The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD 8.1 Squid+Sams + правила IPFW"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Sindikat88 (ok) on 05-Апр-11, 15:10 
Камрады, добрый день.
Появилась проблема.
Мною недавно был поднят основной шлюз на такой связке: FreeBSD 8.1 Squid+Sams+IPFW.
Сейчас поднял ещё одну машину на FreeBSD 8.1, эта машина находится в локальной сети, и должна выходить через Фришечный шлюз.
Правило IPFW добавил. Вот оно:
${FwCMD} add pass tcp from 192.168.0.11 to any 80,8080,443,21 via ${LanOut}
${FwCMD} add pass tcp from any to 80,8080,443,21 ${IpOut} in via ${LanOut}
${FwCMD} add pass icmp from 192.168.0.11 to any via ${LanOut}
${FwCMD} add pass icmp from any to ${IpOut} in via ${LanOut}
Вопрос: как мне ей открыть доступ в инет?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от arachnid (ok) on 05-Апр-11, 16:13 
через что?
имеет ли отношение к вопросу упомянутый в заголовке squid?

если squid не устраивает, то через nat

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Sindikat88 (ok) on 05-Апр-11, 16:24 
> через что?
> имеет ли отношение к вопросу упомянутый в заголовке squid?
> если squid не устраивает, то через nat

Вот тут и возникает вопрос. А как можно?
Squid настроен на авторизацию по NTLM.
Как добавить туда разрешение для определенного IP, я не знаю.
Самый лучший вариант, это будет пустить его по nat.
Но по nat не получается. Правило я привел.
Я буду признателен за любую помощь.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от arachnid (ok) on 05-Апр-11, 18:13 
>> через что?
>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>> если squid не устраивает, то через nat
> Вот тут и возникает вопрос. А как можно?
> Squid настроен на авторизацию по NTLM.
> Как добавить туда разрешение для определенного IP, я не знаю.
> Самый лучший вариант, это будет пустить его по nat.
> Но по nat не получается. Правило я привел.
> Я буду признателен за любую помощь.

для сквида - делаете acl для данного ip и пускаете его без авторизации
acl second_srv src <ip>
http_access allow second_srv

для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся libalias и ipfw) и минимум правил что-то типа

ipfw add nat 123 all from any to any
ipfw nat 123 config if <внешний интерфейс> log deny_in

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Sindikat88 (ok) on 05-Апр-11, 18:37 
>[оверквотинг удален]
>> Но по nat не получается. Правило я привел.
>> Я буду признателен за любую помощь.
> для сквида - делаете acl для данного ip и пускаете его без
> авторизации
> acl second_srv src <ip>
> http_access allow second_srv
> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
> libalias и ipfw) и минимум правил что-то типа
> ipfw add nat 123 all from any to any
> ipfw nat 123 config if <внешний интерфейс> log deny_in

IPFW поднят. Ядро уже собрано с ним
Под цифрами 123, что понимается?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Sindikat88 (ok) on 05-Апр-11, 18:38 
>[оверквотинг удален]
>> для сквида - делаете acl для данного ip и пускаете его без
>> авторизации
>> acl second_srv src <ip>
>> http_access allow second_srv
>> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
>> libalias и ipfw) и минимум правил что-то типа
>> ipfw add nat 123 all from any to any
>> ipfw nat 123 config if <внешний интерфейс> log deny_in
> IPFW поднят. Ядро уже собрано с ним
> Под цифрами 123, что понимается?

Понял. Это IP моей машины

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от arachnid (ok) on 05-Апр-11, 19:35 
>[оверквотинг удален]
>>> авторизации
>>> acl second_srv src <ip>
>>> http_access allow second_srv
>>> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
>>> libalias и ipfw) и минимум правил что-то типа
>>> ipfw add nat 123 all from any to any
>>> ipfw nat 123 config if <внешний интерфейс> log deny_in
>> IPFW поднят. Ядро уже собрано с ним
>> Под цифрами 123, что понимается?
> Понял. Это IP моей машины

лучше бы посмотрели man ipfw. в данном случае это просто идентификатор данного ната - в системе их может быть много

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Николай email(??) on 13-Апр-11, 09:11 
>> через что?
>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>> если squid не устраивает, то через nat
> Вот тут и возникает вопрос. А как можно?
> Squid настроен на авторизацию по NTLM.
> Как добавить туда разрешение для определенного IP, я не знаю.
> Самый лучший вариант, это будет пустить его по nat.
> Но по nat не получается. Правило я привел.
> Я буду признателен за любую помощь.

Здесь почитай.
http://www.lissyara.su/articles/freebsd/traffic_count/squid+.../

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "FreeBSD 8.1 Squid+Sams + правила IPFW"  +/
Сообщение от Sindikat88 (ok) on 20-Апр-11, 15:08 
>[оверквотинг удален]
>>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>>> если squid не устраивает, то через nat
>> Вот тут и возникает вопрос. А как можно?
>> Squid настроен на авторизацию по NTLM.
>> Как добавить туда разрешение для определенного IP, я не знаю.
>> Самый лучший вариант, это будет пустить его по nat.
>> Но по nat не получается. Правило я привел.
>> Я буду признателен за любую помощь.
> Здесь почитай.
> http://www.lissyara.su/articles/freebsd/traffic_count/squid+.../

В общем, ничего не получилось.
Привожу участок конфига IPFW:
${FwCMD} add allow tcp from any to 192.168.0.11
${FwCMD} add allow tcp from 192.168.0.11 to any
${FwCMD} add divert natd tcp from 192.168.0.11 to any  via ${LanOut}
${FwCMD} add divert natd tcp from any to ${IpOut} in via ${LanOut}

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру