http_port 3129
> Выхлоп ipfw show покажите.Загрузил правила, согласно вашим рекомендациям. Выхлоп:
00050 702 475601 divert 8668 ip from any to any via bge1
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
00500 1474 957392 allow ip from any to any
65535 9194 553357 allow ip from any to anyТакже поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается:
ERROR: No forward-proxy ports configured.
Согласно информации з гугла, для прозрачного прокси нужен еще один порт.Вот конфиг сквида новый:
acl localhost src 127.0.0.1/32
acl my_network src 192.168.50.0/24acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow my_networkhttp_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny managerhttp_access allow localhost
http_access deny all
http_port 127.0.0.1:3128 intercept
http_port 3129cache_dir ufs /cache 20480 16 256
coredump_dir /cacherefresh_pattern ^ftp: &n... 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Лог сквида:
2013/08/13 12:14:00 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2013/08/13 12:14:00 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Squid plugin modules loaded: 0
2013/08/13 12:14:00 kid1| Adaptation support is off.
2013/08/13 12:14:00 kid1| Store logging disabled
2013/08/13 12:14:00 kid1| DNS Socket created at 0.0.0.0, FD 9
2013/08/13 12:14:00 kid1| Adding domain csia.net from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.4 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.6 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| HTCP Disabled.
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Pinger socket opened on FD 15
2013/08/13 12:14:00| pinger: Initialising ICMP pinger ...
2013/08/13 12:14:00| pinger: ICMP socket opened.
2013/08/13 12:14:00 kid1| Loaded Icons.
2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 11 flags=41
2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129 remote=[::] FD 12 flags=9
Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted :tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed: (1) Operation not permittedРезультат к сожалению тот же.
>[оверквотинг удален]
> 2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128
> remote=[::] FD 11 flags=41
> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
> remote=[::] FD 12 flags=9
> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
> :
> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
> (1) Operation not permitted
> Результат к сожалению тот же.Покажите вывод
cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL
>[оверквотинг удален]
>> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
>> remote=[::] FD 12 flags=9
>> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
>> :
>> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
>> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
>> (1) Operation not permitted
>> Результат к сожалению тот же.
> Покажите вывод
> cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALLВывод - пустая строка.
Я не не делал перекомпиляции ядра.
Вот вывод kldstat и sysctlsysctl -a | grep forward
kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0
net.wlan.hwmp.replyforward: 1kldstat
Id Refs Address Size Name
1 12 0xffffffff80200000 1323408 kernel
2 3 0xffffffff81612000 cf6e ipfw.ko
3 1 0xffffffff8161f000 a07d dummynet.ko
4 1 0xffffffff8162a000 16e3 ipdivert.ko
> Я не не делал перекомпиляции ядра.Для включения fwd пересобирать ядро всё же необходимо.
Вот кусок man ipfw который чётко об этом говорит.To enable fwd a custom kernel needs to be compiled with the
option options IPFIREWALL_FORWARD.А вот для включения divert можно использовать два варианта.
man divert
To enable support for divert sockets, place the following lines in the
kernel configuration file:options IPFIREWALL
options IPDIVERTAlternatively, to load divert as a module at boot time, add the following
lines into the loader.conf(5) file:ipfw_load="YES"
ipdivert_load="YES"Если будете компилировать ядро включите туда и divert
то есть добавьте следующее.options IPFIREWALL # firewall
options IPFIREWALL_VERBOSE # enable logging to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=10 # limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT # allow everything by default
options IPFIREWALL_FORWARD # packet destination changes
options IPFIREWALL_NAT # ipfw kernel nat support
options IPDIVERT # divert socketscp /usr/src/sys/`uname -m`/conf/GENERIC /usr/src/sys/`uname -m`/conf/mykernel
cd /usr/src/sys/`uname -m`/conf/
ee mykernelОтредактируйте mykernel, добавив вышеуказанные строки с IPFIREWALL и IPDIVERT
и заменив строку
ident GENERIC
на
ident mykernelПосле этого
cd /usr/src/
make buildkernel KERNCONF=mykernel
make installkernel KERNCONF=mykernelОтключить в loader.conf загрузку ipdivert закомментировав или удалив строки
ipfw_load="YES"
ipdivert_load="YES"P.S. Рекомендую вместо natd использовать kernel nat
>[оверквотинг удален]
> на
> ident mykernel
> После этого
> cd /usr/src/
> make buildkernel KERNCONF=mykernel
> make installkernel KERNCONF=mykernel
> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
> ipfw_load="YES"
> ipdivert_load="YES"
> P.S. Рекомендую вместо natd использовать kernel natСпасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
Буду пробовать. Об результатах обязательно сообщу.
>[оверквотинг удален]
>> После этого
>> cd /usr/src/
>> make buildkernel KERNCONF=mykernel
>> make installkernel KERNCONF=mykernel
>> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
>> ipfw_load="YES"
>> ipdivert_load="YES"
>> P.S. Рекомендую вместо natd использовать kernel nat
> Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
> Буду пробовать. Об результатах обязательно сообщу.Добрый день. После перекомпиляции ядра все пошло. Спасибо большое за советы!
> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
> 00050 702 475601 divert 8668 ip from any to any via bge1
> 00100 0 0 allow ip from any to any via lo0
> 00200 0 0 deny ip from any to 127.0.0.0/8
> 00300 0 0 deny ip from 127.0.0.0/8 to any
> 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0Форвардится только ОДИН IP ?????
>> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
>> 00050 702 475601 divert 8668 ip from any to any via bge1
>> 00100 0 0 allow ip from any to any via lo0
>> 00200 0 0 deny ip from any to 127.0.0.0/8
>> 00300 0 0 deny ip from 127.0.0.0/8 to any
>> 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
> Форвардится только ОДИН IP ?????Это моя машина, делаю так, чтобы не трогать пользователей.
>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to anyПопробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально?