 Прозрачный сквид с ipfw fwd,  zumer, 10-Янв-08, 14:30 [смотреть все]Есть машина с FreeBSD 6.1-RELEASE с одним интерфейсом 192.168.0.5 (на которой просто вертится самба). На ней, перекомпилил ядро с поддержкой IPFW, поднял сквид и сделал его прозрачным. Но где-то вкралась ошибка, которую никак не могу найти. У юзеров GateWay натравлен на эту машинку и есть циска с адресом 192.168.0.1 с поднятым натом. Если в IE назначаешь прокси - все работает, а как ставишь "не использовать прокси" - все сдыхает. Версия сквида - squid-3.0.1. Вот конфиги:
ipfw show
00010 9176 3952596 allow tcp from any to any established
00020 564 256046 allow ip from any to any via lo0
00030 0 0 deny ip from any to 127.0.0.0/8
00040 0 0 deny ip from 127.0.0.0/8 to any
00050 0 0 check-state
00060 191 12224 allow tcp from 192.168.0.5 to any keep-state
00070 49 3042 allow udp from 192.168.0.0/24 to 192.168.0.5 dst-port 53,123
00080 250 39312 allow udp from 192.168.0.5 to any dst-port 53,123 keep-state
00090 0 0 deny ip from any to any frag
00100 0 0 allow log udp from any to any dst-port 67
00110 34 1632 allow tcp from 192.168.0.0/24 to 192.168.0.5 dst-port 110,25
00100 0 0 allow tcp from any to 192.168.0.5 dst-port 20,21,22
00120 134 16880 allow udp from 192.168.0.0/24 to 192.168.0.0/24 dst-port 137,138,139
00130 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17
00140 28 1998 allow icmp from any to any
00150 0 0 allow log tcp from 192.168.0.5 to any dst-port 80
00160 7 336 allow log tcp from 192.168.0.0/24 to any dst-port 80,443,21 in
00170 7 336 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,443,21
00300 130 16574 allow log ip from any to any
65535 0 0 deny ip from any to anyв squid.conf
http_port 3128 transparent
присутствует. Как видно правило 170 выполняется, но куда же уходят пакеты? В логах сквида ничего не отображается (т.е. отображаются запросы только тех у кого в IE сказано ходить через проски). Может ipfw не работает с одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? Подскажите плиз.
|
- Прозрачный сквид с ipfw fwd, mixa, 19:58 , 10-Янв-08 (1)
- Прозрачный сквид с ipfw fwd, zumer, 09:29 , 11-Янв-08 (2)
>Хм, много правил в фаерволе, ни асилил :)Я только разбираюсь, поэтому их столько :)
>А вот так не пробовали - в конфиге сквида:
>http_port 127.0.0.1:3128 transparent пробовал, и http_port 192.168.0.5:3128 transparent пробовал - не получается. >В фаерволе
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in in это значит на входе в фаер форвардить? я везде где натыкался на правила, везде только на выходе ворвардили. Правда с другого интерфейса. >allow ip from any to 192.168.0.0/24
>allow ip from 192.168.0.0/24 to any интересная мысль...проверю.
- Прозрачный сквид с ipfw fwd, zumer, 14:46 , 14-Янв-08 (3)
Народ, ну что может быть?Снес 3 сквид и поставил 2.6.stable17. Все равно. Логи ворварда ведутся:
Jan 14 14:20:33 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0
Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0
Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 а вот это правило:
00020 564 256046 allow log ip from any to any via lo0
не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и форвард на 127.0.0.1,3128 то IE долго висит и не может получить ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, то IE быстренько отваливается с сообщением "Невозможно отобразить страницу".
Кто мне подскажет - где копать?
|
Версия для распечатки
