ipfw + proxy (прозрачный прокси), darkness, 02-Окт-07, 13:37 [смотреть все]Большая просьба прояснить ситуацию: Имеется squid и фаерволл на одной машине (ось FreeBSD) Имеется большое желание сделать "прозрачный-прокси" (чтобы прокся работала с юзерами невидимо для них) До этого я уже поднимал подобный вопрос на что мне была дана интересная ссылка: http://www.sun.com/bigadmin/content/submitted/transp_proxy.html которую я без внимания не оставил. Я сделал всё как там описана перекомпилил squid, настроил его, приведённые там правила мне показались неправильными, но ради интереса я в тупую их скопировал подставил нужные значения и всё... Результат - не работает! Поэтому решил настривать по-своему. Пожалуйста подскажите как грамотно огранизвать форвардинг на проксю... Имеются правила в наличии следующие: ipfw add 400 allow ip from me to any ipfw add 500 allow ip from any to me #?????????????? ipfw add 700 divert 127.0.0.1,3128 ip from any to any #??????????????
|
- ipfw + proxy (прозрачный прокси), DustpaN, 14:30 , 02-Окт-07 (1)
- ipfw + proxy (прозрачный прокси), darkness, 15:58 , 02-Окт-07 (2)
>>#?????????????? >>ipfw add 700 divert 127.0.0.1,3128 ip from any to any >>#?????????????? > >ipfw add 700 divert 127.0.0.1,3128 tcp from any to any dst-port 80 > >А то у тебя все что только можно на проклю заворачивается Да в принципе так и должно быть чтобы всё заворачивалось на проксю ведь у клиентов не только работает интернет эксплорер но так же и ICQ и Skype и клиент банк и проч и проч.... И приведённое Вами правило не работает к тому же. Хотя логика, чёрт возьми, верна (я так думаю)!!! В чём может быть проблема?
- ipfw + proxy (прозрачный прокси), darkness, 17:55 , 02-Окт-07 (3)
Народ неужели никто с подобной задачей не сталкивался???
- ipfw + proxy (прозрачный прокси), stonecold, 11:01 , 03-Окт-07 (4)
- ipfw + proxy (прозрачный прокси), darkness, 15:40 , 03-Окт-07 (5)
>[оверквотинг удален] >для прозрачного сквида нужно одно лишь правило: >add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80,8080,8081 >в ядре ессно должны быть опции: IPFIREWALL_FORWARD, IPFIREWALL_FORWARD_EXTENDED (в >6.x экстендед опции афаик нет и не надо). > >а все остальное - аську, почту, банки - только nat-ить. >add divert natd ip from ${local_net} to any out via ${ext_if} >add divert natd ip from any to ${ext_ip} in via ${ext_if} >эти правила должы идти _после_ форварда, иначе не будет прозрачного проксирования. >по хорошему после этого еще написать правила для открытия только нужных портов >и фаер в дефаулт_ту_блок перевести. Большое СПАСИБО!!!
|