The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Настройка шлюза на FreeBSD 5.4 (freebsd install squid gateway)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: freebsd, install, squid, gateway,  (найти похожие документы)
From: Shapovalov Victor <delphini@mail.ru.> Newsgroups: email Date: Mon, 14 Nov 2005 14:31:37 +0000 (UTC) Subject: Настройка шлюза на FreeBSD 5.4 Задача 1) организовать доступ в Интернет пользователям локальной сети 2) Вести учёт трафика: всего + отдельно web (кто, сколько и где был в Интернете) 3) Сократить затраты на Интернет путём использования прокси сервера. # команды // коментарии * примечание Часть 1 Начнём с установки FreeBSD Вставим установочный диск в CD-ROM, в BIOS выставим загрузку с CDROM. После загрузки выберем Express -> Kernel-Developer Ответим положительно на вопрос является ли машина шлюзом в Интернет Ответим положительно на о запуске INETD После установки извлечём диск из CDROM и перегрузимся. Часть 2 Сборка ядра. * в версии FreeBSD 6.x пересборка ядра не требуеться После перезагрузки войдём в систему как root Изменим пароль root # passwd Перейдём в каталог /usr/src/sys/i386/conf # cd /usr/src/sys/i386/conf Создадим копию конфигурационного файлы ядра # cp GENERIG GATEWAY Отредактируем файл под наши нужды # ee GATEWAY Добавляем следующие опции в файл GATEWAY //Firewall options IPFIREWALL //firewall options IPFIREWALL_DEFAULT_TO_ACCEPT //allow everything by default //IPDIVERT система NAT options IPDIVERT //divert sockets Собираем # config GATEWAY # cd ../compile/GATEWAY # make depend all install # shutdown -r now Устанавливаем временную зону во FreeBSD и точное время в BIOS Редактируем файл /etc/rc.conf # ee /etc/rc.conf defaultrouter="192.168.5.1" //Шлюз провайдера hostname="gate.plc.net" //Имя компьютера gateway_enable="YES" // Компьютер являеться шлюзов в интреннет ifconfig_rl0="inet 192.168.0.250 netmask 255.255.255.0" //Внутренний интерфейс ifconfig_rl1="inet 192.168.5.15 netmask 255.255.255.0" //внешний интерфейс firewall_enable="YES" //Включение firewall #firewall_type="OPEN" //Если не хотите его настраивать или не нет в этом необходимости можно сделать его открытым т.е. пропускающим все пакеты firewall_script="/etc/firewall.sh" //Настройки firewall (либо firewall_type="OPEN") natd_enable="YES" // Включаем NAT natd_interface="rl1" // NAT вешаем на внешний интерфейс natd_flags="" sendmail_enable="NONE" //отключаем sendmail usbd_enable="YES" //Включаем поддержку USB если нужно linux_enable="YES" //Включаем поддержку Linux если нужно trafd_enable="YES" // Включаем поддержку trafd trafd_ifaces="rl0 rl1" //Вешаем его на внутренний и внешний интерфейс trafd_flags="" trafd_log="/usr/local/var/trafd.log" //логи trafd inetd_enable="YES" //Включаем суперсервер INETD отключим sendmail !!! Так лучше не делать!!! # chmod -x /etc/rc.d/sendmail!!! Так лучше не делать!!! !!! Правильно отключить sendmail: /etc/rc.conf sendmail_enable="NONE" Создадим /etc/firewall.sh #ee /etc/firewall.sh Содержание файла /etc/firewall.sh #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw add 1000 pass all from any to any via lo0 /sbin/ipfw add 1100 deny all from any to 127.0.0.0/8 /sbin/ipfw add 1200 deny icmp from any to any frag /sbin/ipfw add 1300 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 /sbin/ipfw add 1400 deny tcp from any to any not established tcpflags fin /sbin/ipfw add 1500 deny tcp from any to any tcpflags fin,syn,rst,psh,ack,urg /sbin/ipfw add 1600 deny tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg /sbin/ipfw add 4000 deny udp from any 137-139 to any via rl0 /sbin/ipfw add 4100 deny udp from any to any 137-139 via rl0 /sbin/ipfw add 5000 divert natd ip from 192.168.0.0:255.255.255.0 to any out xmit rl1 /sbin/ipfw add 5100 divert natd ip from any to 192.168.5.15 #/sbin/ipfw add 5200 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80 /sbin/ipfw add 5500 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80,21,443 //закрываем порты , чтобы //пользователи не ходили в обход прокси /sbin/ipfw add 6000 allow all from any to any Сделаем файл исполняемым # chmod 100 /etc/firewall.sh Часть 4 Настройка FTP (отчеты будем забирать по FTP) Редактируем /etc/inetd.conf # ee /etc/inetd.conf Раскоментируем