The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPFW & SQUID"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPFW & SQUID"
Сообщение от Nichls emailИскать по авторуВ закладки on 24-Июл-03, 10:29  (MSK)
Проблемка тут у меня возникла одна.
Стоит файервол (ipfw) на FreeBSD. Достался в наследство. Через него все в ИНЕТ лазают. Теперь возникла проблема для подсчета трафика. Выбор пал на Squid. Поставил его у себя (RH 7.3). Когда гоню трафик через свою машину - то все на ура, но как только ставлю на FreeBSD - отказано в доступе. Попробовал на прямую через links на BSD'хе в ИНЕТ вылезти - такая же картина. Самой FreeBSD доступ В ИНЕТ через файервол разрешал , но это ничего не изменило. Если не сложно, помогите разобраться. (На всякий случай прикладываю конфиг файервола, его IP - 192.168.0.100). Где тут сабака порылась. Честно говоря не хочется проксю на Win2000 ставить.

Сразу оговорюсь - настраивал не сам - в наследство осталось от предыдущего админа.

#
# Setup system for firewall service.
#

# sysctl net.inet.ip.fw.one_pass=0

############
# Set quiet mode if requested
fwcmd="/sbin/ipfw -f -q"
# fwcmd="/sbin/ipfw"
natd_interface="ed0"
local_interface="ed2"

${fwcmd} flush
${fwcmd} add 1 count ip from any to any in via ${natd_interface}
${fwcmd} add 2 drop ip from any to not 195.X.X.X in via ${natd_interface}
${fwcmd} add 3 pipe 256 icmp from me to any
${fwcmd} pipe 256 config bw 1Kbit/s queue 1KBytes

# disable fucked macromedia flash!!
${fwcmd} add 10 drop all from any to 65.57.83.13

${fwcmd} add 20 pass tcp from me 20 to any
${fwcmd} add 21 pass tcp from me 21 to any
${fwcmd} add 22 pass tcp from me 22 to 192.168.0.111 out via ${local_interface}
${fwcmd} add 23 pass tcp from me 22 to 192.168.0.8 out via ${local_interface}
${fwcmd} add 24 pass tcp from me 22 to 192.168.0.202 out via ${local_interface}
${fwcmd} add 25 pass udp from me 50 to any out via ${natd_interface}
${fwcmd} add 26 pass tcp from me 50 to any out via ${natd_interface}
${fwcmd} add 27 pass udp from me to 195.131.52.130 53 out via ${natd_interface}
${fwcmd} add 28 pass udp from me to 194.8.160.90 53 out via ${natd_interface}
${fwcmd} add 29 pass udp from 192.168.0.100 53 to any
${fwcmd} add 30 drop all from me to any

${fwcmd} add 31 pass tcp from any to me 20
${fwcmd} add 32 pass tcp from any to me 21
${fwcmd} add 33 pass tcp from any to me 22 in via ppp0
${fwcmd} add 34 pass tcp from 192.168.0.111 to me 22 in via ${local_interface}
${fwcmd} add 35 pass tcp from 192.168.0.8 to me 22 in via ${local_interface}
${fwcmd} add 36 pass tcp from 192.168.0.202 to me 22 in via ${local_interface}
${fwcmd} add 37 pass udp from any to me 50 in via ${natd_interface}
${fwcmd} add 38 pass tcp from any to me 50 in via ${natd_interface}
${fwcmd} add 39 pass udp from 195.131.52.130 53 to me in via ${natd_interface}
${fwcmd} add 40 pass udp from 194.8.160.90 53 to me in via ${natd_interface}
${fwcmd} add 41 pass udp from any to 192.168.0.100 53

${fwcmd} add 42 divert natd all from any to any via ${natd_interface}
${fwcmd} add 43 divert natd tcp from any to me 3389
${fwcmd} add 44 divert natd tcp from 192.168.0.111 3389 to any
${fwcmd} add 45 divert natd tcp from any to me 1723
${fwcmd} add 46 divert natd tcp from 192.168.0.111 1723 to not 192.168.0.200

${fwcmd} add 50 count ip from any to 192.168.0.200 in via ${natd_interface}
${fwcmd} add 51 count ip from any to 192.168.0.1 in via ${natd_interface}
${fwcmd} add 52 count ip from any to 192.168.0.2 in via ${natd_interface}
${fwcmd} add 53 count ip from any to 192.168.0.3 in via ${natd_interface}
${fwcmd} add 54 count ip from any to 192.168.0.4 in via ${natd_interface}
${fwcmd} add 55 count ip from any to 192.168.0.5 in via ${natd_interface}
${fwcmd} add 56 count ip from any to 192.168.0.6 in via ${natd_interface}
${fwcmd} add 58 count ip from any to 192.168.0.8 in via ${natd_interface}
${fwcmd} add 59 count ip from any to 192.168.0.12 in via ${natd_interface}
${fwcmd} add 60 count ip from any to 192.168.0.14 in via ${natd_interface}
${fwcmd} add 61 count ip from any to 192.168.0.21 in via ${natd_interface}
${fwcmd} add 62 count ip from any to 192.168.0.111 in via ${natd_interface}
${fwcmd} add 63 count ip from any to 192.168.0.10 in via ${natd_interface}
${fwcmd} add 64 count ip from any to 192.168.0.20 in via ${natd_interface}
${fwcmd} add 65 count ip from any to 192.168.0.188 in via ${natd_interface}
${fwcmd} add 66 count ip from any to 192.168.0.88 in via ${natd_interface}
${fwcmd} add 67 count ip from any to 192.168.0.110 in via ${natd_interface}
${fwcmd} add 68 count ip from any to 192.168.0.100 in via ${natd_interface}

${fwcmd} add 91 pass icmp from any to any
${fwcmd} add 92 pass tcp from 192.168.0.111 3389 to any
${fwcmd} add 93 pass tcp from 192.168.0.111 1723 to any
${fwcmd} add 94 drop all from any to me
${fwcmd} add 95 pass all from me to any out via ${natd_interface}

${fwcmd} add 96 pass all from 192.168.0.0/24 to 192.168.1.0/24
${fwcmd} add 97 pass all from 192.168.1.0/24 to 192.168.0.0/24
${fwcmd} add 98 pass all from 192.168.0.0/24 to 192.168.43.0/24
${fwcmd} add 99 pass all from 192.168.43.0/24 to 192.168.0.0/24
##########################################################
# Only in rare cases do you want to change these rules
#
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
##########################################################
${fwcmd} add pass all from any to any in via ${natd_interface}

${fwcmd} pipe 1 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 1 ip from 192.168.0.1 to any

${fwcmd} pipe 111 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 111 tcp from 192.168.0.111 to any 25
${fwcmd} add pass all from 192.168.0.111 to any

${fwcmd} pipe 2 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 2 ip from 192.168.0.2 to any

${fwcmd} pipe 3 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 3 ip from 192.168.0.3 to 212.46.192.3
${fwcmd} add pipe 3 ip from 192.168.0.3 to 195.131.52.143
${fwcmd} add pipe 3 ip from 192.168.0.3 to 213.33.251.1

${fwcmd} pipe 4 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 4 ip from 192.168.0.4 to 195.5.134.194
${fwcmd} add pipe 4 ip from 192.168.0.4 to 195.239.231.18

${fwcmd} pipe 5 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 5 tcp from 192.168.0.5 to any 80
${fwcmd} add pipe 5 tcp from 192.168.0.5 to any 25
${fwcmd} add pipe 5 tcp from 192.168.0.5 to any 110

${fwcmd} pipe 6 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 6 ip from 192.168.0.6 to any

${fwcmd} pipe 8 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 8 ip from 192.168.0.8 to any

${fwcmd} pipe 10 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 10 tcp from 192.168.0.10 to any 80
${fwcmd} add pipe 10 tcp from 192.168.0.10 to any 25
${fwcmd} add pipe 10 tcp from 192.168.0.10 to any 110

${fwcmd} pipe 12 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 12 ip from 192.168.0.12 to any

${fwcmd} pipe 20 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 20 ip from 192.168.0.20 to any

# POLINA
${fwcmd} pipe 180 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 180 ip from 192.168.0.180 to any

# YULIA
${fwcmd} pipe 188 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 188 ip from 192.168.0.188 to any

# GALINA
${fwcmd} pipe 88 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 88 tcp from 192.168.0.88 to any 25
${fwcmd} add pipe 88 tcp from 192.168.0.88 to any 110

# WHITE
${fwcmd} pipe 14 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 14 tcp from 192.168.0.14 to any 80
${fwcmd} add pipe 14 tcp from 192.168.0.14 to any 25
${fwcmd} add pipe 14 tcp from 192.168.0.14 to any 110

${fwcmd} pipe 21 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 21 ip from 192.168.0.21 to any

${fwcmd} pipe 101 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 101 ip from 192.168.0.101 to any

#FIERWALL
${fwcmd} pipe 100 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 100 ip from 192.168.0.100 to any

${fwcmd} add pass tcp from 192.168.0.10 3389 to any
${fwcmd} add pass tcp from 192.168.1.1 3389 to any

${fwcmd} add pass all from any to any via ppp0
${fwcmd} add pass all from any to any out via ed2

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "IPFW & SQUID"
Сообщение от Kostya9 emailИскать по авторуВ закладки on 24-Июл-03, 12:25  (MSK)
> ${fwcmd} add 50 count ip from......
У тебя уже считается трафик этими правилами.
SQUID это http и ftp proxy, почтовый трафик считать не нужно?

P.S. Пару дней назад была тема про подсчет трафика, воспользуйся поиском.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW & SQUID"
Сообщение от Nichls emailИскать по авторуВ закладки on 24-Июл-03, 12:42  (MSK)
>> ${fwcmd} add 50 count ip from......
>У тебя уже считается трафик этими правилами.
>SQUID это http и ftp proxy, почтовый трафик считать не нужно?
>
>P.S. Пару дней назад была тема про подсчет трафика, воспользуйся поиском.

То, что трафик считается - это факт. НО! Тут никак ни выставишь ограничения, не убьешь рекламу, не запретишь качать mp3 и т.д.

И еще, а если нужно считать и почтовый трафик, что для этого используют?

PS Проблема все равно не решена - на файерволе я не могу заставить работать SQUID :(

PSS Проблема то не в подсчете трафика, а вто, что я не могу заставить работать SQUID и links - отказано в доступе. Помогите рабобраться. Ведь наверняка кто-то уже подобную задачу решал.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPFW & SQUID"
Сообщение от Kostya9 emailИскать по авторуВ закладки on 24-Июл-03, 13:03  (MSK)
>То, что трафик считается - это факт. НО! Тут никак ни выставишь
>ограничения, не убьешь рекламу, не запретишь качать mp3 и т.д.
>И еще, а если нужно считать и почтовый трафик, что для этого
>используют?
ipa, ipfm

>PS Проблема все равно не решена - на файерволе я не могу
>заставить работать SQUID :(
SQUID запускается?

>PSS Проблема то не в подсчете трафика, а вто, что я не
>могу заставить работать SQUID и links - отказано в доступе. Помогите
>рабобраться. Ведь наверняка кто-то уже подобную задачу решал.
Кем отказано в доступе? Сквидом? Т.е. он запускается, работает, но пользователей не пускает? Смотри как acl настроил.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "IPFW & SQUID"
Сообщение от Nichls emailИскать по авторуВ закладки on 24-Июл-03, 13:17  (MSK)
>>То, что трафик считается - это факт. НО! Тут никак ни выставишь
>>ограничения, не убьешь рекламу, не запретишь качать mp3 и т.д.
>>И еще, а если нужно считать и почтовый трафик, что для этого
>>используют?
>ipa, ipfm
>
>>PS Проблема все равно не решена - на файерволе я не могу
>>заставить работать SQUID :(
>SQUID запускается?
>
>>PSS Проблема то не в подсчете трафика, а вто, что я не
>>могу заставить работать SQUID и links - отказано в доступе. Помогите
>>рабобраться. Ведь наверняка кто-то уже подобную задачу решал.
>Кем отказано в доступе? Сквидом? Т.е. он запускается, работает, но пользователей не
>пускает? Смотри как acl настроил.


Наверно я не так объеснил.
Есть машина - FreeBSD, на ней файервол - IPFW, через который все лазают в Интернет (WinXP). Есть моя машина (RH7.3), на которой я сижу. Шеф ставит задачу - подсчет трафика (кто, что, когда, сколько, почему). Выбираю для этой цели SQUID, ставлю его на свое машине для тестирования на работоспособность - все работает на ура. Ставлю на BSD'ху (с тем же конфигом) - отказано в доступе. Пытаюсь с BSD'хи напрямую (не через SQUID) вылезти в Интернет (использую LINKS) - отказано в доступе. Насколько я понимаю, меня не пускает файервол. Вот это мне и надо побороть.
FreeBSD досталась в наследство - я ее не настраивал (что работает - лучше не трогать).

Вот мне и не понятно, почему меня
.....
${fwcmd} add 58 count ip from any to 192.168.0.8 in via ${natd_interface}
.....
${fwcmd} pipe 8 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 8 ip from 192.168.0.8 to any
.....
пускает, а файервол сам себя не пускает:
.....
${fwcmd} add 68 count ip from any to 192.168.0.100 in via ${natd_interface}
.....
#FIERWALL
${fwcmd} pipe 100 config bw 4Kbit/s queue 10KBytes
${fwcmd} add pipe 100 ip from 192.168.0.100 to any

В чем тут проблема? (Весь конфиг выложил в самом начале обсуждени)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "IPFW & SQUID"
Сообщение от Kostya9 emailИскать по авторуВ закладки on 24-Июл-03, 13:31  (MSK)
>Вот мне и не понятно, почему меня
>.....
>${fwcmd} add 58 count ip from any to 192.168.0.8 in via ${natd_interface}

count - счетчик
pipe -  Ограничение канала.

Эти правила не имеют никакого отношения к ограничению доступа.
Надо добавить правило, позволющее ходить по прту 3128 внутри сети.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "IPFW & SQUID"
Сообщение от Nichls emailИскать по авторуВ закладки on 24-Июл-03, 14:07  (MSK)
>>Вот мне и не понятно, почему меня
>>.....
>>${fwcmd} add 58 count ip from any to 192.168.0.8 in via ${natd_interface}
>
>count - счетчик
>pipe -  Ограничение канала.
>
>Эти правила не имеют никакого отношения к ограничению доступа.
>Надо добавить правило, позволющее ходить по прту 3128 внутри сети.

Не поможишь с этим. Еще не до конца разобрался с ipfw. Если надо подключить новую машину я просто копирую правило, меняю, что мне нужно и перезагружаю BSD'ху. Тупо и по обезбяньи :( , но по другому я не знаю как.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "IPFW & SQUID"
Сообщение от Kostya9 emailИскать по авторуВ закладки on 24-Июл-03, 14:08  (MSK)
>надо подключить новую машину я просто копирую правило, меняю, что мне
>нужно и перезагружаю BSD'ху. Тупо и по обезбяньи :( , но
>по другому я не знаю как.

Помогу, пиши в почту. kostya at romano.ru

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру