The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Настройка шлюза на FreeBSD 5.4 (freebsd install squid gateway)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >> 
Ключевые слова: freebsd, install, squid, gateway,  (найти похожие документы)

From: Shapovalov Victor <delphini@mail.ru.>
Newsgroups: email
Date: Mon, 14 Nov 2005 14:31:37 +0000 (UTC)
Subject: Настройка шлюза на FreeBSD 5.4




Задача

1) организовать доступ в Интернет пользователям локальной сети
2) Вести учёт трафика: всего + отдельно web (кто, сколько и где был в Интернете)
3) Сократить затраты на Интернет путём использования прокси сервера.

   # команды
   // коментарии
   * примечание


Часть 1 Начнём с установки FreeBSD

Вставим установочный диск в CD-ROM, в BIOS выставим загрузку с CDROM.
После загрузки выберем Express -> Kernel-Developer
Ответим положительно на вопрос является ли машина шлюзом в Интернет 
Ответим положительно на о запуске INETD
После установки извлечём диск из CDROM и перегрузимся.


Часть 2 Сборка ядра.
* в версии FreeBSD 6.x пересборка ядра не требуеться
После перезагрузки войдём в систему как  root
Изменим пароль root

        # passwd


Перейдём в каталог /usr/src/sys/i386/conf

        # cd  /usr/src/sys/i386/conf


Создадим копию конфигурационного файлы ядра

        # cp GENERIG GATEWAY


Отредактируем файл под наши нужды

        # ee GATEWAY


Добавляем следующие опции  в файл  GATEWAY

        
        //Firewall

        options IPFIREWALL     //firewall
        options IPFIREWALL_DEFAULT_TO_ACCEPT //allow everything by default

        //IPDIVERT система NAT

        options IPDIVERT //divert sockets


Собираем
        
        # config GATEWAY
        # cd  ../compile/GATEWAY
        # make depend all install
        # shutdown -r now


Устанавливаем временную зону во FreeBSD и точное время в BIOS
Редактируем файл /etc/rc.conf

# ee /etc/rc.conf

        defaultrouter="192.168.5.1" //Шлюз провайдера
        hostname="gate.plc.net" //Имя компьютера
        gateway_enable="YES" // Компьютер являеться шлюзов в интреннет
        ifconfig_rl0="inet 192.168.0.250 netmask 255.255.255.0" //Внутренний интерфейс
        ifconfig_rl1="inet 192.168.5.15 netmask 255.255.255.0" //внешний интерфейс
        firewall_enable="YES" //Включение firewall
        #firewall_type="OPEN" //Если не хотите его настраивать или не нет в этом необходимости можно сделать его открытым т.е. пропускающим все пакеты 
        firewall_script="/etc/firewall.sh" //Настройки firewall (либо firewall_type="OPEN")
        natd_enable="YES" // Включаем NAT
        natd_interface="rl1" // NAT вешаем на внешний интерфейс
        natd_flags="" 
        sendmail_enable="NONE" //отключаем sendmail
        usbd_enable="YES" //Включаем поддержку USB если нужно
        linux_enable="YES" //Включаем поддержку Linux если нужно
        trafd_enable="YES" // Включаем поддержку trafd
        trafd_ifaces="rl0 rl1" //Вешаем его на внутренний и внешний интерфейс
        trafd_flags="" 
        trafd_log="/usr/local/var/trafd.log" //логи trafd
        inetd_enable="YES" //Включаем суперсервер INETD


отключим sendmail
!!! Так лучше не делать!!! # chmod -x /etc/rc.d/sendmail!!! Так лучше не делать!!! 
!!! Правильно отключить sendmail: /etc/rc.conf sendmail_enable="NONE"
Создадим /etc/firewall.sh

        #ee /etc/firewall.sh


Содержание файла /etc/firewall.sh

        #!/bin/sh
        /sbin/ipfw -f flush
        /sbin/ipfw add 1000 pass all from any to any via lo0
        /sbin/ipfw add 1100 deny all from any to 127.0.0.0/8
        /sbin/ipfw add 1200 deny icmp from any to any frag
        /sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
        /sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin
        /sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
        /sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg 
        /sbin/ipfw add 4000 deny udp from any 137-139 to any via rl0
        /sbin/ipfw add 4100 deny udp from any to any 137-139 via rl0
        /sbin/ipfw add 5000 divert natd ip from 192.168.0.0:255.255.255.0 to any out xmit rl1
        /sbin/ipfw add 5100 divert natd ip from any to 192.168.5.15
        #/sbin/ipfw add 5200 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80 
        /sbin/ipfw add 5500 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80,21,443 //закрываем порты , чтобы 
                                                                                       //пользователи не ходили в обход прокси  
        /sbin/ipfw add 6000 allow all from any to any


Сделаем файл исполняемым

        # chmod 100 /etc/firewall.sh


Часть 4 Настройка FTP (отчеты будем забирать по FTP)

Редактируем /etc/inetd.conf

        # ee /etc/inetd.conf


Раскоментируем строчку  

        ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l


Создадим файл /etc/ftpchroot 

//Туда пишем пользователей чтобы они не вышли за пределы домашнего каталога

        # ee /etc/ftpchroot


Добавим в него пользователя stat
Добавим пользователя stat в систему

        #  adduser


Часть 5 Установка приложений
* при установке другим способом(пакеты, исходники) возможно другое расположение конфигурационных файлов
* например /usr/local/squid/etc/squid.conf вместо /usr/local/etc/squid/squid.conf
Далее ставим прокси сервер SQIOD

        # cd /usr/ports/www/squid
        # make
        # make install


Базовая настройка прокси сервера
Для этого отредактируем файл /usr/local/etc/squid/squid.conf
* сдесь приводяться изменения которые долны быть проведены в файле настроек, а не сам файл настроек squid.
#ee /usr/local/etc/squid/squid.conf

        http_port 192.168.0.250:8080
        cache_mem  64 MB
        cache_dir ufs  /usr/local/squid/cache  3072 16 256
        cache_access_log  /usr/local/squid/logs/access.log
        cache_log /usr/local/squid/logs/cache.log
        cache_store_log /usr/local/squid/logs/store.log
        //Access control
        //если acl выноситься в отдельный файл то необходимо указывать путь к файлу в кавычках.
      //Вид файла InternetUsers 
      //
      //192.168.0.0/24 //если мы хотим вывесли всю сеть
      //или так
      //192.168.0.1
      //192.68.0.5
      // если отдельные компьютеры.
      acl InternetUsers src "/usr/local/etc/squid/InternetUsers"
        //http access
        http_access allow InternetUsers
        http_access deny all
        //And finally deny all other acces to this proxy
        http_access allow InternetUsers
        http_access deny all


Добавим параметр 

        visible_hostname InternetServer // В имени не использовать пробелы. 


Далее поменяем страницу с ошибками

        //error_directory
        error_directory /usr/local/etc/squid/errors/Russian-1251


Теперь создадим файл с пользователями Интернет

        # ee /usr/local/etc/squid/InternetUsers


добавим в него нашу локальную сеть 192.168.0.0/24

Создадим swap директорию 

        # /usr/local/sbin/squid -z


Добавим SQUID в автозагрузку (в /etc/rc.conf)

        squid_enable=YES


Добавим записи о DNS серверах

# ee /etc/resolv.conf 

        nameserver 82.1.2.3 // DNS провайдера


Запустим squid
     
        # /usr/local/sbin/squid -D


После перезагрузки прокси сервер и шлюз должны работать.

Для получения данных о всех прошедших пакетах через ваш шлюз воспользуемся trafd

        # cd /usr/ports/net-mgmt/trafd
        # make
        # make install
        # 


Соберем генератов отчетов по работе SQUIDа

        # cd /usr/ports/www/sarg
        # make
        # make install


Настроим SARG 

        #ee /usr/local/etc/sarg/sarg.conf
        //Установим язык который будет использоваться в отчётах
        language Russian_windows1251
        //Лог по которому строиться отчёт
        access_log /usr/local/squid/logs/access.log
        //Заголовок отчётов
        title "Internet Statistic Server"
        //Директория где будут храниться отчёты
        output_dir /usr/ftp/html/squid-reports
        //Дата в формате день месяц год
        date_format e
        //Топ 200 сайтов
        topsites_num 200
        //Заменим IP адреса именами пользователей
        usertab /usr/local/etc/sarg/usertab
        //Установим кодировку отчёта
        charset Windows-1251


Настроим сохранения статистики trafd и генерации отчетов SARG
      //Crontab это планировщик заданий.
      //Параметры минута, час, число, месяц, день недели, выполняемый скрипт или команда.
      //Crontab -e начало редактирование планировщика для выполнения заданий с правами текущего пользователя.
        #crontab -e

        0 8,12,16,20 * * 1-7 /usr/local/bin/trafsave rl0 rl1
        10 9,17 * * 1-7 /usr/local/bin/sarg

Включаем ротацию логов squid первого числа каждого месяца
      //Crontab -u squid -e начало редактирование планировщика для выполнения заданий с правами пользователя squid.
        # crontab -u squid -e

        0 0 1 * * /usr/local/sbin/squid -k rotate

Просмотр информации собранной trafd и сохранённой trafsave существляеться программой traflog 

P.S. прошу не судить строго это первый опыт написание статьи


Список источников

1. Журнал информационных технологий CHIP Special 8/2004(17).

2. Дмитрий Новиков ( is@nnz.ru) , "Простая и эффективная система подсчёта трафика в ОС FreeBSD" 03/05/2005.

3. Перевод руководства по IPFW (IPFW firewall FreeBSD)

4. FreeBSD Handbook на русском языке

5. Игорь Чубин Журнал системный администратор &#8470;6(7) июль 2003 стр. 26-34

6. Сергей Яремчук Журнал системный администратор &#8470;7(8) июль 2003 стр. 44-47

7. Сергей Супрунов Журнал системный администратор &#8470;4(17) апрель 2004 стр. 10-14

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, glyph, 13:45, 14/11/2005 [ответить] [смотреть все]
    		• +/
    ПОйдет. Все по делу. Однако, подобных статей - уже больше тонны.
     
     
  • 2.2, hromach, 13:47, 14/11/2005 [^] [ответить] [смотреть все] [показать ветку]
    		• +/
    Ну тренируется человек в написании статей, может скоро выдаст нагора все то что ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, axbat, 15:39, 14/11/2005 [ответить] [смотреть все]  
    		• +/
    Автора поздравляю с пробой пера.

    Хочется уточнения - это - попытка организации прозрачного прокси?

     
  • 1.4, misha, 16:56, 14/11/2005 [ответить] [смотреть все]  
    		• +/
    сначала ставим сквид... из порта...
    запускаем его...
    а потом пишем резолв:)

    представляю какой дикий визг подимет сквид :)

     
  • 1.5, rouslan, 20:49, 14/11/2005 [ответить] [смотреть все]  
    		• +/
    Присоединяюсь к поздравлениям.

    Автору читать manЫ - источник знаний.
    Рекомендуемые особенно:
    rc.sendmail(8)
    Squid configuration manual

     
  • 1.8, coroner, 10:48, 15/11/2005 [ответить] [смотреть все]  
    		• +/
    Че накинулись на человека?
    былаб такая статейка лет эдак 5 назад-могу поспорить многие бы набили шишек гораздо меньше%)
    а автору очень советую дописать статейку с включением в нее таких вещей как подсчет трафика файрволом и настройки релея в почтовике тока из локалки%)(можно еще добавить конечно наложение патча на сквида для отрубания перебравших трафик,и прикрутку антивирей к сквиду и МТА)
     
  • 1.9, iasb, 10:52, 15/11/2005 [ответить] [смотреть все]  
    		• +/
    Нормальная статья.
    Несколькко замечаний (только основные):

    Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить НАТ ?

    Чем плох порт 3128 ?

    Чем плох набор правил rc.firewall ? + дополнения к стандартному набору

    Мы что делаем "открытый сквид" - почему рисуя IPFW правила мы не закрываем Сквидовский порт ? Это не касается списка пользователей. Порт надо закрывать.

    Какой вид файла internet-users ? Практически. Ну ламер я. Ну не знаю. Ну никакого шанса у меня нет разрыть в Инете именно тот вариант использования конфигурации, который принят автором. Ну не настроен у меня сервер - соответственно НЕТ НИЧЕГО !!! Доступа к инету нет. Все с нуля. Есть в руках только эта статья.

    Статья написана для НЕПРОФЕССИОНАЛА, правильно. Есть такая категория статей. Они нужны. Слов нет. Но для такой категории ДОЛЖНО быть описано ВСЕ и ДО КОНЦА. С полными примерами.



     
     
  • 2.12, Автор, 14:32, 15/11/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Q Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить ... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, coroner, 10:56, 15/11/2005 [ответить] [смотреть все]  
    		• +/
    ЗЫ:забыл написать что прозрачная прокся не есть гуд%)
    есть гуд прокся с тотальной авторизацией%)
     
  • 1.11, Автор, 14:20, 15/11/2005 [ответить] [смотреть все]  
    		• +/
    Учту ваши пожелания.
     
  • 1.13, Romik, 06:17, 24/11/2005 [ответить] [смотреть все]  
    		• +/
    на такое значение параметра
    visible_hostname Intrenet_Security_and_Acceleration_Server

    сквид во FreeBSD 5.4 отвечает примерно следующее:
    mimeLoadIcon: cannot parse internal URL

    Советую изменить параметр, например так:
    visible_hostname InetServer

     
     
  • 2.16, Автор, 10:26, 28/11/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Q на такое значение параметра visible_hostname Intrenet_Security_and_Accele... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Romik, 06:37, 24/11/2005 [ответить] [смотреть все]  
    		• +/
    и эти строки для ламера вроде меня непонятны
    #crontab -e
            0 8,12,16,20 * * 1-7 /usr/local/bin/trafsave rl0 rl1
            10 9,17 * * 1-7 /usr/local/bin/sarg
    Включаем ротацию логов squid первого числа каждого месяца
            # crontab -u squid -e
            0 0 1 * * /usr/local/sbin/squid -k rotate
     
     
  • 2.18, Автор, 11:03, 28/11/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Специально для вас я добавил в статью более подробное опиание интересующих вас м... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Romik, 07:10, 24/11/2005 [ответить] [смотреть все]  
    		• +/
    и еще
    Запустим squid
            # /usr/local/etc/rc.d/squid.sh start
    после установки сквида скрипт в каталоге не появился. Мне как ламеру хотелось бы знать его содержание...
     
     
  • 2.17, Автор, 11:00, 28/11/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Вообще скрипт создаёться при установки squid a из портов Если ты ставил squid и... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Romik, 12:24, 29/11/2005 [ответить] [смотреть все]  
    		• +/
    Автор, спасибо, со статьей разобрался.
    а можно еще чайнику объяснить, как через получившийся шлюз пропустить почтовик или он уже будет ходить?
     
     
  • 2.20, Автор, 09:23, 30/11/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Q Автор, спасибо, со статьей разобрался а можно еще чайнику объяснить, как чер... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, dream, 12:37, 02/12/2005 [ответить] [смотреть все]  
    		• +/
    Очень даже неплохая статья для новичков во фре. Автору благодарен!
     
  • 1.22, Автор, 13:17, 05/12/2005 [ответить] [смотреть все]  
    		• +/
    Если интересно могу дописать статью с учётом всех пожеланий, но на FreeBSD 6.O + средства графического управления (webmin) + генерация отчётов trad.
    Это надо?
    Или подобных статей - уже больше тонны.?
     
     
  • 2.28, Kardan, 16:12, 14/12/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Очень бы хотелось услышать по подробние про сбор статистики и отображение этого ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, zk, 15:11, 05/12/2005 [ответить] [смотреть все]  
    		• +/
    Ну графическое управление - явно лишне =)) А вот фсё остальное можно!
     
  • 1.24, VoVuX, 12:14, 07/12/2005 [ответить] [смотреть все]  
    		• +/
    С удовольствием голосую за продолжение статьи! Автору спасибо - от начинающих.
    Только прошу не "средства графического управления (webmin)". Про то как вёб мин поставить написано много. Прошу прикрутить отчёты для юзеров в HTML чтоб могли себя мониторить, кто сколько и куда, сами по мере надобности.
     
  • 1.25, Denkka, 15:22, 08/12/2005 [ответить] [смотреть все]  
    		• +/
    А каков формат файла SARG - "usertab"?
     
     
  • 2.26, Автор, 17:11, 08/12/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Q А каков формат файла SARG - usertab A ip имя которое вы хитите увидеть в от... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, Kardan, 16:07, 14/12/2005 [ответить] [смотреть все]  
    		• +/
    Интересная статья. (Особенно для меня ламера)Разбираюсь по техоньку... Было бы интересно послушать автора по поводу возможности прикрутить dhcp-сервер к выше изложеному...Чтобы раздовал адреса по мак адресу.
    И еще ...SARG: (language) Cannot open language file: /usr/local/etc/sarg/languages/       language English шо воно таке?
     
  • 1.29, Kardan, 16:14, 14/12/2005 [ответить] [смотреть все]  
    		• +/
    А дополнить стать думаю нужно...
     
  • 1.30, BDV, 16:21, 15/12/2005 [ответить] [смотреть все]  
    		• +/
    Хорошая статья. Вот бы в эту задачу включить настройка и защита DNS , SendMail , с AntiVir + AntiSpam и Apache c PHP , может уже есть такие статьи ?
     
     
  • 2.31, Автор, 17:11, 15/12/2005 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    dns я уже настраивал через webmin, поэтому писать не о чем, antivir antispam ant... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, BDV, 17:38, 15/12/2005 [^] [ответить] [смотреть все]  
    		• +/
    подскажите плз если к SendMail , web interface для почтовых клиентов clamav э... весь текст скрыт [показать]
     
     
  • 4.33, Автор, 09:25, 16/12/2005 [^] [ответить] [смотреть все]  
    		• +/
    Q подскажите плз если к SendMail , web interface для почтовых клиентов A д... весь текст скрыт [показать]
     
  • 1.34, BDV, 15:11, 22/12/2005 [ответить] [смотреть все]  
    		• +/
    После
    # cd /usr/ports/www/sarg
    # make

    ===> sarg-2.1 depends on shared library : gd.4 - not found
    Verifying install for gd.4 in /usr/ports/grafics/gd
    ===> gd-2.0.33_4,1 depends on shared library: jpeg.9 - not found
    ===> Verifying install for jpeg.9 in /usr/ports/grafics/jpeg
    ===> Building for jpeg-6b-3
    make cannot open Makefile.
    error code 2

    Подскажите плз в чем может быть проблема ?

    перед установкой делал /usr/local/bin/cvsup -g -L 2 /etc/cvsupfile
    с ports-all

            

     
  • 1.35, BDV, 15:22, 22/12/2005 [ответить] [смотреть все]  
    		• +/
    Makefile тут есть

    v 1.42 2005/11/15 06:49:31

     
  • 1.36, Автор, 02:52, 26/12/2005 [ответить] [смотреть все]  
    		• +/
    До новой версии статьи осталось 20 дней.
     
  • 1.37, cj, 10:54, 30/12/2005 [ответить] [смотреть все]  
    		• +/
    гы, прикольновая статья :-)
    но
    отключим sendmail
    # chmod -x /etc/rc.d/sendmail
    это жесть %-)
    навернавае правильнее нужно было написать
    sendmail_enable="NO"
    sendmail_submit_enable="NO"
     
  • 1.38, lcl, 14:17, 02/01/2006 [ответить] [смотреть все]  
    		• +/
    настроил все до этого момента
    "... После перезагрузки прокси сервер и шлюз должны работать. ..."
    тип файервола - OPEN
    в итоге, не работают e-mail клиенты и Миранда ICQ
    (что интересно, родной коиент ICQ 5 работает...)

    При установке аппаратного маршрутизатора было тоже самое. Может в нем дело (адсл-маршрутизатор - стоит на внешнем интерфейсе шлюза BSD)? Как проверить, идет ли e-mail траффик от шлюза к маршрутизатору адсл?

