https://opennet.me/openforum/vsluhforumID12/5325.html Есть машина с FreeBSD 6.1-RELEASE с одним интерфейсом 192.168.0.5 (на которой просто вертится самба). На ней, перекомпилил ядро с поддержкой IPFW, поднял сквид и сделал его прозрачным. Но где-то вкралась ошибка, которую никак не могу найти. У юзеров GateWay натравлен на эту машинку и есть циска с адресом 192.168.0.1 с поднятым натом. Если в IE назначаешь прокси - все работает, а как ставишь "не использовать прокси" - все сдыхает. Версия сквида - squid-3.0.1. Вот конфиги:<br>ipfw show<br>00010 9176 3952596 allow tcp from any to any established<br>00020 564 256046 allow ip from any to any via lo0<br>00030 0 0 deny ip from any to 127.0.0.0/8<br>00040 0 0 deny ip from 127.0.0.0/8 to any<br>00050 0 0 check-state<br>00060 191 12224 allow tcp from 192.168.0.5 to any keep-state<br>00070 49 3042 allow udp from 192.168.0.0/24 to 192.168.0.5 dst-port 53,123<br>00080 250 39312 allow udp from 192.168.0.5 to any dst-port 53,123 keep-state<br>00090 0 0 deny ip from any to any frag<br>00100 0 https://opennet.me/openforum/vsluhforumID12/5325.html#5 Mon, 21 Jan 2008 13:21:14 GMT &gt;[оверквотинг удален]<br>&gt;Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей. <br>&gt;На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip <br>&gt;192.168.1.2 На циске нат. <br>&gt;Правила на 0.5 для начала самые примитивные <br>&gt;fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in <br>&gt;allow ip from any to 192.168.0.0/24 <br>&gt; ну и конфиг сквида на предмет <br>&gt;http_port 127.0.0.1:3128 transparent <br>&gt;acl net src 192.168.0.0/255.255.255.0 <br>&gt;http_access allow net <br><br>Вобщем дали мне задачу, посчитать инет-трафик. Конечно ставим сквид и поехали. Я просто не хотел бегать и переделывать настройки IE у 18 машин и шлюз. Думал просто заверну все инет-пакетики на сквид и дело с концом. Из юзеров - никто самостоятельно на машинах прописать шлюз не сможет. Пришлось сделать ручками. Только вот все равно меня терзают смутные сомнения, что на одном интерфейсе низя такого сделать!!! Есть интерфейс, есть фаер, пакеты проходят его дважды, как собственно и должно быть - все как в доках. https://opennet.me/openforum/vsluhforumID12/5325.html#4 Mon, 14 Jan 2008 15:16:05 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;а вот это правило: <br>&gt;00020 564 256046 allow log ip from any to any <br>&gt;via lo0 <br>&gt;не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то <br>&gt;с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и <br>&gt;форвард на 127.0.0.1,3128 то IE долго висит и не может получить <br>&gt;ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, <br>&gt;то IE быстренько отваливается с сообщением "Невозможно отобразить страницу". <br>&gt;Кто мне подскажет - где копать? <br><br>Извиняюсь, сразу невнимательно прочитал первый пост. Сетевуха одна, вот и гемор.<br>Сквид, как правило, ставят для кеширования и экономии трафика, так? А что мешает пользователям прописать дефолтом сразу циску и нафиг ваш сквид? Поэтому, поставьте еще одну сетевую и все устаканится (если сквид действительно нужен). Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей. На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip 192.168.1.2 На циске https://opennet.me/openforum/vsluhforumID12/5325.html#3 Mon, 14 Jan 2008 11:46:06 GMT Народ, ну что может быть?<br><br>Снес 3 сквид и поставил 2.6.stable17. Все равно. Логи ворварда ведутся:<br>Jan 14 14:20:33 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0<br>Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0<br>Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0<br><br>а вот это правило:<br>00020 564 256046 allow log ip from any to any via lo0<br>не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и форвард на 127.0.0.1,3128 то IE долго висит и не может получить ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, то IE быстренько отваливается с сообщением "Невозможно отобразить страницу".<br>Кто мне подскажет - где копать?<br> https://opennet.me/openforum/vsluhforumID12/5325.html#2 Fri, 11 Jan 2008 06:29:02 GMT &gt;Хм, много правил в фаерволе, ни асилил :)<br><br>Я только разбираюсь, поэтому их столько :)<br>&gt;А вот так не пробовали - в конфиге сквида: <br>&gt;http_port 127.0.0.1:3128 transparent<br><br>пробовал, и http_port 192.168.0.5:3128 transparent пробовал - не получается.<br><br>&gt;В фаерволе<br>&gt;fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in<br><br>in это значит на входе в фаер форвардить? я везде где натыкался на правила, везде только на выходе ворвардили. Правда с другого интерфейса.<br><br>&gt;allow ip from any to 192.168.0.0/24<br>&gt;allow ip from 192.168.0.0/24 to any<br><br>интересная мысль...проверю.<br> https://opennet.me/openforum/vsluhforumID12/5325.html#1 Thu, 10 Jan 2008 16:58:08 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;в squid.conf <br>&gt;http_port 3128 transparent <br>&gt;присутствует. <br>&gt;<br>&gt;Как видно правило 170 выполняется, но куда же уходят пакеты? В логах <br>&gt;сквида ничего не отображается (т.е. отображаются запросы только тех у кого <br>&gt;в IE сказано ходить через проски). Может ipfw не работает с <br>&gt;одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? <br>&gt;Подскажите плиз. <br><br>Хм, много правил в фаерволе, ни асилил :)<br>А вот так не пробовали - в конфиге сквида:<br>http_port 127.0.0.1:3128 transparent<br>В фаерволе<br>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in<br>allow ip from any to 192.168.0.0/24<br>allow ip from 192.168.0.0/24 to any<br>