Прозрачный сквид с ipfw fwd, zumer, 10-Янв-08, 14:30 [смотреть все]Есть машина с FreeBSD 6.1-RELEASE с одним интерфейсом 192.168.0.5 (на которой просто вертится самба). На ней, перекомпилил ядро с поддержкой IPFW, поднял сквид и сделал его прозрачным. Но где-то вкралась ошибка, которую никак не могу найти. У юзеров GateWay натравлен на эту машинку и есть циска с адресом 192.168.0.1 с поднятым натом. Если в IE назначаешь прокси - все работает, а как ставишь "не использовать прокси" - все сдыхает. Версия сквида - squid-3.0.1. Вот конфиги: ipfw show 00010 9176 3952596 allow tcp from any to any established 00020 564 256046 allow ip from any to any via lo0 00030 0 0 deny ip from any to 127.0.0.0/8 00040 0 0 deny ip from 127.0.0.0/8 to any 00050 0 0 check-state 00060 191 12224 allow tcp from 192.168.0.5 to any keep-state 00070 49 3042 allow udp from 192.168.0.0/24 to 192.168.0.5 dst-port 53,123 00080 250 39312 allow udp from 192.168.0.5 to any dst-port 53,123 keep-state 00090 0 0 deny ip from any to any frag 00100 0 0 allow log udp from any to any dst-port 67 00110 34 1632 allow tcp from 192.168.0.0/24 to 192.168.0.5 dst-port 110,25 00100 0 0 allow tcp from any to 192.168.0.5 dst-port 20,21,22 00120 134 16880 allow udp from 192.168.0.0/24 to 192.168.0.0/24 dst-port 137,138,139 00130 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17 00140 28 1998 allow icmp from any to any 00150 0 0 allow log tcp from 192.168.0.5 to any dst-port 80 00160 7 336 allow log tcp from 192.168.0.0/24 to any dst-port 80,443,21 in 00170 7 336 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,443,21 00300 130 16574 allow log ip from any to any 65535 0 0 deny ip from any to anyв squid.conf http_port 3128 transparent присутствует. Как видно правило 170 выполняется, но куда же уходят пакеты? В логах сквида ничего не отображается (т.е. отображаются запросы только тех у кого в IE сказано ходить через проски). Может ipfw не работает с одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? Подскажите плиз.
|
- Прозрачный сквид с ipfw fwd, mixa, 19:58 , 10-Янв-08 (1)
- Прозрачный сквид с ipfw fwd, zumer, 09:29 , 11-Янв-08 (2)
>Хм, много правил в фаерволе, ни асилил :)Я только разбираюсь, поэтому их столько :) >А вот так не пробовали - в конфиге сквида: >http_port 127.0.0.1:3128 transparent пробовал, и http_port 192.168.0.5:3128 transparent пробовал - не получается. >В фаерволе >fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in in это значит на входе в фаер форвардить? я везде где натыкался на правила, везде только на выходе ворвардили. Правда с другого интерфейса. >allow ip from any to 192.168.0.0/24 >allow ip from 192.168.0.0/24 to any интересная мысль...проверю.
- Прозрачный сквид с ipfw fwd, zumer, 14:46 , 14-Янв-08 (3)
Народ, ну что может быть?Снес 3 сквид и поставил 2.6.stable17. Все равно. Логи ворварда ведутся: Jan 14 14:20:33 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 а вот это правило: 00020 564 256046 allow log ip from any to any via lo0 не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и форвард на 127.0.0.1,3128 то IE долго висит и не может получить ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, то IE быстренько отваливается с сообщением "Невозможно отобразить страницу". Кто мне подскажет - где копать?
|