    Подробнее про адсл-маршрутизатор тут http://www.megaufa.ru/modules.php?name=Forums&file=viewtopic&t=382

     
     
  • 2.39, LcL, 16:50, 23/01/2006 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Не работало из-за того что не прописал IP DNS на клиентах Win ... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, SysOp, 17:21, 07/02/2006 [ответить] [смотреть все]  
    		• +/
    А как насчет принудительно пустить весь трафик 80 порта на прокси?
    ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
    и кой чего в сквиде поправить...
    подробности тут:
    http://www.opennet.ru/base/net/hardprox.txt.html
     
  • 1.41, dazhenechainik, 08:22, 23/03/2007 [ответить] [смотреть все]  
    		• +/
    Сегодня первый раз ставил FreeBSD (правда версия 6.2 а не 5.4) до этого с opensource вообще не сталкивался (то есть даже не чайник и даже не ламер :)) Трабла следующая:
    при # config GATEWAY ругается на options IPFIREWALL_DEFAULT_TO_ACCEPT , говорит, не знаю, что это такое :(
    Подскажите, что может быть, или пошлите меня... (не, не туда :))), на раздел манов об этом или какую-то конкретную статью об этом моменте.
    Сорри за безграмотность и тупой вопрос.
     
     
  • 2.42, Lisz, 17:27, 26/03/2007 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    прочитайте плз ещё раз Часть 2. Сборка ядра...

    в FreeBSD по дефолту почему-то файрвол выключен в ядре. так что ядро придётся пересобрать

     
     
  • 3.43, Сахаров Сергей Александрович, 22:29, 09/10/2007 [^] [ответить] [смотреть все]  
    		• +/
    Потому и выключен, что в 6.2 сделан отдельным модулем. Не надо ядро пересобирать, достаточно прописать в /etc/rc.conf:
    ipfw_enable=yes
    и ядро его само замечательно подцепит.
    Запуск файрволла:
    /etc/rc.d/ipfw start
    Ручная загрузка модуля - без запуска.
    kldload ipfw
     
  • 1.44, copycat, 13:42, 27/02/2008 [ответить] [смотреть все]  
    		• +/
    Просто нет слов одни эмоции,  что надо хавать что бы все это понимать ..... ничего не понял
     
  • 1.45, Максим Гришков, 15:59, 30/03/2008 [ответить] [смотреть все]  
    		• +/
    Вот только такое правило работать не будет если запускать ipfw модулем:
    ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
     
  • 1.46, yurchello, 09:48, 17/12/2008 [ответить] [смотреть все]  
    		• +/
    у меня дома свой сервак...
    nfe0 - сетевой интерфейс смотрит на провайдера и по DHCP получает адресс.
    далее поднимаю PPPoE (tun0)
    а со второго интерфейса rl0 раздаю интернет пользователям в локальной сети 192.168.0.2 и так далее...
    установил squid...
    кодгда в браузере прописываешь работать через проксю 192.168.0.1 порт 3128 все работает отлично и кешируется и так далее... а вот без жесткой привязки браузера... инет есть, но без прокси....
    при этом!!! /etc/rc.conf
    firewall_enable="YES"
    firewall_type="OPEN"
    к сожалению еще не доразобрался с фаерволом... кто то может  подсказать, что нужно сделать, что бы завернуть пакеты из локальной сети на сквид и как???
    по примеру, приведенного тут фаервола - не получается что то... и еще... моя сетевая, смотрящая на провайдер получает адресс по DHCP, что же тогда должно быть в строке
    /sbin/ipfw add 5100 divert natd ip from any to 192.168.5.15
    ???? объясните пожалуйста...
     
     
  • 2.48, miha, 19:03, 26/05/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    вот правило, которое посылает всех юзверей на squid
    add 5500 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80,21,443
    я эту строку прописал в
    # vi /usr/local/etc/firewall.conf
    и всех начало гонять на squid
    В статье зачем то это в скрипт загоняют, думаю, потому что старый freebsd рассматривается, у меня 8 версия.
    В принципе только ради этой строки большое спасибо автору.
     
  • 1.47, Игорь, 17:13, 09/03/2010 [ответить] [смотреть все]  
    		• +/
    А что и где нужно поменять, если у меня соединение с интернет происходит по через протокол PPPoE ? Обычный шлюз я установил (достаточно было указать в rc.conf строчку gateway_enable=\"YES\", и прописать DNS провайдера). У всех интернет есть, но я хочу поставить прокси как тут описано. Фаервол встал отлично, все правила прописал. Сквид настроил как тут описано. Но инета теперь ни у кого нет. Видимо надо еще дополнительно писать про интерфейс tun0 (через которое и идет соединение с интернет) но как не знаю... Подскажите, пожалуйста!
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



    ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Оформить подписку на год


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList