форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"вона как форвардит ipfw...."
Сообщение от А.Петров on 08-Сен-04, 13:00  (MSK)
всем здрасте. интересная заковыка обнаружилась. была задача: с шлюза - FW - (ipfw+natd, FreeBSD4.7) перекинуть http трафик на другую машину, на которой был поднят squid (FreeBSD4.10, Squid2.4Stable7 из портов, ручками несущественно поправлен /usr/ports/www/squid24/Makefile) - SQ. обе машинки стоят в локалке с фриковыми адресами. сразу говорю - по отдельности рабоает все так, что ого-го!!! ну и - ядра с FORWARD, правила ipfw первые. ну, что? пишем правила фаерволу FW: ipfw add 10 fwd 129.168.1.1 tcp rom 192.168.1.0/24 to any 80 зная, что fwd не умеет менять порт пакета, когда форвардит на другую машину, рисуем правила для фаервола SQ: ipfw add 10 fwd 192.168.1.1:3128 tcp from 192.168.1.0/24 to any 80 и смотрим что получилось - а ничего не получилось. фаервол FW успешно форвардит трафик на SQ, тот его заворачивает на 3128 порт, а сам Squid грит - "Доступ запрещен", хотя, замечу, он совсем не "denied" для всей локалки (авторизация, для простоты момента, отключена напрочь). ладно. меняем правила на обих фаерволах: на FW: ipfw add 10 fwd 129.168.1.1 tcp rom 192.168.1.20 to any 80 на SQ: ipfw add 10 fwd 129.168.1.1:3128 tcp rom 192.168.1.20 to any 80 и чо вы думаете? работает! причем именно так - когда на обоих фаерволах ip-адреса прописаны. теперича вопрос: это каким макаром нужно прописать правила фаерволу, что бы он форвадил всю сетку сразу. а то на каждого писать, тоже, знаете ли... судя по всему, при форвардинге сети что-то с заголвками пакетов происходит, но что? ну и попутный вопрос - в форуме промелькнуло сообщение, что кто-то форвардил с помощью natd -proxy_rule. ежели кто так сделал - расскажите, а?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "вона как форвардит ipfw...."
Сообщение от Chris (??) on 08-Сен-04, 13:10  (MSK)
192.168.1.20/24 скажем...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "вона как форвардит ipfw...."
	Сообщение от А.Петров on 08-Сен-04, 13:26  (MSK)
	>192.168.1.20/24 скажем... а разница-то в чем? 192.168.1.20 - это ip машины с которой заворачиваем трафик
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "вона как форвардит ipfw...."
	Сообщение от anton (??) on 08-Сен-04, 15:20  (MSK)
	Мда....... на FW ipfw add 5 skipto 15 tcp from any to PROXY ipfw add 6 skipto 15 tcp from PROXY to any У тебя когда прокси на в нет лезет по 80 FW его заворачивает обратно на негоже.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "вона как форвардит ipfw...."
	Сообщение от А.Петров on 08-Сен-04, 15:34  (MSK)
	>Мда....... > на FW >ipfw add 5 skipto 15 tcp from any to PROXY >ipfw add 6 skipto 15 tcp from PROXY to any > >У тебя когда прокси на в нет лезет по 80 FW его >заворачивает обратно на негоже. Точнаааа!!! конечно заворачивает. чой-то я не доглядел... вот что значит свежий взгляд. спасибо, друг.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "вона как форвардит ipfw...."
	Сообщение от anton (??) on 08-Сен-04, 15:35  (MSK)
	>>Мда....... >> на FW >>ipfw add 5 skipto 15 tcp from any to PROXY >>ipfw add 6 skipto 15 tcp from PROXY to any >> >>У тебя когда прокси на в нет лезет по 80 FW его >>заворачивает обратно на негоже. > >Точнаааа!!! конечно заворачивает. чой-то я не доглядел... >вот что значит свежий взгляд. спасибо, друг. "Не дай наступить на те грабли, которые не миновал сам"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.