строчку ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l Создадим файл /etc/ftpchroot //Туда пишем пользователей чтобы они не вышли за пределы домашнего каталога # ee /etc/ftpchroot Добавим в него пользователя stat Добавим пользователя stat в систему # adduser Часть 5 Установка приложений * при установке другим способом(пакеты, исходники) возможно другое расположение конфигурационных файлов * например /usr/local/squid/etc/squid.conf вместо /usr/local/etc/squid/squid.conf Далее ставим прокси сервер SQIOD # cd /usr/ports/www/squid # make # make install Базовая настройка прокси сервера Для этого отредактируем файл /usr/local/etc/squid/squid.conf * сдесь приводяться изменения которые долны быть проведены в файле настроек, а не сам файл настроек squid. #ee /usr/local/etc/squid/squid.conf http_port 192.168.0.250:8080 cache_mem 64 MB cache_dir ufs /usr/local/squid/cache 3072 16 256 cache_access_log /usr/local/squid/logs/access.log cache_log /usr/local/squid/logs/cache.log cache_store_log /usr/local/squid/logs/store.log //Access control //если acl выноситься в отдельный файл то необходимо указывать путь к файлу в кавычках. //Вид файла InternetUsers // //192.168.0.0/24 //если мы хотим вывесли всю сеть //или так //192.168.0.1 //192.68.0.5 // если отдельные компьютеры. acl InternetUsers src "/usr/local/etc/squid/InternetUsers" //http access http_access allow InternetUsers http_access deny all //And finally deny all other acces to this proxy http_access allow InternetUsers http_access deny all Добавим параметр visible_hostname InternetServer // В имени не использовать пробелы. Далее поменяем страницу с ошибками //error_directory error_directory /usr/local/etc/squid/errors/Russian-1251 Теперь создадим файл с пользователями Интернет # ee /usr/local/etc/squid/InternetUsers добавим в него нашу локальную сеть 192.168.0.0/24 Создадим swap директорию # /usr/local/sbin/squid -z Добавим SQUID в автозагрузку (в /etc/rc.conf) squid_enable=YES Добавим записи о DNS серверах # ee /etc/resolv.conf nameserver 82.1.2.3 // DNS провайдера Запустим squid # /usr/local/sbin/squid -D После перезагрузки прокси сервер и шлюз должны работать. Для получения данных о всех прошедших пакетах через ваш шлюз воспользуемся trafd # cd /usr/ports/net-mgmt/trafd # make # make install # Соберем генератов отчетов по работе SQUIDа # cd /usr/ports/www/sarg # make # make install Настроим SARG #ee /usr/local/etc/sarg/sarg.conf //Установим язык который будет использоваться в отчётах language Russian_windows1251 //Лог по которому строиться отчёт access_log /usr/local/squid/logs/access.log //Заголовок отчётов title "Internet Statistic Server" //Директория где будут храниться отчёты output_dir /usr/ftp/html/squid-reports //Дата в формате день месяц год date_format e //Топ 200 сайтов topsites_num 200 //Заменим IP адреса именами пользователей usertab /usr/local/etc/sarg/usertab //Установим кодировку отчёта charset Windows-1251 Настроим сохранения статистики trafd и генерации отчетов SARG //Crontab это планировщик заданий. //Параметры минута, час, число, месяц, день недели, выполняемый скрипт или команда. //Crontab -e начало редактирование планировщика для выполнения заданий с правами текущего пользователя. #crontab -e 0 8,12,16,20 * * 1-7 /usr/local/bin/trafsave rl0 rl1 10 9,17 * * 1-7 /usr/local/bin/sarg Включаем ротацию логов squid первого числа каждого месяца //Crontab -u squid -e начало редактирование планировщика для выполнения заданий с правами пользователя squid. # crontab -u squid -e 0 0 1 * * /usr/local/sbin/squid -k rotate Просмотр информации собранной trafd и сохранённой trafsave существляеться программой traflog P.S. прошу не судить строго это первый опыт написание статьи Список источников 1. Журнал информационных технологий CHIP Special 8/2004(17). 2. Дмитрий Новиков ( is@nnz.ru) , "Простая и эффективная система подсчёта трафика в ОС FreeBSD" 03/05/2005. 3. Перевод руководства по IPFW (IPFW firewall FreeBSD) 4. FreeBSD Handbook на русском языке 5. Игорь Чубин Журнал системный администратор &#8470;6(7) июль 2003 стр. 26-34 6. Сергей Яремчук Журнал системный администратор &#8470;7(8) июль 2003 стр. 44-47 7. Сергей Супрунов Журнал системный администратор &#8470;4(17) апрель 2004 стр. 10-14

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, glyph (?), 13:45, 14/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ПОйдет. Все по делу. Однако, подобных статей - уже больше тонны.
     
     
  • 2.2, hromach (??), 13:47, 14/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тренируется человек в написании статей, может скоро выдаст нагора все то что общественность ждет-недождется, но попозже :)
     

  • 1.3, axbat (??), 15:39, 14/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автора поздравляю с пробой пера.

    Хочется уточнения - это - попытка организации прозрачного прокси?

     
  • 1.4, misha (??), 16:56, 14/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сначала ставим сквид... из порта...
    запускаем его...
    а потом пишем резолв:)

    представляю какой дикий визг подимет сквид :)

     
  • 1.5, rouslan (??), 20:49, 14/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Присоединяюсь к поздравлениям.

    Автору читать manЫ - источник знаний.
    Рекомендуемые особенно:
    rc.sendmail(8)
    Squid configuration manual

     
  • 1.8, coroner (?), 10:48, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Че накинулись на человека?
    былаб такая статейка лет эдак 5 назад-могу поспорить многие бы набили шишек гораздо меньше%)
    а автору очень советую дописать статейку с включением в нее таких вещей как подсчет трафика файрволом и настройки релея в почтовике тока из локалки%)(можно еще добавить конечно наложение патча на сквида для отрубания перебравших трафик,и прикрутку антивирей к сквиду и МТА)
     
  • 1.9, iasb (ok), 10:52, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нормальная статья.
    Несколькко замечаний (только основные):

    Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить НАТ ?

    Чем плох порт 3128 ?

    Чем плох набор правил rc.firewall ? + дополнения к стандартному набору

    Мы что делаем "открытый сквид" - почему рисуя IPFW правила мы не закрываем Сквидовский порт ? Это не касается списка пользователей. Порт надо закрывать.

    Какой вид файла internet-users ? Практически. Ну ламер я. Ну не знаю. Ну никакого шанса у меня нет разрыть в Инете именно тот вариант использования конфигурации, который принят автором. Ну не настроен у меня сервер - соответственно НЕТ НИЧЕГО !!! Доступа к инету нет. Все с нуля. Есть в руках только эта статья.

    Статья написана для НЕПРОФЕССИОНАЛА, правильно. Есть такая категория статей. Они нужны. Слов нет. Но для такой категории ДОЛЖНО быть описано ВСЕ и ДО КОНЦА. С полными примерами.



     
     
  • 2.12, Автор (?), 14:32, 15/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Q:Если мыы говорим о руковыкручивании и загоне всех через СКВИД - зачем ставить НАТ ?

    A:Почта,клиент-банк

    Q:Чем плох порт 3128 ?
    A:Ничем можно и 3128.

    Q:Какой вид файла internet-users ?
    A:192.168.0.1
      192.168.0.4
      и т.д.
      или 192.168.0.0/24
    Все зависит от политики которой вы придерживаетесь
    A:Автор просто вынес acl из squid в отдельный файл
            //Access control
            acl InternetUsers src /usr/local/etc/squid/InternetUsers
            //http access
            http_access allow InternetUsers
            http_access deny all
            //And finally deny all other acces to this proxy
            http_access allow InternetUsers
            http_access deny all

     

  • 1.10, coroner (?), 10:56, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЗЫ:забыл написать что прозрачная прокся не есть гуд%)
    есть гуд прокся с тотальной авторизацией%)
     
  • 1.11, Автор (?), 14:20, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Учту ваши пожелания.
     
  • 1.13, Romik (??), 06:17, 24/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на такое значение параметра
    visible_hostname Intrenet_Security_and_Acceleration_Server

    сквид во FreeBSD 5.4 отвечает примерно следующее:
    mimeLoadIcon: cannot parse internal URL

    Советую изменить параметр, например так:
    visible_hostname InetServer

     
     
  • 2.16, Автор (?), 10:26, 28/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Q: на такое значение параметра
       visible_hostname Intrenet_Security_and_Acceleration_Server

       сквид во FreeBSD 5.4 отвечает примерно следующее:
       mimeLoadIcon: cannot parse internal URL
    A: В имене не должно быть пробелов.    

     

  • 1.14, Romik (??), 06:37, 24/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и эти строки для ламера вроде меня непонятны
    #crontab -e
            0 8,12,16,20 * * 1-7 /usr/local/bin/trafsave rl0 rl1
            10 9,17 * * 1-7 /usr/local/bin/sarg
    Включаем ротацию логов squid первого числа каждого месяца
            # crontab -u squid -e
            0 0 1 * * /usr/local/sbin/squid -k rotate
     
     
  • 2.18, Автор (?), 11:03, 28/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Специально для вас я добавил в статью более подробное опиание интересующих вас моментов.
     

  • 1.15, Romik (??), 07:10, 24/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и еще
    Запустим squid
            # /usr/local/etc/rc.d/squid.sh start
    после установки сквида скрипт в каталоге не появился. Мне как ламеру хотелось бы знать его содержание...
     
     
  • 2.17, Автор (?), 11:00, 28/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще скрипт создаёться при установки squid'a из портов.
    Если ты ставил squid из исходников то сделать так.
    так /usr/local/sbin/squid -D чтобы запустить squid
     

  • 1.19, Romik (??), 12:24, 29/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор, спасибо, со статьей разобрался.
    а можно еще чайнику объяснить, как через получившийся шлюз пропустить почтовик или он уже будет ходить?
     
     
  • 2.20, Автор (?), 09:23, 30/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Q:Автор, спасибо, со статьей разобрался.
    а можно еще чайнику объяснить, как через получившийся шлюз пропустить почтовик или он уже будет ходить?
    A:Почтовик(почтовый клиент) или MTA?
      Если почтовый клиен( например TheBat! или Outlook , то в настройках соединения на пользовательских машинах нужно чтобы был прописан шлюз.
      Если MTA и нужно чтобы он был видел их интернета то можно NAT'ом сделать редирект портов(если это необходимо, и если почтовый сервер стоит на другом компьютере имеющий серый адрес).Для этого нужно запустить NAT так:
    в /etc/rc.conf прописать natd_flags="-f /etc/natd.conf"
    в /etc/natd.conf прописать например redirect_port tcp 192.168.0.187:25 25
                                      redirect_port tcp 192.168.0.187:110 110

      

     

  • 1.21, dream (?), 12:37, 02/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень даже неплохая статья для новичков во фре. Автору благодарен!
     
  • 1.22, Автор (?), 13:17, 05/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если интересно могу дописать статью с учётом всех пожеланий, но на FreeBSD 6.O + средства графического управления (webmin) + генерация отчётов trad.
    Это надо?
    Или подобных статей - уже больше тонны.?
     
     
  • 2.28, Kardan (?), 16:12, 14/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Очень бы хотелось услышать по подробние про сбор статистики и отображение этого дела в графиках по каждому юзеру... Пока моих знаний не хватает :-(
     

  • 1.23, zk (?), 15:11, 05/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну графическое управление - явно лишне =)) А вот фсё остальное можно!
     
  • 1.24, VoVuX (ok), 12:14, 07/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С удовольствием голосую за продолжение статьи! Автору спасибо - от начинающих.
    Только прошу не "средства графического управления (webmin)". Про то как вёб мин поставить написано много. Прошу прикрутить отчёты для юзеров в HTML чтоб могли себя мониторить, кто сколько и куда, сами по мере надобности.
     
  • 1.25, Denkka (?), 15:22, 08/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А каков формат файла SARG - "usertab"?
     
     
  • 2.26, Автор (?), 17:11, 08/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Q:А каков формат файла SARG - "usertab"?
    A:ip имя которое вы хитите увидеть в отчёте
    Пример 192.168.0.187 IT
           192.168.0.5 Director
    и т.д.
     

  • 1.27, Kardan (?), 16:07, 14/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересная статья. (Особенно для меня ламера)Разбираюсь по техоньку... Было бы интересно послушать автора по поводу возможности прикрутить dhcp-сервер к выше изложеному...Чтобы раздовал адреса по мак адресу.
    И еще ...SARG: (language) Cannot open language file: /usr/local/etc/sarg/languages/       language English шо воно таке?
     
  • 1.29, Kardan (?), 16:14, 14/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А дополнить стать думаю нужно...
     
  • 1.30, BDV (?), 16:21, 15/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая статья. Вот бы в эту задачу включить настройка и защита DNS , SendMail , с AntiVir + AntiSpam и Apache c PHP , может уже есть такие статьи ?
     
     
  • 2.31, Автор (?), 17:11, 15/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Хорошая статья. Вот бы в эту задачу включить настройка и защита DNS , >>SendMail , с AntiVir + AntiSpam и Apache c PHP , может уже есть такие >>статьи ?
    dns я уже настраивал через webmin, поэтому писать не о чем, antivir+antispam(antivir и AntiSpam)заслуживаю как минимум каждый по отдельной статье, так же и Apache + php.

    Да такие статьи есть! Причём по поводу выбора антивируса могу от себя сказать, что clamav нужно дополнять антивирусом на клиентских местах или на сервер поставить что-то другое symantec, panda , kav.(Лично у меня стоит symantec, и он частенько ловит вирусы, которые пропускает clamav)
    ссылки на  статьи которые писал не я но относяться к вопросу
    Тема ссылки на информацию: Почтовый сервер на линукс
    Журнал системный администратор сентябрь 2005
    Название статьи Настраиваем основные компоненты почтового сервера.
    Тема Почтовый сервер на FreeBSD
    opennet.ru раздел почта .
    Тема антивирусник на веб трафик , спам и другое
    Системный администратор июль 2005 .

    Вообще полезную информацию можно получить на сайте
    1)samag.ru в виде pdf.
    http://samag.ru
    2)opennet.ru
    http://opennet.ru
    3)freebsd handbook желательно на руском
    http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/index.html


     
     
  • 3.32, BDV (?), 17:38, 15/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    подскажите плз  если к SendMail , web interface для почтовых клиентов ?

    clamav это то чем вы пользуетесь ?
    И почему в статье вы отключаете Sendmail ?
    Каким почтовиком пользуетесь вы ?

     
     
  • 4.33, Автор (?), 09:25, 16/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Q: подскажите плз  если к SendMail , web interface для почтовых клиентов ?
    A: да есть squirrelmail /usr/ports/mail/squirremail
    Q:clamav это то чем вы пользуетесь ?
    A: clamav  на сервере + symantec ce на втором сервере.
    Q: И почему в статье вы отключаете SendMail ?
    A: можно не отключать, можно запустить его как локальный.
    Q: Каким почтовиком пользуетесь вы ?
    A: MTA postfix /usr/ports/mail/postfix
       MUA the bat! + web интерфейс к почтовику.

      

     

  • 1.34, BDV (?), 15:11, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После
    # cd /usr/ports/www/sarg
    # make

    ===> sarg-2.1 depends on shared library : gd.4 - not found
    Verifying install for gd.4 in /usr/ports/grafics/gd
    ===> gd-2.0.33_4,1 depends on shared library: jpeg.9 - not found
    ===> Verifying install for jpeg.9 in /usr/ports/grafics/jpeg
    ===> Building for jpeg-6b-3
    make cannot open Makefile.
    error code 2

    Подскажите плз в чем может быть проблема ?

    перед установкой делал /usr/local/bin/cvsup -g -L 2 /etc/cvsupfile
    с ports-all

            

     
  • 1.35, BDV (?), 15:22, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Makefile тут есть

    v 1.42 2005/11/15 06:49:31

     
  • 1.36, Автор (?), 02:52, 26/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    До новой версии статьи осталось 20 дней.
     
  • 1.37, cj (?), 10:54, 30/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    гы, прикольновая статья :-)
    но
    отключим sendmail
    # chmod -x /etc/rc.d/sendmail
    это жесть %-)
    навернавае правильнее нужно было написать
    sendmail_enable="NO"
    sendmail_submit_enable="NO"
     
  • 1.38, lcl (?), 14:17, 02/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    настроил все до этого момента
    "... После перезагрузки прокси сервер и шлюз должны работать. ..."
    тип файервола - OPEN
    в итоге, не работают e-mail клиенты и Миранда ICQ
    (что интересно, родной коиент ICQ 5 работает...)

    При установке аппаратного маршрутизатора было тоже самое. Может в нем дело (адсл-маршрутизатор - стоит на внешнем интерфейсе шлюза BSD)? Как проверить, идет ли e-mail траффик от шлюза к маршрутизатору адсл?

