squid+ipfw, Tatarin, 09-Дек-05, 12:38 [смотреть все]Система слудующая FreeBsd+squid2.5stable12 Есть сеть Прова PPPoE10.120.0.0/16 есть моя сеть Ethernet-192.168.0.0/24 Конечно все кто в сети Ethernet-192.168.0.0/24 должны ходить в инет и само собой на шлюзе я ставлю squid!!! Ставлю сквид+ncsa_auth из портов, ставлю от туда же squidGuard В конфиге сквида прописываю запуск squidGuard и ncsa_auth Запускаю сквид, а он в логах пишет что не может запустить ncsa_auth и squidGuard, долго конечно я менял владельцев файлов и права, все равно сквид не мог запустить свои дочерние процессы, хотя отдельно squidGuard и ncsa_auth работают. Потом я сделал так ipfw add 1 allow ip from any to any И все заработало!!! Где грабли? Конечно я понимаю что они в ipfw, но подскажите гуру как правильно написать правило, чтобы эти звери запускались. С правилом, которое написал я ето светить голой жопой в инете!!! squid.conf http_port 192.168.0.220:3128 logfile_rotate 5 emulate_httpd_log off auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/stc/etc/p assword auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours authenticate_ip_ttl 1800 seconds auth_param basic realm Squid Proxy. Parol requred!!! redirect_program /usr/local/bin/squidGuard redirect_children 5 redirector_bypass on acl all src 0.0.0.0/0.0.0.0 acl trusted_users proxy_auth "/usr/local/stc/etc/trusted_users" acl all_users src "/usr/local/stc/etc/mynet_users" acl allow_users proxy_auth "/usr/local/stc/etc/allow.users" acl deny_users proxy_auth "/usr/local/stc/etc/deny.users" acl blocked_users proxy_auth "/usr/local/stc/etc/blocked.users" acl deny_users proxy_auth "/usr/local/stc/etc/deny.users" acl blocked_users proxy_auth "/usr/local/stc/etc/blocked.users" http_access allow trusted_users http_access allow allow_users http_access deny deny_users http_access deny blocked_users http_access deny all visible_hostname 127.0.0.1 |
- squid+ipfw, adil_18, 20:38 , 09-Дек-05 (1)
a s kakimi tvoimi ipfw rules auth i squidguard ne pashut? napishi pravila, sha razberem!!!
- squid+ipfw, Tatarin, 19:13 , 10-Дек-05 (2)
>a s kakimi tvoimi ipfw rules auth i squidguard ne pashut? >napishi pravila, sha razberem!!! 00005 allow ip from any to any via l0 00006 deny ip from any to 127.0.0.0/8 00007 deny ip from 127.0.0.0/8 to any 00008 allow ip from 192.168.0.0/24 to 192.168.0.220 dst-port 3128 00008 allow ip from 192.168.0.220 3128 to 192.168.0.0/24 00009 allow ip from 192.168.0.0/24 to 192.168.0.220 dst-port 80 00009 allow ip from 192.168.0.220 80 to 192.168.0.0/24 00010 allow ip from 192.168.0.26 to 192.168.0.220 dst-port 22 00010 allow ip from 192.168.0.220 22 to 192.168.0.26 00307 allow ip from 10.120.0.8 to 192.168.224.2 00407 allow ip from 192.168.224.2 to 10.120.0.8 00507 allow ip from any to 2xx.xx.xx0.2 00607 allow ip from 2xx.xx.xx0.2 to any 65530 allow ip from any to any --- это не помогает, если оно не стоит номером 1 65535 deny ip from any to any Я думаю проблема в 6 и 7 правилах, но ето стандарт!!! Что интересно что у меня на другой машине сквид стоит так все пашет, правила аналогичные. тока там директ коннект без всяких ppp 10.120.0.8----> выделаяется провом pppoe 192.168.0.220----> внутренний фейс который смотрит в локалку еще есть фейс к которому подключен кабельный модем---> 192.168.100.40 192.168.224.2---> шлюз 2xx.xx.xx0.2---> днс поправьте плз, что не так?
- squid+ipfw, adil_18, 23:16 , 10-Дек-05 (3)
Predlagayu tak: add 1 pass ip from any to any via lo0 add 2 pass udp from 192.168.0.0/24 to any 53 keep-state add 3 pass udp from any to {vneshniy_ip} 53 in via $ext_iface add 4 pass ip from 192.168.0.0/24 to 192.168.0.220 3128 add 5 pass ip from 192.168.0.220 to 192.168.0.0/24 3128 add 6 pass ip from 10.120.0.8 to 192.168.224.2 add 7 pass ip from 192.168.224.2 to 10.120.0.8 .................... e.t.c
- squid+ipfw, Tatarin, 11:34 , 11-Дек-05 (4)
Хорошо проверю, в понедельник!!! Вообще стоит мне разобраться досконально в ipfw!!! adil_18--почему на латинице (просто интересно)
|