https://www.opennet.ru/openforum/vsluhforumID1/76507.html У меня на шлюзе настройки следующие<br>ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any in via LAN_IF<br>ipfw add 30 divert natd ip from any to WAN_IP in via WAN_IF<br>ipfw add 65000 allow all from any to any<br>Настроен прозрачный SQUID<br>Проблема::http проходит нормально, не проходят не http запросы на WAN_IF, перекрываются нестандартные порты типа 22333 (Skype). <br>Вопрос::Где проблема - в сквиде или в фаэрволе? Куда рыть?<br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#12 Thu, 11 Oct 2007 09:19:38 GMT Уф, нашел проблему - в rc.conf не стояла строчка gateway_enable="YES"<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#11 Tue, 09 Oct 2007 08:41:04 GMT Вопрос::Где проблема - в сквиде или в фаэрволе? Куда рыть? <br><br>&gt;ipfw add 29 divert natd ip from any to any out via WAN_IF <br><br>на шлюзе поднят dhcp,dns,ipfw,squid сервера + два интерфейса em0 и fxp0<br>запросы dns выполняются, dhcp делает свое дело, ipfw благополучно защищает, все остальное не работает, шлюз не пропускает в интернет. Ни одно проавило deny не срабатывает в этот момент. а на squid видны ошибки такого вида TCP_MISS/200 или TCP_MISS/000<br><br>ps ax&#124; grep squid<br>&gt;888 ?? Is 0:00.00 /usr/local/sbin/squid -D<br>&gt;891 ?? S 0:00.12 (squid) -D (squid)<br><br>Все порты такое ощущение, что перекрыты, несмотря на firewall_type="OPEN"<br><br><br>{squid.conf}<br><br>http_port 3128<br>icp_port 0<br>hierarchy_stoplist cgi-bin ?<br>acl QUERY urlpath_regex cgi-bin \?<br>no_cache deny QUERY<br>cache_mem 128 MB<br>maximum_object_size 8092 KB<br>maximum_object_size_in_memory 512 KB<br>cache_dir ufs /usr/local/squid/cache 2048 64 256<br>cache_access_log /usr/local/etc/squid/access.log<br>cache_log /usr/local/etc https://www.opennet.ru/openforum/vsluhforumID1/76507.html#10 Mon, 01 Oct 2007 11:00:14 GMT Есть!<br> gateway_enable="yes" <br> firewall_enable="yes" <br> firewall_script="/etc/firewall.sh"<br><br>Можно попробовать отменить правило нат? просто использовать как прямой роутинг.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#9 Mon, 01 Oct 2007 10:37:04 GMT rc.conf<br> <br> gateway_enable="yes" ?<br> firewall_enable="yes"<br> firewall_type="open"<br> <br><br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#8 Mon, 01 Oct 2007 10:21:27 GMT rc.conf<br>natd_enable="YES"<br>natd_interface="fxp0"<br>natd_flags="-f /etc/natd.conf"<br><br>natd.conf<br>same_ports yes<br>use_sockets yes<br>unregistered_only yes<br><br>KERNEL<br>options IPDIVERT<br><br>???<br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#7 Mon, 01 Oct 2007 09:37:54 GMT &gt;ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any http in <br>&gt;via LAN_IF <br>&gt;ipfw add 30 divert natd ip from any to WAN_IP in via <br>&gt;WAN_IF <br>&gt;ipfw add 65000 allow all from any to any <br>&gt;<br>&gt;и все равно такое ощущение что все пакеты заворачиваются на сквид или <br>&gt;не срабатывает nat <br><br> natd запущен ? В ядре включен ?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#6 Mon, 01 Oct 2007 09:32:52 GMT Простите, пропустил написать. У меня именно так в правилах http есть !!!<br>Все равно кто-то не пропускает остальное<br>я писал так сначала правила<br>ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any http in via LAN_IF<br>ipfw add 30 divert natd ip from any to WAN_IP not http in via WAN_IF<br>ipfw add 65000 allow all from any to any<br><br>потом писал так<br>ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any http in via LAN_IF<br>ipfw add 30 divert natd ip from any to WAN_IP in via WAN_IF<br>ipfw add 65000 allow all from any to any<br><br>и все равно такое ощущение что все пакеты заворачиваются на сквид или не срабатывает nat<br>???<br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#5 Mon, 01 Oct 2007 09:13:46 GMT &gt;Все правильно, только куда уходит все остальное? на сквид идет только http, <br>&gt;остальное почему-то отваливается, (скайп, аська, клиент-банки, почта - все перекрывается) <br>&gt;мое правило divert здесь мешает? <br><br>ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any in via LAN_IF<br><br>Это правило ВСЕ пакеты tcp завернет на tcp/3128, ну и что сквид будет с ними делать ?<br>Он умеет обрабатывать только tcp/80, остальные отбросит как непонятные ...<br><br>ipfw add 20 fwd 127.0.0.1,3128 tcp from any to any 80 in via LAN_IF<br> https://www.opennet.ru/openforum/vsluhforumID1/76507.html#4 Mon, 01 Oct 2007 08:56:39 GMT &gt;&gt;Сделать просто Gateway без ната? А через сквид пробрасывать только http? Почему <br>&gt;&gt;divert не срабатывает, если работает аналогично нату? <br>&gt;<br>&gt;Дык зачем все пакеты сквиду скармливать, прозрачно проксируется только 80 порт :) <br>&gt;<br><br>Все правильно, только куда уходит все остальное? на сквид идет только http, остальное почему-то отваливается, (скайп, аська, клиент-банки, почта - все перекрывается) Почему мое правило divert здесь мешает? <br>