forum.opennet.ru - "Squid + ipfw" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Squid + ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Squid + ipfw"
Сообщение от torz on 04-Сен-02, 19:12 (MSK)
Проблема такая. Локальная сеть, сервер имеет 2 сетевухи, xl1-внешний ip x.y.z.v ,xl0 - 192.168.0.1 -внутрений. Поставил сквид. Если в Internet Explorer явно указать что работать через прокси(прописать адресс прокси и т. д.) то все пучком.Юзеры лезут в инет через него, в логах сквид пишет , и кеширует. Если явно в IE не указать что работать через прокси то юзеры лезут в инет минуя сквид(в логах он ничего не пишет и не кеширует). Я так понимаю что запросы которые идут в инет из локалки надо заворачивать на сквид ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 in recv xl0 Но ни один пакет не форвардит на сквид.Почему? На серваке висит НАТ может по-этому? Правила для НАТ map xl1 192.168.0.0/24 -> x.y.z.v/32 portmap tcp/udp 40000:60000 map xl1 192.168.0.0/24 -> x.y.z.v/32 Правила ipfw ipfw add 100 pass all from any to any via lo0 ipfw add 200 pass all from any to any via xl0 ipfw add 300 deny icmp from any to any frag ipfw add 400 pass icmp from any to any #forward to squid ipfw add 800 fwd 127.0.0.1,3128 tcp from any to any 80 via xl0 in #allow http,smtp,www ipfw add 1000 pass tcp from any to any 80-81 via xl1 ipfw add 1010 pass tcp from any 80-81 to any via xl1 ipfw add 1020 allow tcp from any to any 25 ipfw add 1040 allow tcp from any to any 110 ipfw add 1050 allow tcp from any 110 to any ipfw add 1100 pass tcp from any 8001-8003 to any via xl1 ipfw add 1110 pass tcp from any to any 8001-8003 via xl1 ipfw add 1200 pass tcp from any 8101-8103 to any via xl1 ipfw add 1210 pass tcp from any to any 8101-8103 via xl1 #allow DNS ipfw add 2000 allow udp from any to any 53 ipfw add 2010 allow udp from any 53 to any ipfw add count log ip from any to any ipfw add 65500 deny all from any to any
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Squid + ipfw: не более, чем мнение, proff, 19:42 , 04-Сен-02, (1)
- RE: Squid + ipfw: не более, чем мнение, keepver, 19:58 , 04-Сен-02, (2)
- RE: Squid + ipfw: не более, чем мнение, torz, 20:36 , 04-Сен-02, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Squid + ipfw: не более, чем мнение"

Сообщение от proff on 04-Сен-02, 19:42  (MSK)

есть мнение которым хотел бы поделиться.
сам еще не проверял, т.к. пока нет такой потребности, но проблематика интересна, поэтому и пишу.
исходные данные:
1. IPFW. коментарии не нужны.
2. NAT. для трансляции внутренних адресов во внешний.
3. Squid. для кэширования и статистики.
решение:
1. собираешь ядро с поддержкой IPFW и NAT.
2. правишь /etc/rc.conf, где активизируешь NAT и указываешь ему внешний интерфейс
3. правишь /etc/rc.firewall.
4. запускаешь Squid.
суть изменений в /etc/rc.firewall:
1. сначала идут правила "deny" и "reject" (если есть) - суть FW
2. потом идет правило "divert" (после правила "divert" пакет из локальной сети - уже пакет с хоста с адресом твой_внешний_IP и наоборот, если пакет входящий) - суть NAT
3. потом идут правила "forward":
  3.1 первое заворачивает весь трафик с "с твого внешнего IP на 80 порт" на " localhost и порт", который слушает Squid
  3.2 второе с "localhost и порт", который слушает Squid на "с твого внешнего IP на 80 порт" - эти два правила - суть прокси
4. потом идут твои правила "allow"
все.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Squid + ipfw: не более, чем мнение"

Сообщение от keepver on 04-Сен-02, 19:58  (MSK)

не все, вот внизу тред почитай аналогичный
https://www.opennet.ru/openforum//vsluhforumID1/20385.html

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Squid + ipfw: не более, чем мнение"

Сообщение от torz on 04-Сен-02, 20:36  (MSK)

>>исходные данные:
>1. IPFW. коментарии не нужны.
>2. NAT. для трансляции внутренних адресов во внешний.
>3. Squid. для кэширования и статистики.
>
>решение:
>1. собираешь ядро с поддержкой IPFW и NAT.
>2. правишь /etc/rc.conf, где активизируешь NAT и указываешь ему внешний интерфейс
>3. правишь /etc/rc.firewall.
>4. запускаешь Squid.
Все сделано
>суть изменений в /etc/rc.firewall:
>1. сначала идут правила "deny" и "reject" (если есть) - суть FW
>
>2. потом идет правило "divert" (после правила "divert" пакет из локальной сети
>- уже пакет с хоста с адресом твой_внешний_IP и наоборот, если
>пакет входящий) - суть NAT
>3. потом идут правила "forward":
>  3.1 первое заворачивает весь трафик с "с твого внешнего IP
>на 80 порт" на " localhost и порт", который слушает Squid
ipfw add 800 fwd 127.0.0.1,3128 tcp from x.l.y.z to any 80 via xl1 out
После этого инет в локалке пропадает

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid + ipfw: не более, чем мнение"
Сообщение от proff on 04-Сен-02, 19:42 (MSK)
есть мнение которым хотел бы поделиться. сам еще не проверял, т.к. пока нет такой потребности, но проблематика интересна, поэтому и пишу. исходные данные: 1. IPFW. коментарии не нужны. 2. NAT. для трансляции внутренних адресов во внешний. 3. Squid. для кэширования и статистики. решение: 1. собираешь ядро с поддержкой IPFW и NAT. 2. правишь /etc/rc.conf, где активизируешь NAT и указываешь ему внешний интерфейс 3. правишь /etc/rc.firewall. 4. запускаешь Squid. суть изменений в /etc/rc.firewall: 1. сначала идут правила "deny" и "reject" (если есть) - суть FW 2. потом идет правило "divert" (после правила "divert" пакет из локальной сети - уже пакет с хоста с адресом твой_внешний_IP и наоборот, если пакет входящий) - суть NAT 3. потом идут правила "forward": 3.1 первое заворачивает весь трафик с "с твого внешнего IP на 80 порт" на " localhost и порт", который слушает Squid 3.2 второе с "localhost и порт", который слушает Squid на "с твого внешнего IP на 80 порт" - эти два правила - суть прокси 4. потом идут твои правила "allow" все.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Squid + ipfw: не более, чем мнение"
	Сообщение от keepver on 04-Сен-02, 19:58 (MSK)
	не все, вот внизу тред почитай аналогичный https://www.opennet.ru/openforum//vsluhforumID1/20385.html
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Squid + ipfw: не более, чем мнение"
	Сообщение от torz on 04-Сен-02, 20:36 (MSK)
	>>исходные данные: >1. IPFW. коментарии не нужны. >2. NAT. для трансляции внутренних адресов во внешний. >3. Squid. для кэширования и статистики. > >решение: >1. собираешь ядро с поддержкой IPFW и NAT. >2. правишь /etc/rc.conf, где активизируешь NAT и указываешь ему внешний интерфейс >3. правишь /etc/rc.firewall. >4. запускаешь Squid. Все сделано >суть изменений в /etc/rc.firewall: >1. сначала идут правила "deny" и "reject" (если есть) - суть FW > >2. потом идет правило "divert" (после правила "divert" пакет из локальной сети >- уже пакет с хоста с адресом твой_внешний_IP и наоборот, если >пакет входящий) - суть NAT >3. потом идут правила "forward": > 3.1 первое заворачивает весь трафик с "с твого внешнего IP >на 80 порт" на " localhost и порт", который слушает Squid ipfw add 800 fwd 127.0.0.1,3128 tcp from x.l.y.z to any 80 via xl1 out После этого инет в локалке пропадает
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх