forum.opennet.ru - "Прозрачный прокси, FreeBSD 5.2, ADSL" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Прозрачный прокси, FreeBSD 5.2, ADSL"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Прозрачный прокси, FreeBSD 5.2, ADSL"
Сообщение от NetSpyder (ok) on 15-Ноя-06, 18:32
Может вопрос не по адресу, но всетаки... Есть машина, которая одним концом смотрит на ADSL-модем, а другим в локальную сеть. Установлен SQUID, при настройке ослика в ручную все работает, интернет есть. При попытке настроить "прозрачный прокси", ни чего не получается. Все необходимые опции в ядро добавлены, настройка NAT и IPFW ни чего не дает. Однозначно где-то ошибся, но где? Смущает отсутствие IPFIREWALL_FORWARD, FreeBSD 5.2. Очень надеюсь на помощь. Я в этом деле еще начинающий :-)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Прозрачный прокси, FreeBSD 5.2, ADSL, adil_18, 02:05 , 20-Ноя-06, (1)
Прозрачный прокси, FreeBSD 5.2, ADSL, NetSpyder, 09:41 , 20-Ноя-06, (2)

Прозрачный прокси, FreeBSD 5.2, ADSL, DeadLoco, 11:43 , 20-Ноя-06, (3)

Прозрачный прокси, FreeBSD 5.2, ADSL, NetSpyder, 11:50 , 20-Ноя-06, (4)

Прозрачный прокси, FreeBSD 5.2, ADSL, DeadLoco, 12:35 , 20-Ноя-06, (5)

Прозрачный прокси, FreeBSD 5.2, ADSL, NetSpyder, 12:45 , 20-Ноя-06, (6)

Прозрачный прокси, FreeBSD 5.2, ADSL, DeadLoco, 00:37 , 21-Ноя-06, (7)

Прозрачный прокси, FreeBSD 5.2, ADSL, NetSpyder, 12:12 , 21-Ноя-06, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от adil_18 (??) on 20-Ноя-06, 02:05

Oslik xo4et pryamoy dostup k opredelennim portam.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от NetSpyder (ok) on 20-Ноя-06, 09:41

>Может вопрос не по адресу, но всетаки...
>Есть машина, которая одним концом смотрит на ADSL-модем, а другим в локальную
>сеть.
>Установлен SQUID, при настройке ослика в ручную все работает, интернет есть. При
>попытке настроить "прозрачный прокси", ни чего не получается.
>Все необходимые опции в ядро добавлены, настройка NAT и IPFW ни чего
>не дает. Однозначно где-то ошибся, но где?
>Смущает отсутствие IPFIREWALL_FORWARD, FreeBSD 5.2.
>Очень надеюсь на помощь. Я в этом деле еще начинающий :-)
Все заработало! Засада была как мне кажется в правилах IPFW, был не правильно настроен DIVERT, а с fwd проблем не возникло.
********** ipfw.rules *************
add 50 divert natd all from any to any via rl0
add 100 divert natd all from 192.168.0.0/24 to any out recv rl1 xmit rl0
add 200 divert natd all from not 192.168.0.0/24 to 192.168.1.35 recv rl0
add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80
add 6500 allow all from any to any
не пойму только, почему ipfw list выдает последнюю строку дважды, только под разными номерами?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от DeadLoco (ok) on 20-Ноя-06, 11:43

>не пойму только, почему ipfw list выдает последнюю строку дважды, только под
>разными номерами?
Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило № 65535. Поэтому  вы имеете дело не с двумя дублями одного правила, а с двумя одинаковыми правилами - одним своим, и одним - автоматическим.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от NetSpyder (ok) on 20-Ноя-06, 11:50

>>не пойму только, почему ipfw list выдает последнюю строку дважды, только под
>>разными номерами?
>
>Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В
>зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило №
>65535. Поэтому  вы имеете дело не с двумя дублями одного
>правила, а с двумя одинаковыми правилами - одним своим, и одним
>- автоматическим.
Т.е. я могу сделать его в целом закрытым, но добавить опр. правила для разрешения доступа? Я так понимаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от DeadLoco (ok) on 20-Ноя-06, 12:35

>Т.е. я могу сделать его в целом закрытым, но добавить опр. правила
>для разрешения доступа? Я так понимаю.
Совершенно верно. Используются две политики фильтрования. Первая:
      все, что не запрещено явно - разрешено по умолчанию.
И наоборот, вторая:
      все, что не разрешено явно - запрещено по умолчанию.
Более осторожной политикой является вторая - открыто лишь то, что открыл админ. Хотел он этого или нет - отдельный разговор. Однако в некоторых случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения по умолчанию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от NetSpyder (ok) on 20-Ноя-06, 12:45

>Совершенно верно. Используются две политики фильтрования. Первая:
>      все, что не запрещено явно -
>разрешено по умолчанию.
>И наоборот, вторая:
>      все, что не разрешено явно -
>запрещено по умолчанию.
>
>Более осторожной политикой является вторая - открыто лишь то, что открыл админ.
>Хотел он этого или нет - отдельный разговор. Однако в некоторых
>случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения
>по умолчанию.
Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более половины компьютеров в сети должны иметь доступ в интернет. Может быть проще явно запретить, а остальным разрешить по умолчанию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от DeadLoco (ok) on 21-Ноя-06, 00:37

>Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более
>половины компьютеров в сети должны иметь доступ в интернет. Может быть
>проще явно запретить, а остальным разрешить по умолчанию?
Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт 3128 с запросами и получать оттуда ответы, а затем в сквиде одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц. Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам - блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь - тем более. Запрещающее правило по умолчанию - это последний шанс не пустить вредителя. Лучше, чтобы он был.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Прозрачный прокси, FreeBSD 5.2, ADSL"

Сообщение от NetSpyder (??) on 21-Ноя-06, 12:12

>Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт
>3128 с запросами и получать оттуда ответы, а затем в сквиде
>одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп
>средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц.
>Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам
>- блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь -
>тем более. Запрещающее правило по умолчанию - это последний шанс не
>пустить вредителя. Лучше, чтобы он был.
Спасибо за ценные, для меня - как начинающего, советы. Я обязательно ими воспользуюсь!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прозрачный прокси, FreeBSD 5.2, ADSL"
Сообщение от adil_18 (??) on 20-Ноя-06, 02:05
Oslik xo4et pryamoy dostup k opredelennim portam.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Прозрачный прокси, FreeBSD 5.2, ADSL"
Сообщение от NetSpyder (ok) on 20-Ноя-06, 09:41
>Может вопрос не по адресу, но всетаки... >Есть машина, которая одним концом смотрит на ADSL-модем, а другим в локальную >сеть. >Установлен SQUID, при настройке ослика в ручную все работает, интернет есть. При >попытке настроить "прозрачный прокси", ни чего не получается. >Все необходимые опции в ядро добавлены, настройка NAT и IPFW ни чего >не дает. Однозначно где-то ошибся, но где? >Смущает отсутствие IPFIREWALL_FORWARD, FreeBSD 5.2. >Очень надеюсь на помощь. Я в этом деле еще начинающий :-) Все заработало! Засада была как мне кажется в правилах IPFW, был не правильно настроен DIVERT, а с fwd проблем не возникло. ******** ipfw.rules *********** add 50 divert natd all from any to any via rl0 add 100 divert natd all from 192.168.0.0/24 to any out recv rl1 xmit rl0 add 200 divert natd all from not 192.168.0.0/24 to 192.168.1.35 recv rl0 add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 add 6500 allow all from any to any не пойму только, почему ipfw list выдает последнюю строку дважды, только под разными номерами?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от DeadLoco (ok) on 20-Ноя-06, 11:43
	>не пойму только, почему ipfw list выдает последнюю строку дважды, только под >разными номерами? Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило № 65535. Поэтому вы имеете дело не с двумя дублями одного правила, а с двумя одинаковыми правилами - одним своим, и одним - автоматическим.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от NetSpyder (ok) on 20-Ноя-06, 11:50
	>>не пойму только, почему ipfw list выдает последнюю строку дважды, только под >>разными номерами? > >Потому что файрволл IPFW по умолчанию бывает либо открытый, либо закрытый. В >зависимости от типа автоматически добавляется неизменяемое и неудаляемое последнее правило № >65535. Поэтому вы имеете дело не с двумя дублями одного >правила, а с двумя одинаковыми правилами - одним своим, и одним >- автоматическим. Т.е. я могу сделать его в целом закрытым, но добавить опр. правила для разрешения доступа? Я так понимаю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от DeadLoco (ok) on 20-Ноя-06, 12:35
	>Т.е. я могу сделать его в целом закрытым, но добавить опр. правила >для разрешения доступа? Я так понимаю. Совершенно верно. Используются две политики фильтрования. Первая: все, что не запрещено явно - разрешено по умолчанию. И наоборот, вторая: все, что не разрешено явно - запрещено по умолчанию. Более осторожной политикой является вторая - открыто лишь то, что открыл админ. Хотел он этого или нет - отдельный разговор. Однако в некоторых случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения по умолчанию.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от NetSpyder (ok) on 20-Ноя-06, 12:45
	>Совершенно верно. Используются две политики фильтрования. Первая: > все, что не запрещено явно - >разрешено по умолчанию. >И наоборот, вторая: > все, что не разрешено явно - >запрещено по умолчанию. > >Более осторожной политикой является вторая - открыто лишь то, что открыл админ. >Хотел он этого или нет - отдельный разговор. Однако в некоторых >случаях (см. options BRIDGE) IPFW должен быть переведен в режим разрешения >по умолчанию. Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более половины компьютеров в сети должны иметь доступ в интернет. Может быть проще явно запретить, а остальным разрешить по умолчанию?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от DeadLoco (ok) on 21-Ноя-06, 00:37
	>Полагаю, для меня предпочтительней второй вариант, хотя с другой стороны - более >половины компьютеров в сети должны иметь доступ в интернет. Может быть >проще явно запретить, а остальным разрешить по умолчанию? Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт 3128 с запросами и получать оттуда ответы, а затем в сквиде одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц. Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам - блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь - тем более. Запрещающее правило по умолчанию - это последний шанс не пустить вредителя. Лучше, чтобы он был.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Прозрачный прокси, FreeBSD 5.2, ADSL"
	Сообщение от NetSpyder (??) on 21-Ноя-06, 12:12
	>Нужно в IPFW разрешить всей локальной сетке обращаться к шлюзу на порт >3128 с запросами и получать оттуда ответы, а затем в сквиде >одним ацлем прописать всех, кто будет проксей обслуживаться. Остальным давать отлуп >средствами сквида. Аналогично разрешить обращения к установленным сервисам - 20,21,22,25,53,80,110 етц. >Запросы к необслуживаемым портам блокировать. Запросы снаружи к чисто внутренним сервисам >- блокировать. Гейтование изнутри наружу - выборочно. Форвардинг снаружи вовнутрь - >тем более. Запрещающее правило по умолчанию - это последний шанс не >пустить вредителя. Лучше, чтобы он был. Спасибо за ценные, для меня - как начинающего, советы. Я обязательно ими воспользуюсь!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]