    Подробнее про адсл-маршрутизатор тут http://www.megaufa.ru/modules.php?name=Forums&file=viewtopic&t=382

     
     
  • 2.39, LcL (??), 16:50, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Не работало из-за того что не прописал IP DNS на клиентах Win...
     

  • 1.40, SysOp (??), 17:21, 07/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как насчет принудительно пустить весь трафик 80 порта на прокси?
    ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
    и кой чего в сквиде поправить...
    подробности тут:
    https://www.opennet.ru/base/net/hardprox.txt.html
     
  • 1.41, dazhenechainik (?), 08:22, 23/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сегодня первый раз ставил FreeBSD (правда версия 6.2 а не 5.4) до этого с opensource вообще не сталкивался (то есть даже не чайник и даже не ламер :)) Трабла следующая:
    при # config GATEWAY ругается на options IPFIREWALL_DEFAULT_TO_ACCEPT , говорит, не знаю, что это такое :(
    Подскажите, что может быть, или пошлите меня... (не, не туда :))), на раздел манов об этом или какую-то конкретную статью об этом моменте.
    Сорри за безграмотность и тупой вопрос.
     
     
  • 2.42, Lisz (?), 17:27, 26/03/2007 [^] [^^] [^^^] [ответить]  
  • +/
    прочитайте плз ещё раз Часть 2. Сборка ядра...

    в FreeBSD по дефолту почему-то файрвол выключен в ядре. так что ядро придётся пересобрать

     
     
  • 3.43, Сахаров Сергей Александрович (?), 22:29, 09/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Потому и выключен, что в 6.2 сделан отдельным модулем. Не надо ядро пересобирать, достаточно прописать в /etc/rc.conf:
    ipfw_enable=yes
    и ядро его само замечательно подцепит.
    Запуск файрволла:
    /etc/rc.d/ipfw start
    Ручная загрузка модуля - без запуска.
    kldload ipfw
     

  • 1.44, copycat (??), 13:42, 27/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто нет слов одни эмоции,  что надо хавать что бы все это понимать ..... ничего не понял
     
  • 1.45, Максим Гришков (?), 15:59, 30/03/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот только такое правило работать не будет если запускать ipfw модулем:
    ipfw add 100 fwd $squid,3128 tcp from $myhost to 0.0.0.0/0 80
     
  • 1.46, yurchello (ok), 09:48, 17/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня дома свой сервак...
    nfe0 - сетевой интерфейс смотрит на провайдера и по DHCP получает адресс.
    далее поднимаю PPPoE (tun0)
    а со второго интерфейса rl0 раздаю интернет пользователям в локальной сети 192.168.0.2 и так далее...
    установил squid...
    кодгда в браузере прописываешь работать через проксю 192.168.0.1 порт 3128 все работает отлично и кешируется и так далее... а вот без жесткой привязки браузера... инет есть, но без прокси....
    при этом!!! /etc/rc.conf
    firewall_enable="YES"
    firewall_type="OPEN"
    к сожалению еще не доразобрался с фаерволом... кто то может  подсказать, что нужно сделать, что бы завернуть пакеты из локальной сети на сквид и как???
    по примеру, приведенного тут фаервола - не получается что то... и еще... моя сетевая, смотрящая на провайдер получает адресс по DHCP, что же тогда должно быть в строке
    /sbin/ipfw add 5100 divert natd ip from any to 192.168.5.15
    ???? объясните пожалуйста...
     
     
  • 2.48, miha (??), 19:03, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    вот правило, которое посылает всех юзверей на squid
    add 5500 deny all from 192.168.0.0/24 to not 192.168.0.0/24 80,21,443
    я эту строку прописал в
    # vi /usr/local/etc/firewall.conf
    и всех начало гонять на squid
    В статье зачем то это в скрипт загоняют, думаю, потому что старый freebsd рассматривается, у меня 8 версия.
    В принципе только ради этой строки большое спасибо автору.
     

  • 1.47, Игорь (??), 17:13, 09/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что и где нужно поменять, если у меня соединение с интернет происходит по через протокол PPPoE ? Обычный шлюз я установил (достаточно было указать в rc.conf строчку gateway_enable=\"YES\", и прописать DNS провайдера). У всех интернет есть, но я хочу поставить прокси как тут описано. Фаервол встал отлично, все правила прописал. Сквид настроил как тут описано. Но инета теперь ни у кого нет. Видимо надо еще дополнительно писать про интерфейс tun0 (через которое и идет соединение с интернет) но как не знаю... Подскажите, пожалуйста!
     

    игнорирование участников | лог модерирования

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру