forum.opennet.ru - "freebsd ipfw natd squid intercept" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"freebsd ipfw natd squid intercept"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"freebsd ipfw natd squid intercept"	+/–
Сообщение от sbrfrf (ok) on 23-Апр-14, 19:31
Всем здравствуйте. Тема избитая все логично и понятно но не получается прикрутить прозрачный прокси. Интернет раздает через прокси или натом. Попробовал прикрутить прозрачный прокси, браузер думает и говорит страница недоступна. freebsd 9.2 squid 3.3.11 #!/bin/sh cmd="ipfw -q add" skip="skipto 500" pif="em0" ks="keep-state" good_tcpo="80" goodip="10.0.0.0/24{1-250}" ipfw -q -f flush ipfw -f pipe flush ################################################################################ $cmd 100 allow all from $goodip to any via xl0 $cmd 110 allow all from any to any via lo0 ################################################################################# # #Transparent Squid #$cmd 150 fwd 127.0.0.1,3129 tcp from $goodip to any 80 out via $pif # #NAT IN $cmd 200 divert natd ip from any to any in via $pif $cmd 210 check-state ################################################################################# #out ################################################################################# #dns for LAN $cmd 300 $skip udp from any to any 53 out via $pif $ks $cmd 310 $skip tcp from any to any 53 out via $pif setup $ks #DNS for Server $cmd 300 allow udp from any to any 53 out via $pif $ks $cmd 310 allow tcp from any to any 53 out via $pif setup $ks #internet for LAN $cmd 320 $skip tcp from $goodip to any $good_tcpo out via $pif setup $ks #Internet for SERVER $cmd 340 allow all from me to any out via $pif setup $ks ############################################################################### #in ################################################################################ #ssh in $cmd 410 allow tcp from any to me 22 in via $pif setup limit src-addr 2 $cmd 499 deny log all from any to any #NAT OUT $cmd 500 divert natd ip from any to any out via $pif $cmd 510 allow ip from any to any $cmd 999 deny log all from any to any rc.conf hostname="gate.domain.local" ifconfig_em0=" inet xx netmask 255.255.255.0" ifconfig_xl0=" inet 10.0.0.1 netmask 255.255.255.0" ifconfig_rl0=" inet xx netmask 255.255.255.0" defaultrouter="xx" sshd_enable="YES" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="NO" # gateway_enable="YES" natd_enable="YES" natd_interface="em0" natd_flags="-dynamic -m" named_enable="YES" firewall_enable="YES" firewall_script="/etc/firewall.conf" firewall_logging="YES" dummynet_enable="YES" # squid_enable="YES" #VI clear_tmp_enable="YES" # rinetd_enable="YES" squid.conf acl localnet src 10.0.0.0/24 # RFC1918 possible internal network acl localnet src 127.0.0.1/32 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains" http_access deny deny_domains # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports # Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user #http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 10.0.0.1:3128 http_port 127.0.0.1:3129 intercept #connect_timeout 20 second #forwarded_for off #cache deny all # Uncomment and adjust the following to add a disk cache directory. cache_dir ufs /var/squid/cache/squid 100000 64 512 maximum_object_size 100240 KB # Leave coredumps in the first cache dir coredump_dir /var/squid/cache/squid access_log /var/log/squid/access.log лог кэш сквида, в аксцесе логи ничего про подключения с браузера нет 2014/04/23 20:57:53 kid1\| Initializing IP Cache... 2014/04/23 20:57:53 kid1\| DNS Socket created at 0.0.0.0, FD 7 2014/04/23 20:57:53 kid1\| Adding nameserver xxxx from /etc/resolv.conf 2014/04/23 20:57:53 kid1\| Adding nameserver xxxx from /etc/resolv.conf 2014/04/23 20:57:53 kid1\| Logfile: opening log /var/log/squid/access.log 2014/04/23 20:57:53 kid1\| WARNING: log parameters now start with a module name. Use 'stdio:/var/log/squid/access.log' 2014/04/23 20:57:53 kid1\| WARNING: no_suid: setuid(0): (1) Operation not permitted 2014/04/23 20:57:53 kid1\| Unlinkd pipe opened on FD 12 2014/04/23 20:57:53 kid1\| Store logging disabled 2014/04/23 20:57:53 kid1\| Swap maxSize 102400000 + 262144 KB, estimated 7897088 objects 2014/04/23 20:57:53 kid1\| Target number of buckets: 394854 2014/04/23 20:57:53 kid1\| Using 524288 Store buckets 2014/04/23 20:57:53 kid1\| Max Mem size: 262144 KB 2014/04/23 20:57:53 kid1\| Max Swap size: 102400000 KB 2014/04/23 20:57:53 kid1\| Rebuilding storage in /var/squid/cache/squid (clean log) 2014/04/23 20:57:53 kid1\| Using Least Load store dir selection 2014/04/23 20:57:53 kid1\| Set Current Directory to /var/squid/cache/squid 2014/04/23 20:57:53 kid1\| Loaded Icons. 2014/04/23 20:57:53 kid1\| HTCP Disabled. 2014/04/23 20:57:53 kid1\| Squid plugin modules loaded: 0 2014/04/23 20:57:53 kid1\| Accepting HTTP Socket connections at local=10.0.0.1:3128 remote=[::] FD 15 flags=9 2014/04/23 20:57:53 kid1\| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3129 remote=[::] FD 17 flags=41 2014/04/23 20:57:53 kid1\| Done reading /var/squid/cache/squid swaplog (1282 entries) 2014/04/23 20:57:53 kid1\| Finished rebuilding storage from disk. 2014/04/23 20:57:53 kid1\| 1282 Entries scanned 2014/04/23 20:57:53 kid1\| 0 Invalid entries. 2014/04/23 20:57:53 kid1\| 0 With invalid flags. 2014/04/23 20:57:53 kid1\| 1282 Objects loaded. 2014/04/23 20:57:53 kid1\| 0 Objects expired. 2014/04/23 20:57:53 kid1\| 0 Objects cancelled. 2014/04/23 20:57:53 kid1\| 0 Duplicate URLs purged. 2014/04/23 20:57:53 kid1\| 0 Swapfile clashes avoided. 2014/04/23 20:57:53 kid1\| Took 0.02 seconds (69776.30 objects/sec). 2014/04/23 20:57:53 kid1\| Beginning Validation Procedure 2014/04/23 20:57:53 kid1\| Completed Validation Procedure 2014/04/23 20:57:53 kid1\| Validated 1282 Entries 2014/04/23 20:57:53 kid1\| store_swap_size = 19304.00 KB 2014/04/23 20:57:54 kid1\| storeLateRelease: released 0 objects
Ответить \| Правка \| Cообщить модератору

Оглавление

freebsd ipfw natd squid intercept, arachnid, 19:58 , 23-Апр-14, (1)

freebsd ipfw natd squid intercept, sbrfrf, 00:56 , 24-Апр-14, (3)

freebsd ipfw natd squid intercept, arachnid, 10:08 , 24-Апр-14, (7)

freebsd ipfw natd squid intercept, asavah, 20:22 , 23-Апр-14, (2)

freebsd ipfw natd squid intercept, sbrfrf, 01:05 , 24-Апр-14, (4)

freebsd ipfw natd squid intercept, asavah, 02:08 , 24-Апр-14, (5)

freebsd ipfw natd squid intercept, sbrfrf, 04:35 , 24-Апр-14, (6)

freebsd ipfw natd squid intercept, sbrfrf, 12:45 , 24-Апр-14, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "freebsd ipfw natd squid intercept" +/–

Сообщение от arachnid (ok) on 23-Апр-14, 19:58

пакеты на лкальный интерфейc форвардятся?
сквид собран с поддержкой прозрачности с ipfw?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "freebsd ipfw natd squid intercept" +/–

Сообщение от sbrfrf (ok) on 24-Апр-14, 00:56

> пакеты на лкальный интерфейc форвардятся?
> сквид собран с поддержкой прозрачности с ipfw?
собран с поддержкой, в логах порт для транспарент создает.
на локальный инт правило есть но оно или не работает или еще что.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "freebsd ipfw natd squid intercept" +/–

Сообщение от arachnid (ok) on 24-Апр-14, 10:08

то есть при tcpdump -i lo0 port 3129 пакеты не регистрируются?
тогда сюда вывод ipfw show
>> пакеты на лкальный интерфейc форвардятся?
>> сквид собран с поддержкой прозрачности с ipfw?
> собран с поддержкой, в логах порт для транспарент создает.
> на локальный инт правило есть но оно или не работает или еще
> что.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "freebsd ipfw natd squid intercept" +/–

Сообщение от asavah (ok) on 23-Апр-14, 20:22

Это всё из рабочих конфигов
# Squid normally listens to port 3128
http_port 3128
http_port 3129 transparent
icp_port 3130
особое внимание на _transparent_
нах 127.0.0.1 и пр?? хай везде слушает, на ване прибить файером, чтоб не лазили чужие.
$ipfw add 44444 fwd 127.0.0.1,3129 all from $lannet1 to not $tbl_noproxy dst-port 80,8000,8080 in recv $IF_LAN1

>$cmd 200 divert natd ip from any to any in via $pif
доколе мля???? контекст свитчи бородатейшего юзерспейсного демона любите ??
осильте ipfw kernel nat (включить опцию при сборке ведра)
кривой пример:
NAT_ISP1="nat 1"
$ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports
$ipfw add 55555 $NAT_ISP1 all from $lannet1 to not $tbl_localnets out
$ipfw add 55556 fwd $GW_ISP1 all from $IP_ISP1 to not $tbl_localnets out
$ipfw add 55557 $NAT_ISP1 all from any to $IP_ISP1 in recv $IF_ISP1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "freebsd ipfw natd squid intercept" +/–

Сообщение от sbrfrf (ok) on 24-Апр-14, 01:05

> Это всё из рабочих конфигов
> # Squid normally listens to port 3128
> http_port 3128
> http_port 3129 transparent
> icp_port 3130
> особое внимание на _transparent_
после 3.1 написано intercept использовать
какая у вас версия?
> нах 127.0.0.1 и пр?? хай везде слушает, на ване прибить файером, чтоб
> не лазили чужие.
в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал.
> $ipfw add 44444 fwd 127.0.0.1,3129 all from $lannet1 to not $tbl_noproxy dst-port
> 80,8000,8080 in recv $IF_LAN1
>>$cmd 200 divert natd ip from any to any in via $pif
> доколе мля???? контекст свитчи бородатейшего юзерспейсного демона любите ??
> осильте ipfw kernel nat (включить опцию при сборке ведра)
в доках на сайте с ним хорошая инструкция идет, с очень понятной логикой
> кривой пример:
> NAT_ISP1="nat 1"
> $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports
> $ipfw add 55555 $NAT_ISP1 all from $lannet1 to not $tbl_localnets out
> $ipfw add 55556 fwd $GW_ISP1 all from $IP_ISP1 to not $tbl_localnets out
> $ipfw add 55557 $NAT_ISP1 all from any to $IP_ISP1 in recv $IF_ISP1
если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты?
есть какаято разница в производительности между natd и kernel Nat?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "freebsd ipfw natd squid intercept" +/–

Сообщение от asavah (ok) on 24-Апр-14, 02:08

> после 3.1 написано intercept использовать
возможно, всего не упомнишь
squid -v
Squid Cache: Version 3.2.9
> в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал.
это действительно пофиг )
> если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты?
не совсем понял вопрос
$ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports \
redirect_port tcp 192.168.66.6:80 1111 \
redirect_port tcp 192.168.77.7:80 2222
итд

у вас ядро случаем не generic???
c generic ведром fwd не работает!
у меня на 8й боевой фряхе  собрано с ( на 9ке не помню были ли отличия, нет под рукой)
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10000
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPSTEALTH
options TCPDEBUG
options LIBALIAS
options DUMMYNET

если ведро не generic и _вкомпилен_ options IPFIREWALL_FORWARD , то попробуйте так
$cmd 95 fwd 127.0.0.1,3129 tcp from $goodip to any dst-port 80 in recv xl0 # Перед allow (это важно)
$cmd 100 allow  all from $goodip to any via xl0

делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые - значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш К.О.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "freebsd ipfw natd squid intercept" +/–

Сообщение от sbrfrf (ok) on 24-Апр-14, 04:35

>> после 3.1 написано intercept использовать
> возможно, всего не упомнишь
> squid -v
> Squid Cache: Version 3.2.9
>> в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал.
> это действительно пофиг )
>> если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты?
это я имел ввиду, пришел пакет на сервер с локалки например на 21 порт, попал под правило разрешающее отправить этот пакет во внешку, но сначала надо пропустить через нет и команда skeepto переводит его на правило Nat out.
> не совсем понял вопрос
> $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports \
>  redirect_port tcp 192.168.66.6:80 1111 \
>  redirect_port tcp 192.168.77.7:80 2222
>  итд
> у вас ядро случаем не generic???
> c generic ведром fwd не работает!
с ядром все хорошо собрано с поддержкой фаераола диверта как в инструкции
на сайте freebsd.org форвардинг работает, фаервол работает как в правилах написано.
>[оверквотинг удален]
> options IPFIREWALL_DEFAULT_TO_ACCEPT
> options IPDIVERT
> options IPSTEALTH
> options TCPDEBUG
> options LIBALIAS
> options DUMMYNET
> если ведро не generic и _вкомпилен_ options IPFIREWALL_FORWARD , то попробуйте так
> $cmd 95 fwd 127.0.0.1,3129 tcp from $goodip to any dst-port 80 in
> recv xl0 # Перед allow (это важно)
> $cmd 100 allow  all from $goodip to any via xl0
а почему важно перед allow пакет же дальше пойдет по правилам, главное до исходящего ната это сделать, а иначе форвардинг не получится а получится просто нат.
а нат нужно делать на 80 порт?
тут же прокси сама идет в интернет берет и отдает локалке что попросили. Я правильно мыслю? Трансляция адресов не нужна?
> делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые -
> значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш
> К.О.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "freebsd ipfw natd squid intercept" +/–

Сообщение от sbrfrf (ok) on 24-Апр-14, 12:45

>[оверквотинг удален]
>> $cmd 100 allow  all from $goodip to any via xl0
> а почему важно перед allow пакет же дальше пойдет по правилам, главное
> до исходящего ната это сделать, а иначе форвардинг не получится а
> получится просто нат.
> а нат нужно делать на 80 порт?
> тут же прокси сама идет в интернет берет и отдает локалке что
> попросили. Я правильно мыслю? Трансляция адресов не нужна?
>> делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые -
>> значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш
>> К.О.
Прописал в сквид
http_port 3128
http_port 3129 intercept
С такими параметрами через проксти пишет нет доступа
Вернул свои параметры
http_port xxxxx:3128
http_port xxxxxx:3128
http_port 127.0.0.1:3129 intercept
В ipfw изменил строчку, поставил до allow как вы говорили. rl1 это внутрення сетевая, пришлось сменить ошибки старя выдавала TX
00095    0       0 fwd 127.0.0.1,3129 tcp from xxxxx to any dst-port 80 in recv rl1
00100 4537 1076167 allow ip from xxxxxx to any via rl1
Тоесть почему то правило не обрабатывается
Но почему?
Немного поигрался с параметрами
$cmd 95 fwd 127.0.0.1,3129 tcp from $goodip202 to any 80
убрал dst-port 80 in recv rl1
и О чудо счетчик завертелся
00095   87  14951
Я так понимаю от версии к версии фаервол по разному обрбатывает то что раньше обрабатывалась этими командами. Уже не раз сталкиваюсь что написано в каких то хау ту на деле просто берет и не работает.
Но теперь соответсвенно на веб сервер локальной сети никто не попадет )
И заветные строки в логах появились.
# tail -f /var/log/squid/cache.log
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Authorization: Basic YWRtaW46YGtqZ2ZuZjcxNTE=
Via: 1.1 gate.domain.local (squid/3.3.11)
X-Forwarded-For: 10.180.202.47
Cache-Control: max-age=0
Connection: keep-alive
Вернул правила в таком виде
$cmd 95 fwd 127.0.0.1,3129 tcp from $goodip202 to any 80 out via $pif
00095  611   95687
Счетчик крутится ну и локальный веб сервер работает.
Вот такой результат.Дальше будем режики прикручивать антивирус.
Спасибо всем за помощь.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "freebsd ipfw natd squid intercept"	+/–
Сообщение от arachnid (ok) on 23-Апр-14, 19:58
пакеты на лкальный интерфейc форвардятся? сквид собран с поддержкой прозрачности с ipfw?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от sbrfrf (ok) on 24-Апр-14, 00:56
	> пакеты на лкальный интерфейc форвардятся? > сквид собран с поддержкой прозрачности с ipfw? собран с поддержкой, в логах порт для транспарент создает. на локальный инт правило есть но оно или не работает или еще что.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	7. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от arachnid (ok) on 24-Апр-14, 10:08
	то есть при tcpdump -i lo0 port 3129 пакеты не регистрируются? тогда сюда вывод ipfw show >> пакеты на лкальный интерфейc форвардятся? >> сквид собран с поддержкой прозрачности с ipfw? > собран с поддержкой, в логах порт для транспарент создает. > на локальный инт правило есть но оно или не работает или еще > что.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

2. "freebsd ipfw natd squid intercept"	+/–
Сообщение от asavah (ok) on 23-Апр-14, 20:22
Это всё из рабочих конфигов # Squid normally listens to port 3128 http_port 3128 http_port 3129 transparent icp_port 3130 особое внимание на _transparent_ нах 127.0.0.1 и пр?? хай везде слушает, на ване прибить файером, чтоб не лазили чужие. $ipfw add 44444 fwd 127.0.0.1,3129 all from $lannet1 to not $tbl_noproxy dst-port 80,8000,8080 in recv $IF_LAN1 >$cmd 200 divert natd ip from any to any in via $pif доколе мля???? контекст свитчи бородатейшего юзерспейсного демона любите ?? осильте ipfw kernel nat (включить опцию при сборке ведра) кривой пример: NAT_ISP1="nat 1" $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports $ipfw add 55555 $NAT_ISP1 all from $lannet1 to not $tbl_localnets out $ipfw add 55556 fwd $GW_ISP1 all from $IP_ISP1 to not $tbl_localnets out $ipfw add 55557 $NAT_ISP1 all from any to $IP_ISP1 in recv $IF_ISP1
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от sbrfrf (ok) on 24-Апр-14, 01:05
	> Это всё из рабочих конфигов > # Squid normally listens to port 3128 > http_port 3128 > http_port 3129 transparent > icp_port 3130 > особое внимание на _transparent_ после 3.1 написано intercept использовать какая у вас версия? > нах 127.0.0.1 и пр?? хай везде слушает, на ване прибить файером, чтоб > не лазили чужие. в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал. > $ipfw add 44444 fwd 127.0.0.1,3129 all from $lannet1 to not $tbl_noproxy dst-port > 80,8000,8080 in recv $IF_LAN1 >>$cmd 200 divert natd ip from any to any in via $pif > доколе мля???? контекст свитчи бородатейшего юзерспейсного демона любите ?? > осильте ipfw kernel nat (включить опцию при сборке ведра) в доках на сайте с ним хорошая инструкция идет, с очень понятной логикой > кривой пример: > NAT_ISP1="nat 1" > $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports > $ipfw add 55555 $NAT_ISP1 all from $lannet1 to not $tbl_localnets out > $ipfw add 55556 fwd $GW_ISP1 all from $IP_ISP1 to not $tbl_localnets out > $ipfw add 55557 $NAT_ISP1 all from any to $IP_ISP1 in recv $IF_ISP1 если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты? есть какаято разница в производительности между natd и kernel Nat?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от asavah (ok) on 24-Апр-14, 02:08
	> после 3.1 написано intercept использовать возможно, всего не упомнишь squid -v Squid Cache: Version 3.2.9 > в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал. это действительно пофиг ) > если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты? не совсем понял вопрос $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports \ redirect_port tcp 192.168.66.6:80 1111 \ redirect_port tcp 192.168.77.7:80 2222 итд у вас ядро случаем не generic??? c generic ведром fwd не работает! у меня на 8й боевой фряхе собрано с ( на 9ке не помню были ли отличия, нет под рукой) options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10000 options IPFIREWALL_NAT options IPFIREWALL_FORWARD options IPFIREWALL_DEFAULT_TO_ACCEPT options IPDIVERT options IPSTEALTH options TCPDEBUG options LIBALIAS options DUMMYNET если ведро не generic и _вкомпилен_ options IPFIREWALL_FORWARD , то попробуйте так $cmd 95 fwd 127.0.0.1,3129 tcp from $goodip to any dst-port 80 in recv xl0 # Перед allow (это важно) $cmd 100 allow all from $goodip to any via xl0 делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые - значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш К.О.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от sbrfrf (ok) on 24-Апр-14, 04:35
	>> после 3.1 написано intercept использовать > возможно, всего не упомнишь > squid -v > Squid Cache: Version 3.2.9 >> в инструкциях написано было.так то пусть слушает, но явно указывать еще никто не запрещал. > это действительно пофиг ) >> если ядерным натом пользоваться так же через skeepto перекидывать натируемые порты? это я имел ввиду, пришел пакет на сервер с локалки например на 21 порт, попал под правило разрешающее отправить этот пакет во внешку, но сначала надо пропустить через нет и команда skeepto переводит его на правило Nat out. > не совсем понял вопрос > $ipfw $NAT_ISP1 config ip $IP_ISP1 unreg_only same_ports \ > redirect_port tcp 192.168.66.6:80 1111 \ > redirect_port tcp 192.168.77.7:80 2222 > итд > у вас ядро случаем не generic??? > c generic ведром fwd не работает! с ядром все хорошо собрано с поддержкой фаераола диверта как в инструкции на сайте freebsd.org форвардинг работает, фаервол работает как в правилах написано. >[оверквотинг удален] > options IPFIREWALL_DEFAULT_TO_ACCEPT > options IPDIVERT > options IPSTEALTH > options TCPDEBUG > options LIBALIAS > options DUMMYNET > если ведро не generic и _вкомпилен_ options IPFIREWALL_FORWARD , то попробуйте так > $cmd 95 fwd 127.0.0.1,3129 tcp from $goodip to any dst-port 80 in > recv xl0 # Перед allow (это важно) > $cmd 100 allow all from $goodip to any via xl0 а почему важно перед allow пакет же дальше пойдет по правилам, главное до исходящего ната это сделать, а иначе форвардинг не получится а получится просто нат. а нат нужно делать на 80 порт? тут же прокси сама идет в интернет берет и отдает локалке что попросили. Я правильно мыслю? Трансляция адресов не нужна? > делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые - > значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш > К.О.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "freebsd ipfw natd squid intercept"	+/–
	Сообщение от sbrfrf (ok) on 24-Апр-14, 12:45
	>[оверквотинг удален] >> $cmd 100 allow all from $goodip to any via xl0 > а почему важно перед allow пакет же дальше пойдет по правилам, главное > до исходящего ната это сделать, а иначе форвардинг не получится а > получится просто нат. > а нат нужно делать на 80 порт? > тут же прокси сама идет в интернет берет и отдает локалке что > попросили. Я правильно мыслю? Трансляция адресов не нужна? >> делайте ipfw show и смотрите счётчики, если на нужном правиле нулевые - >> значит не матчит ) , ковыряйте порядок прохождения правил (с) ваш >> К.О. Прописал в сквид http_port 3128 http_port 3129 intercept С такими параметрами через проксти пишет нет доступа Вернул свои параметры http_port xxxxx:3128 http_port xxxxxx:3128 http_port 127.0.0.1:3129 intercept В ipfw изменил строчку, поставил до allow как вы говорили. rl1 это внутрення сетевая, пришлось сменить ошибки старя выдавала TX 00095 0 0 fwd 127.0.0.1,3129 tcp from xxxxx to any dst-port 80 in recv rl1 00100 4537 1076167 allow ip from xxxxxx to any via rl1 Тоесть почему то правило не обрабатывается Но почему? Немного поигрался с параметрами $cmd 95 fwd 127.0.0.1,3129 tcp from $goodip202 to any 80 убрал dst-port 80 in recv rl1 и О чудо счетчик завертелся 00095 87 14951 Я так понимаю от версии к версии фаервол по разному обрбатывает то что раньше обрабатывалась этими командами. Уже не раз сталкиваюсь что написано в каких то хау ту на деле просто берет и не работает. Но теперь соответсвенно на веб сервер локальной сети никто не попадет ) И заветные строки в логах появились. # tail -f /var/log/squid/cache.log Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Authorization: Basic YWRtaW46YGtqZ2ZuZjcxNTE= Via: 1.1 gate.domain.local (squid/3.3.11) X-Forwarded-For: 10.180.202.47 Cache-Control: max-age=0 Connection: keep-alive Вернул правила в таком виде $cmd 95 fwd 127.0.0.1,3129 tcp from $goodip202 to any 80 out via $pif 00095 611 95687 Счетчик крутится ну и локальный веб сервер работает. Вот такой результат.Дальше будем режики прикручивать антивирус. Спасибо всем за помощь.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору