Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ключевые слова: freebsd, route, ipfw, nat, squid, proxy,  (найти похожие документы)

From: Alchemist <lipovetskiy@yandex.ru.>
Newsgroups: email
Date: Mon, 24 Jul 2008 14:31:37 +0000 (UTC)
Subject: Интернет шлюз на FreeBSD


Построение шлюза в глобальную сеть на FreeBSD - это один из самых частых
случаев использования этой системы. Основные плюсы данного решения это:
стабильность, масштабируемость, устойчивость к высоким нагрузкам и
естественно бесплатность всего используемого ПО. В этой заметке я опишу
свой опыт развертывания Интернет-шлюза на FreeBSD 7.0 RELEASE amd64 с
использованием межсетевого экрана IPFW, демона трансляции сетевых
адресов natd и прокси-сервер squid.

Начнем с установки IPFW. Для этого нужно пересобрать ядро с поддержкой
нескольких функций. Заходим в директорию соответствующую архитектуре нашего
процессора и делаем копию дефолтного ядра в ROUTER:

        # cd /usr/src/sys/amd64/conf
        # cp GENERIC ROUTER


Редактируем наше новое ядро и добавляем новые функции:

        cpu             HAMMER
        ident           ROUTER

        makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols

        options         IPFIREWALL                   # собственно файрволл
        options         IPFIREWALL_VERBOSE           # логгинг пакетов, если в правиле написано log
        options         IPFIREWALL_VERBOSE_LIMIT=100 # ограничение логов (повторяющихся)
        options         IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтное правило - разрешающее
        options         IPDIVERT                     # необходимо для NAT
        options         IPFIREWALL_FORWARD           # перенаправление пакетов
        options         DUMMYNET                     # ограничение скорости


Собираем и устанавливаем ядро:

        # cd /usr/src
        # make buildkernel KERNCONF=ROUTER
        # make installkernel KERNCONF=ROUTER


Добавляем в rc.conf строки:

        firewall_enable="YES"
        firewall_type="open"
        firewall_logging="YES"
        natd_enable="YES"
        natd_interface="rl0";


Перезагружаемся. Если все нормально, то в итоге у нас должен получиться
открытый фаервол с NAT. Пока оставим как есть.

Следущим этапом у нас будет установка прокси-сервера.

        # cd /usr/ports/www/squid
        # make install clean
        # rehash


Дальше редактируем конфигурационный файл сквида. У меня сейчас небольшая
офисная сеть без домена, поэтому с авторизацией не занимался - все
ограничения идут по ip:

/usr/local/etc/squid/squid.conf

        # порт который слушаем
        http_port 3128

        # порт прозрачного прокси
        http_port 3129 transparent

        # список слов, которые будучи обнаруженными в URL
        # вызывают обработку без кэширования
        hierarchy_stoplist cgi-bin ?

        # список ACL которые вызывают несовпадение с кэшем,
        # и, запрос с ответом кэшироваться не будут
        acl QUERY urlpath_regex cgi-bin \?

        # собственно - правило что не кэшируем
        no_cache deny QUERY

        # сколько отдаём ему памяти
        cache_mem 256 MB

        # Директория для кэша, числа - размер кэша в Mb,
        # число директорий первого уровня, число директорий второго
        # уровня в каждой директории первого.
        cache_dir ufs /usr/local/squid/cache 50000 64 512

        # лог доступа - первый параметр путь, второй - формат
        # форматы описаны в дефолтовом файле.
        access_log /var/log/squid/access.log

        # лог активности менеджера хранилища. Показывает, какие
        # объекты были сохранениы/удалены из кэша и как долго.
        # мне он не нужен, а места занимает прилично.
        cache_store_log none

        # файл hosts, проверяемый при запуске. Из него берётся
        # доменное имя и добавляется к неполным адресам (которые
        # не содержат ни одной точки в имени)
        hosts_file /etc/hosts

        # директория где хранятся HTML c текстами ошибок
        error_directory /usr/local/etc/squid/errors/Russian-1251
        cache_log /var/log/squid/cache.log

        #debug_options ALL,5
        pid_filename /var/log/squid/squid.pid

        # порты на которе можно ходить пользователям
        acl     safe_ports              port    80      # http
        acl     safe_ports              port    21      # ftp
        acl     safe_ports              port    443     # ssl
        acl     icq_ports               port    5190    # ICQ

        # пользователи у которых просто интернет - с ограничениями
        acl inet_users src "/usr/local/etc/squid/inet_users"

        # пользователи с полными парвами на доступ в инет
        acl inet_full src "/usr/local/etc/squid/inet_full"

        # Описываем все сети все IP
        acl all src 0.0.0.0/0.0.0.0

        # описываем локалхост
        acl localhost src 127.0.0.1/255.255.255.255

        # запрещённые в URL выражения (для всего УРЛа)
        acl deny_url url_regex "/usr/local/etc/squid/deny_url"

        # запрещённые доменные имена
        acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains"

        # пользователи с ограниченным доступом в интернет, только
        # определённый набор ресурсов и всё.
        acl inet_restrict src "/usr/local/etc/squid/inet_restrict"

        # список сайтов для тех у кого их определённый набор
        acl domains_for_restrict dstdomain "/usr/local/etc/squid/domains_for_restrict"

        # пользователи ICQ
        acl inet_icq src "/usr/local/etc/squid/inet_icq"

        # Разрешаем доступ ко всему группе inet_full
        http_access allow inet_full

        # Зарубаем запрещённые куски url, рубим рекламу если надо
        #http_access deny deny_url

        # Разрешаем асечный порт тем у кого есть аська
        http_access allow inet_icq icq_ports

        # зарубаем запрещённые домены
        http_access deny deny_domains

        # зарубаем все порты проме safe_ports
        http_access deny !safe_ports

        # разрешаем инет обычным пользователям
        http_access allow inet_users

        # разрешаем инет ограниченным пользователям на разрешённые сайты
        http_access allow inet_restrict domains_for_restrict

        # блокируем всё лишнее
        http_access deny all


Вкратце по конфигу: слушаем как на стандартном порту, так и прикрутили
прозрачный прокси; принимаем запросы http, https ftp, icq; распределение
доступа производится на основе правил и файлов, в которых прописываются
ip нужных компьютеров.

Дальше создаем и заполняем содержимым все файлы, указанные в этом
конфиге, делаем пользователя squid владельцем папки с кэшем, после чего
создаем кэш и запускаем сквид:

        # chown -R squid:wheel /usr/local/squid
        # squid -z
        # /usr/local/etc/rc.d/squid start
        # ps -waux | grep squid
        squid       965  0,0  0,1  7688  2076  ??  Is   21:37     0:00,00 /usr/local/sbin/squid -D
        squid       967  0,0  1,0 28168 20008  ??  S    21:37     0:06,00 (squid) -D (squid)
        squid      1008  0,0  0,0  2532   844  ??  Is   21:37     0:00,00 (unlinkd) (unlinkd)
        root       7943  0,0  0,1  6928  1428  p0  S+   16:02     0:00,00 grep squid


Теперь опять вернемся к фаерволу. Он у нас есть, открытый - но толку-то от
такого фаервола ? =) Создаем свой скрипт с правилами. У меня он выглядит
так:


#!/bin/sh
# при работе по SSH, чтобы перечитать конфиг набирать nohup sh /etc/rules

# Прежде, чем мы начнем, сбросим список
ipfw -q -f flush

# Установим префикс команды для набора правил
cmd="ipfw -q add"
skip="skipto 400"
wanip="111.111.111.111" # внешний IP
lannet="192.168.0.0/24" # внутренняя сеть
eif="rl0" # внешний интерфейс

# Нет запретов внутри интерфейса смотрящего в локальную сеть
$cmd 010 allow all from any to any via re0

# Нет ограничений на Loopback интерфейсе
$cmd 020 allow all from any to any via lo0

# Рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
$cmd 030 deny ip from any to 127.0.0.0/8
$cmd 040 deny ip from 127.0.0.0/8 to any

# отправляем всех на прозрачный squid
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif

# Входящий NAT
$cmd 060 divert natd ip from any to any in via $eif

# Позволяем пакету проходить, если предыдущий был добавлен в
# "динамическую" таблицу правил с разрешением состояния keep-state
$cmd 070 check-state

############## Outgoing ################

# Исходящий PING
$cmd 100 $skip icmp from any to any keep-state

# Исходящий NTP
$cmd 105 $skip udp from any to any 123 out via $eif keep-state

# Разрешаем DNS
$cmd 110 $skip udp from any to any 53 out via $eif keep-state
$cmd 111 $skip tcp from any to any 53 out via $eif setup keep-state

# Выпускаем пользователей в обход сквида
$cmd 140 $skip all from $lannet to any 4899 out via $eif setup keep-state
$cmd 150 $skip all from $lannet to any 3389 out via $eif setup keep-state
$cmd 160 $skip all from $lannet to any 25 out via $eif setup keep-state
$cmd 170 $skip all from $lannet to any 110 out via $eif setup keep-state

# Разрешаем полный выход с сервака
$cmd 190 $skip all from $wanip to any out via $eif setup keep-state

############# Incoming ################

# Запрещаем весь входящий трафик из зарезервированных адресных пространств
$cmd 200 deny all from 192.168.0.0/16  to any in via $eif  #RFC 1918 private IP
$cmd 201 deny all from 172.16.0.0/12   to any in via $eif  #RFC 1918 private IP
$cmd 202 deny all from 10.0.0.0/8      to any in via $eif  #RFC 1918 private IP
$cmd 203 deny all from 127.0.0.0/8     to any in via $eif  #loopback
$cmd 204 deny all from 0.0.0.0/8       to any in via $eif  #loopback
$cmd 205 deny all from 169.254.0.0/16  to any in via $eif  #DHCP auto-config
$cmd 206 deny all from 192.0.2.0/24    to any in via $eif  #reserved for docs
$cmd 207 deny all from 204.152.64.0/23 to any in via $eif  #Sun cluster
$cmd 208 deny all from 224.0.0.0/3     to any in via $eif  #Class D & E multicast

# Запрещаем ident
$cmd 215 deny tcp from any to any 113 in via $eif

# Запрещаем весь сервис Netbios. 137=имя, 138=дейтаграмма, 139=сессия
$cmd 220 deny tcp from any to any 137 in via $eif
$cmd 221 deny tcp from any to any 138 in via $eif
$cmd 222 deny tcp from any to any 139 in via $eif
$cmd 223 deny tcp from any to any 81  in via $eif

# Входящий пинг, несколько типов
$cmd 300 allow icmp from any to $wanip in via $eif icmptypes 0,8,11 limit src-addr 2

# Разрешаем входящую www функцию, если есть вэб сервер
$cmd 310 allow tcp from any to $wanip 80 in via $eif setup limit src-addr 2

# Разрешаем входящие безопасные SSH, номер порта лучше сменить
$cmd 320 allow tcp from any to $wanip 22 in via $eif setup limit src-addr 2

# Разрешаем входящую почту SMTP, если есть почтовый сервер
$cmd 330 allow tcp from any to $wanip 25 in via $eif setup limit src-addr 2

# Разрешаем входящую почту POP3, если есть почтовый сервер
$cmd 340 allow tcp from any to $wanip 110 in via $eif setup limit src-addr 2

# Разрешаем RAdmin, номер порта лучше сменить
$cmd 350 allow tcp from any to $wanip 4899 in via $eif setup limit src-addr 2

# Разрешаем уже установленные соединения
$cmd 360 allow all from any to any established

########### Final ###############

# рубим все, что не ушло в скип
$cmd 399 deny log all from any to any

# Исходящий NAT
$cmd 400 divert natd ip from any to any out via $eif

# Выпускаем пакеты из скипа
$cmd 410 allow all from any to any

# Режем все лишнее с занесением в лог
$cmd 999 deny log all from any to any




Меняем в rc.conf строчку firewall_type="open" на
firewall_script="/etc/rules" и применяем скрипт с правилами:

        # nohup sh /etc/rules


Все тщательно проверяем и приходим к выводу, что у нас не работает RAdmin =)

Прокинуть порты на внутренние машины можно стандартными средствами natd,
но лишние проблемы нам не нужны и поэтому мы пойдем другим путем - поставим
из портов rinetd, отвечающий за проброс портов и требующий тривиальной
настройки:

        # cd /usr/ports/net/rinetd
        # make install clean
        # rehash


Правим его конфиг, у меня примерно так выглядит:

/usr/local/etc/rinetd.conf

        213.221.56.98 4899 192.168.0.100 4899


Добавляем его в rc.conf и стартуем:

        # echo 'rinetd_enable'="YES" > > rc.conf
        # /usr/local/etc/rc.d/rinetd start


PS: для создания этой статьи активно использовались материалы с сайта
http://www.lissyara.su, за что ему огромная благодарность!

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]   1.1, Pahanivo, 13:21, 29/07/2008 [ответить] [смотреть все] +/– Прокинуть порты на внутренние машины можно стандартными средствами natd, но лишние проблемы нам не нужны и поэтому мы пойдем другим путем ... Стрынные у вас пути, товарисщ. :)     2.2, JIexa, 17:27, 30/07/2008 [^] [ответить] [смотреть все] [показать ветку] +/– Могли бы более обоснованно ответить а не выпендриваться ... весь текст скрыт [показать] [показать ветку]     3.3, Pahanivo, 19:09, 31/07/2008 [^] [ответить] [смотреть все]   +/– Вообщето это стандартно делается natd sbin natd -n rl0 -f etc natd cfg - стар... весь текст скрыт [показать]     4.5, avsess, 12:41, 01/08/2008 [^] [ответить] [смотреть все]   +/– А как через natd пробросить порт, если хожу через чужую сетку и надо открыть тол... весь текст скрыт [показать]     5.6, Pahanivo, 16:09, 01/08/2008 [^] [ответить] [смотреть все]   +/– Ппц, я в шоке С такой уверренонсть пароть такую чушь Натом natd пробрасываем п... весь текст скрыт [показать]   5.7, Pahanivo, 16:10, 01/08/2008 [^] [ответить] [смотреть все]   +/– Нашел из-за чего с бубном плясать Кто тебе ваабще бубен доверил ... весь текст скрыт [показать]   5.12, гыук, 01:38, 09/08/2008 [^] [ответить] [смотреть все]   +/– Опухли В айпитаблесе можно как рулесы для натинга нарисовать так и файрвольные п... весь текст скрыт [показать]   2.8, Alchemist, 17:45, 04/08/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Способов решения одной задачи может быть много Главное - результат, также важно... весь текст скрыт [показать] [показать ветку]     ....нить скрыта, показать (7) 1.4, Сергей, 11:52, 01/08/2008 [ответить] [смотреть все]   +/– Хотелось бы узнать мотивы автора, по которым он использует файрволл, открытый по умолчанию...   Я бы понял, если бы использовался прозрачный прокси... А применительно к 7-ке, можно и другой планировщик в ядре использовать и поддержку nat прямо в IPFW внедрить options         IPFIREWALL_NAT        2.9, Alchemist, 17:49, 04/08/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Фаер был открыт по умолчанию т к ядро я собирал и все настраивал по ssh В скри... весь текст скрыт [показать] [показать ветку]     3.10, Сергей, 16:16, 06/08/2008 [^] [ответить] [смотреть все]   +/– Проблемы можно забыть, закоментировать, по поводу ssh, ты же в статье пишеш... весь текст скрыт [показать]     4.11, Alchemist, 00:29, 09/08/2008 [^] [ответить] [смотреть все]   +/– Не соглашусь Из мана по ipfw code NAT, REDIRECT AND LSNAT First redirec... весь текст скрыт [показать]   1.13, Peter, 16:39, 10/08/2008 [ответить] [смотреть все]   +/– нередко бывает нужно трафик учитывать с детальностями доступом по времени и т. д. это на винду поставил трафик инспектор и всё а тут думать иногда приходится     2.14, Alchemist, 18:12, 10/08/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Я трафик смотрю с виндовой машины через IAM - там все детально Под никс тоже ть... весь текст скрыт [показать] [показать ветку]   2.16, Pavleg, 13:49, 13/11/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Трафик можно дивертить на ipacctd... весь текст скрыт [показать] [показать ветку]     3.17, Alchemist, 16:06, 13/11/2008 [^] [ответить] [смотреть все]   +/– Можно еще можно использовать ng_ipacctd, trafd, netams, netflow вариантов ... весь текст скрыт [показать]   1.15, Morfius, 09:40, 13/10/2008 [ответить] [смотреть все]   +/– ну вы блин даете.... нормальная статья, каждый делает так как ему удобно, ине надо изобретать велосипед.... накинулись понимаешь на автора... сами то давно такими были     2.18, Alchemist, 16:07, 13/11/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Да никто особо и не накидывался ... весь текст скрыт [показать] [показать ветку]   1.19, cahvay, 12:19, 21/11/2008 [ответить] [смотреть все]   +/– > makeoptions     DEBUG=-g                # Build kernel with gdb(1) debug symbols а это зачем для "интернет шлюза на freebsd"?     2.20, Alchemist, 12:33, 21/11/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Эта опция по умолчанию содержится в дефолтном конфиге ядра и суть ее в следующем... весь текст скрыт [показать] [показать ветку]     3.21, cahvay, 23:17, 21/11/2008 [^] [ответить] [смотреть все]   +/– в общем, ушел от ответа ц жванецкий... весь текст скрыт [показать]   1.22, eXoit, 17:38, 14/12/2008 [ответить] [смотреть все]   +/– Привет, спасибо за статью! Но столкнулся с проблемой: не могу пропинговать внешние адреса с локальных машин. Инет на них работает. Думаю что дело в ipfw, но не могу понять где.     2.23, eXoit, 22:38, 14/12/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Все просто gateway_enable YES в rc conf - глупо было про это забыть... весь текст скрыт [показать] [показать ветку]   1.24, Sliver, 12:31, 15/01/2009 [ответить] [смотреть все]   +/– Делаю все по статье Редактирую новое ядро ROUTER как написано При сборке ядра ... весь текст скрыт [показать]     2.25, Alchemist, 14:45, 15/01/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– Я все делал на 7 0 RELEASE RC никогда не использовал и не собираюсь этого делат... весь текст скрыт [показать] [показать ветку]   2.26, cahvay, 21:53, 17/01/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– что-то я примерно с 4-й версии не помню опции _VER _VERBOSE - таки да у автора... весь текст скрыт [показать] [показать ветку]     3.27, Sliver, 16:35, 22/01/2009 [^] [ответить] [смотреть все]   +/– Спасибо за помощь Проблема решена после установки FreeBSD 7 1 RELEASE amd64 и с... весь текст скрыт [показать]   1.28, Tavork, 22:22, 18/03/2009 [ответить] [смотреть все]   +/– Спасибо за статью, она мне очень помогла. Но у меня остался вопрос с почтовыми программами, Bat и Outlook никак не хотят работать на нескольких компах. Надо ли для них пробрасовать 110 и 25 порт и как это сделать для нескольких компов? redirect_port tcp 10.73.200.152:110 110 redirect_port tcp 10.73.200.152:25 25 Это на один комп, а как остальные?     2.29, mak, 16:28, 21/03/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– а зачем тебе пробрасывать порты на все компы внутри сети то что ты написал имел... весь текст скрыт [показать] [показать ветку]     3.30, Tavork, 11:14, 25/03/2009 [^] [ответить] [смотреть все]   +/– Спасибо за ответ, мне именно нужно разрешить пользователям своей сети получать ... весь текст скрыт [показать]     4.31, Alchemist, 13:01, 26/03/2009 [^] [ответить] [смотреть все]   +/– Для этого в конфиге имеется cmd 160 skip all from lannet to any 25 out via ... весь текст скрыт [показать]     5.32, Tavork, 10:14, 27/03/2009 [^] [ответить] [смотреть все]   +/– Но это не помогло, может сквид мешает Правила файерволла я брал из статьи как е... весь текст скрыт [показать]     6.33, Alchemist, 10:18, 27/03/2009 [^] [ответить] [смотреть все]   +/– А при чем тут сквид Он вообщето кешированием занимается ... весь текст скрыт [показать]     7.34, Tavork, 17:01, 27/03/2009 [^] [ответить] [смотреть все]   +/– Ну тогда из-за чего у меня наотрез отказываются работать почтовые программы клие... весь текст скрыт [показать]     8.35, Alchemist, 17:09, 27/03/2009 [^] [ответить] [смотреть все]   +/– 1 lannet 192 168 0 0 24 2 Нет запретов внутри интерфейса смотрящего в лока... весь текст скрыт [показать]     9.36, Tavork, 18:16, 28/03/2009 [^] [ответить] [смотреть все]   +/– Не понял, надо убрать 10 правило А с lannet что не так У меня lannet 10 73 20... весь текст скрыт [показать]     ....нить скрыта, показать (8) 1.37, mak, 15:00, 30/03/2009 [ответить] [смотреть все]   +/– во-первых это что такое ты завернул трафик идущий по портам смтп и рор на сквид... весь текст скрыт [показать]     2.38, mak, 15:11, 30/03/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– забыл обозначения пояснить, хотя должно быть понятно и так в посте выше IpO... весь текст скрыт [показать] [показать ветку]     3.42, Tavork, 14:10, 02/04/2009 [^] [ответить] [смотреть все]   +/– Спасибо за развернутый ответ Правда, пока почта не пошла, но уже есть с чем раб... весь текст скрыт [показать]   1.39, geminis, 12:48, 31/03/2009 [ответить] [смотреть все]   +/– Спасибо автору за статью! Сделал все как в статье, но почему-то не работают клиент-банки (443 порт) и аська (5190). Также в браузере не грузятся странички с безопасным соединением (например gmail.com): -- При соединении с www.google.com произошла ошибка. SSL получило запись, длина которой превышает максимально допустимую. (Код ошибки: ssl_error_rx_record_too_long) -- А если в свойствах браузера указать явный прокси - то грузятся. Помогите с мыслями, что не так. Заранее благодарю!     2.40, geminis, 13:11, 31/03/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– в access log следующее 1238490265 501 0 192 168 0 202 TCP_HIT 301 591 GET ... весь текст скрыт [показать] [показать ветку]   2.41, Alchemist, 13:15, 31/03/2009 [^] [ответить] [смотреть все] [показать ветку]   +/– У https есть косяк с прозрачным прокси, т ч его лучше на сквид не заворачивать,... весь текст скрыт [показать] [показать ветку]     3.43, Tavork, 11:26, 10/04/2009 [^] [ответить] [смотреть все]   +/– Снова я обращаюсь к знающим людям со все той же проблемой Почта с компьютеров в... весь текст скрыт [показать]     4.44, cahvay, 18:58, 12/04/2009 [^] [ответить] [смотреть все]   +/– до конца ниасилил попробуй заменить на это cmd 007 allow tcp from any 25,110... весь текст скрыт [показать]     5.45, Tavork, 11:07, 30/04/2009 [^] [ответить] [смотреть все]   +/– gt оверквотинг удален Всё это перепробовал, при отправке почты никаких логов о... весь текст скрыт [показать]     6.46, Tavork, 12:41, 30/04/2009 [^] [ответить] [смотреть все]   +/– Нужен ли qpopper или его аналоги для получения почты по pop-протоколу из вне поч... весь текст скрыт [показать]     7.47, Tavork, 15:24, 22/05/2009 [^] [ответить] [смотреть все]   +/– Никто не поможет Что неужели только у меня такая проблема ... весь текст скрыт [показать]     8.48, Alchemist, 16:07, 22/05/2009 [^] [ответить] [смотреть все]   +/– SMTP сервер требует авторизацию Проходит ли telnet mailserver 25 ... весь текст скрыт [показать]   8.49, sergeyl, 01:29, 25/05/2009 [^] [ответить] [смотреть все]   +/– По всей видимости загвоздка в переходе семёрки на кернел-нат точнее в не полной... весь текст скрыт [показать]     9.50, Alchemist, 10:35, 25/05/2009 [^] [ответить] [смотреть все]   +/– Уважаемый Kernel NAT в этой статье вообще не используется NATD Конфиги ну... весь текст скрыт [показать]     10.51, sergeyl, 13:36, 25/05/2009 [^] [ответить] [смотреть все]   +/– Молодой человек, не стоит так горячится, рвать на себе рубашку и доказывать, что... весь текст скрыт [показать]     11.52, Alchemist, 14:45, 25/05/2009 [^] [ответить] [смотреть все]   +/– Моя статья не включает руководство по настройке почтовых систем, о чем я намекну... весь текст скрыт [показать]     12.53, sergeyl, 21:36, 25/05/2009 [^] [ответить] [смотреть все]   +/– Как то Вы молодой человек неадекватно реагируете на мои сообщения. И почему то начинаете открещиваться от того, что никто Вам в вину не ставил (Kernel NAT, почтовые системы) Еже ли Вас задело моё отношение к Вам как специалисту, то уж извините, такое оно сложилось после прочтения этой статьи и Ваших сообщений в данном форуме. Который к стати и предназначен для обсуждения, задания вопросов и ответа на заданные вопросы. У человека есть вопрос работы NAT под 7 версией FreeBSD, который меня также интересует. Вы пока не смогли ему помочь. Я рассказал как в своё вышел из похожего положения. Если кто то ему поможет запустить это в семёрке, то и я пойму где и в чём ошибался. Для этого форумы то и нужны. Зачем же это держать в секрете и общаться через аську?     13.54, Alchemist, 23:23, 25/05/2009 [^] [ответить] [смотреть все]   +/– Я очень адекватно реагирую и довольно четко обозначаю свою позицию Повторюсь - ... весь текст скрыт [показать]     14.55, Tavork, 09:49, 26/05/2009 [^] [ответить] [смотреть все]   +/– Люди! Не сорьтесь. telnet smtp.pochta.ru 25 - не удается подключится к узлу. Сбой подключения. SMTP авторизация настроена. Переход на 6-ую версию пока не возможен из-за отстутствия замены для сервера, по той же причине не возможна чистая установка по схеме из статьи, FreeBSD все-таки не amd64. Насчет кернел-нат посмотрю поподробнее, спасибо. По поводу настройки почтовых систем как оффтопа, я же все-таки не почтовый сервер ставлю. Пропускать почту через мимо себя обычная функция интенет-сервера. Alchemist, icq не подскажите?     15.56, Alchemist, 10:11, 27/05/2009 [^] [ответить] [смотреть все]   +/– >[оверквотинг удален] >telnet smtp.pochta.ru 25 - не удается подключится к узлу. Сбой подключения. >SMTP авторизация настроена. >Переход на 6-ую версию пока не возможен из-за отстутствия замены для сервера, >по той же причине не возможна чистая установка по схеме из >статьи, FreeBSD все-таки не amd64. >Насчет кернел-нат посмотрю поподробнее, спасибо. >По поводу настройки почтовых систем как оффтопа, я же все-таки не почтовый >сервер ставлю. Пропускать почту через мимо себя обычная функция интенет-сервера. > >Alchemist, icq не подскажите? Подскажу - 209209703   1.57, Игорь, 12:04, 12/03/2010 [ответить] [смотреть все]   +/– При использовании такого фаервола у меня интернет обрубается у всех! Привели бы лучше пример просто рабочего фаервола. нужно хотя бы разрешить SQUID-у лезть в интернет.     2.58, Hate, 11:11, 13/03/2010 [^] [ответить] [смотреть все] [показать ветку]   +/– >При использовании такого фаервола у меня интернет обрубается у всех! Привели бы >лучше пример просто рабочего фаервола. нужно хотя бы разрешить SQUID-у лезть >в интернет. На гугле забанили? Думать лень или мозг отсутствует? Учиться не хочем? Может тебе еще в баночку пукнуть?     3.59, Игорь, 08:45, 15/03/2010 [^] [ответить] [смотреть все]   +/– В общем с фаерволом немного разобрался. Проблема теперь со SQUID-ом. Чтобы сквид работал прозрачно я в начале squid.conf написал # порт прозрачного прокси http_port 3129 transparent В фаерволе сделал правило: # отправляем всех на squid (в данном случае - прокси прозрачный) ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} где: LanOut="tun0"            # внешний интерфейс LanIn="ale0"            # внутренний интерфейс IpOut="192.168.9.96" # внешний IP адрес машины IpIn="200.0.0.96"   # внутренний IP машины NetMask="24"            # маска сети Но squid все равно прозрачно не работает. Только если в браузере указывать IP прокси и порт, тогда все работает. Но я все же хочу настроить прозрачный прокси. Соединение с интернет настроено через PPPoE. Облазил гугл и ман squid-а. но решения все равно пока не нашел... Что еще можете посоветовать?     4.60, Игорь, 08:48, 15/03/2010 [^] [ответить] [смотреть все]   +/– Извените, сделал опечатку # отправляем всех на squid (в данном случае - прокси прозрачный) ${FwCMD} add fwd 127.0.0.1,3129 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} Прокси все равно прозрачно не работает.     5.61, Игорь, 11:46, 15/03/2010 [^] [ответить] [смотреть все]   +/– >Извените, сделал опечатку > ># отправляем всех на squid (в данном случае - прокси прозрачный) >${FwCMD} add fwd 127.0.0.1,3129 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} > > >Прокси все равно прозрачно не работает. У меня получился прозрачный прокси! Надо было добавить в фаервол вместо строки выше(пример ipfw list): 00012 fwd 200.0.0.ХХ,3129 ip from any to any dst-port 80,3129,8080 recv fxp0 00012 allow ip from any 80,3129,8080 to any xmit tun0 00012 fwd 200.0.0.ХХ,3129 ip from any to any dst-port 80,3129,8080 recv tun0 00013 allow tcp from 200.0.0.ХХ 3129 to any 00013 allow tcp from any to 200.0.0.ХХ dst-port 3129 00013 allow tcp from 200.0.0.ХХ 3128 to any 00013 allow tcp from any to 200.0.0.ХХ dst-port 3129 Осталось только аську сделать и т.п....   1.62, xom94ok, 15:38, 25/03/2010 [ответить] [смотреть все]   +/– Сделал все по статье, но по http не пускает. пинги идут и по ip и по именам. но в браузере страницы не открываются. не подскажите чем это может быть вызвано?     2.63, Игорь, 20:25, 29/03/2010 [^] [ответить] [смотреть все] [показать ветку]   +/– >Сделал все по статье, но по http не пускает. >пинги идут и по ip и по именам. >но в браузере страницы не открываются. >не подскажите чем это может быть вызвано? Проверь запущен ли Сквид и в правилах фаервола должен быть ворвардинг с адреса лок. сети, порт сквида с любого на любой адрес порт 80,порт сквида recv интерфейс сет. карты смотрящей в локальную сеть. fwd 200.0.0.ХХ,3129 ip from any to any 80,3129,8080 recv fxp0 где: 200.0.0.ХХ,3129 - адрес, порт на котором запущен сквид fxp0 - интерфейс сет. карты смотрящей в локальную сеть.   Ваш комментарий Имя:          E-Mail:       Заголовок: Текст:

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Подробнее о проведении акции вы можете прочитать на странице сайта.