 squid+ipfw,  Tatarin, 09-Дек-05, 12:38 [смотреть все]Система слудующая FreeBsd+squid2.5stable12
Есть сеть Прова PPPoE10.120.0.0/16 есть моя сеть Ethernet-192.168.0.0/24
Конечно все кто в сети Ethernet-192.168.0.0/24 должны ходить в инет и само собой на шлюзе я ставлю squid!!!
Ставлю сквид+ncsa_auth из портов, ставлю от туда же squidGuard
В конфиге сквида прописываю запуск squidGuard и ncsa_auth
Запускаю сквид, а он в логах пишет что не может запустить ncsa_auth и squidGuard, долго конечно я менял владельцев файлов и права, все равно сквид не мог запустить свои дочерние процессы, хотя отдельно squidGuard и ncsa_auth работают.
Потом я сделал так
ipfw add 1 allow ip from any to any
И все заработало!!!
Где грабли? Конечно я понимаю что они в ipfw, но подскажите гуру как правильно написать правило, чтобы эти звери запускались.
С правилом, которое написал я ето светить голой жопой в инете!!!
squid.conf
http_port 192.168.0.220:3128
logfile_rotate 5
emulate_httpd_log off
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/stc/etc/p
assword
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
authenticate_ip_ttl 1800 seconds
auth_param basic realm Squid Proxy. Parol requred!!!
redirect_program /usr/local/bin/squidGuard
redirect_children 5
redirector_bypass on
acl all src 0.0.0.0/0.0.0.0
acl trusted_users proxy_auth "/usr/local/stc/etc/trusted_users"
acl all_users src "/usr/local/stc/etc/mynet_users"
acl allow_users proxy_auth "/usr/local/stc/etc/allow.users"
acl deny_users proxy_auth "/usr/local/stc/etc/deny.users"
acl blocked_users proxy_auth "/usr/local/stc/etc/blocked.users"
acl deny_users proxy_auth "/usr/local/stc/etc/deny.users"
acl blocked_users proxy_auth "/usr/local/stc/etc/blocked.users"
http_access allow trusted_users
http_access allow allow_users
http_access deny deny_users
http_access deny blocked_users
http_access deny all
visible_hostname 127.0.0.1 |
- squid+ipfw, adil_18, 20:38 , 09-Дек-05 (1)
a s kakimi tvoimi ipfw rules auth i squidguard ne pashut?
napishi pravila, sha razberem!!!
- squid+ipfw, Tatarin, 19:13 , 10-Дек-05 (2)
>a s kakimi tvoimi ipfw rules auth i squidguard ne pashut?
>napishi pravila, sha razberem!!!
00005 allow ip from any to any via l0
00006 deny ip from any to 127.0.0.0/8
00007 deny ip from 127.0.0.0/8 to any
00008 allow ip from 192.168.0.0/24 to 192.168.0.220 dst-port 3128
00008 allow ip from 192.168.0.220 3128 to 192.168.0.0/24
00009 allow ip from 192.168.0.0/24 to 192.168.0.220 dst-port 80
00009 allow ip from 192.168.0.220 80 to 192.168.0.0/24
00010 allow ip from 192.168.0.26 to 192.168.0.220 dst-port 22
00010 allow ip from 192.168.0.220 22 to 192.168.0.26
00307 allow ip from 10.120.0.8 to 192.168.224.2
00407 allow ip from 192.168.224.2 to 10.120.0.8
00507 allow ip from any to 2xx.xx.xx0.2
00607 allow ip from 2xx.xx.xx0.2 to any
65530 allow ip from any to any --- это не помогает, если оно не стоит номером 1
65535 deny ip from any to any
Я думаю проблема в 6 и 7 правилах, но ето стандарт!!! Что интересно что у меня на другой машине сквид стоит так все пашет, правила аналогичные. тока там директ коннект без всяких ppp
10.120.0.8----> выделаяется провом pppoe
192.168.0.220----> внутренний фейс который смотрит в локалку
еще есть фейс к которому подключен кабельный модем---> 192.168.100.40
192.168.224.2---> шлюз
2xx.xx.xx0.2---> днс
поправьте плз, что не так?
- squid+ipfw, adil_18, 23:16 , 10-Дек-05 (3)
Predlagayu tak:
add 1 pass ip from any to any via lo0
add 2 pass udp from 192.168.0.0/24 to any 53 keep-state
add 3 pass udp from any to {vneshniy_ip} 53 in via $ext_iface
add 4 pass ip from 192.168.0.0/24 to 192.168.0.220 3128
add 5 pass ip from 192.168.0.220 to 192.168.0.0/24 3128
add 6 pass ip from 10.120.0.8 to 192.168.224.2
add 7 pass ip from 192.168.224.2 to 10.120.0.8
....................
e.t.c
- squid+ipfw, Tatarin, 11:34 , 11-Дек-05 (4)
Хорошо проверю, в понедельник!!!
Вообще стоит мне разобраться досконально в ipfw!!!
adil_18--почему на латинице (просто интересно)
|
Версия для распечатки
