форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (OpenBSD PF)
Изначальное сообщение		[ Отслеживать ]

"PF+Squid+2канала"	+/–
Сообщение от dehuu76 (ok) on 25-Май-12, 21:15
Здравствуйте! Помогите, пожалуйста, в решении следующей проблемы. Есть шлюз на базе Freebsd 8.2+pf+squid. На шлюзе три сетевые карты - одна внутренняя (172.16.72.0/21-int_if), вторая внешняя (инет, ext_if), третья - в локальной сети другого провайдера (172.30.0.0/16-prov_if). На внутреннем интерфейсе int_if порту 3128 висит сквид. Обычный, с ntlm-авторизацией, не transparent. Маршрутизация настроена и пакеты ходят с компов локальной сети как в инет, так и в локальную сеть другого провайдера. Задача в том, чтобы заворачивать пакеты, идущие в инет на 80-порт принудительно через сквид, а пакеты, идущие в локальную сеть другого провайдера на 80-порт просто пропускать на свой интерфейс (prov_if). Настройки браузеров - Автоматическое получение параметров. В pf имеются следующие правила: rdr pass on $int_if inet proto tcp from <local_comps> to { !172.16.72.0/21, !172.30.0.0/16 } port www ->$int_if port 3128 Интернет при этом перестает работать вообще, и проблема в том, что пакеты на 80-порт локальной сети другого провайдера всё равно перехватываются сквидом. Если закомментировать это правило, в настройках клиентов прописать прокси руками, добавить в исключения локальные ip-адреса другого провайдера, всё работает Может тут необходимо использовать какие-то конструкции типа route-to для решения проблемы? P.S. Сделал так: no rdr on $int_if inet proto tcp from <local_comps> to { 172.30.0.0/16 } rdr pass on $int_if inet proto tcp from <local_comps> to { !172.16.72.0/21 } port www ->$int_if port 3128 И все равно пакеты на 80-порт локальной сети другого провайдера перехватываются сквидом
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PF+Squid+2канала"	+/–
Сообщение от михалыч (ok) on 28-Май-12, 07:31
>[оверквотинг удален] > на 80-порт локальной сети другого провайдера всё равно перехватываются сквидом. > Если закомментировать это правило, в настройках клиентов прописать прокси руками, добавить > в исключения локальные ip-адреса другого провайдера, всё работает > Может тут необходимо использовать какие-то конструкции типа route-to для решения проблемы? > P.S. Сделал так: > no rdr on $int_if inet proto tcp from <local_comps> to { 172.30.0.0/16 > } > rdr pass on $int_if inet proto tcp from <local_comps> to { !172.16.72.0/21 > } port www ->$int_if port 3128 > И все равно пакеты на 80-порт локальной сети другого провайдера перехватываются сквидом Дык, сквид на лупбак повесить и на нем уже сортировать кого в лес, а кого по дрова. ... www ->127.0.0.1 port 3128 ну и конфиг сквида поправить, разумеется, не забыть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "PF+Squid+2канала"	+/–
	Сообщение от reader (ok) on 28-Май-12, 17:48
	>[оверквотинг удален] >> на 80-порт локальной сети другого провайдера всё равно перехватываются сквидом. >> Если закомментировать это правило, в настройках клиентов прописать прокси руками, добавить >> в исключения локальные ip-адреса другого провайдера, всё работает >> Может тут необходимо использовать какие-то конструкции типа route-to для решения проблемы? >> P.S. Сделал так: >> no rdr on $int_if inet proto tcp from <local_comps> to { 172.30.0.0/16 >> } >> rdr pass on $int_if inet proto tcp from <local_comps> to { !172.16.72.0/21 >> } port www ->$int_if port 3128 >> И все равно пакеты на 80-порт локальной сети другого провайдера перехватываются сквидом сам по себе squid ничего не перехватывает, он просто ждет когда ему доставят пакет на 3128 порт. соответственно либо происходит заворачивание в pf, либо браузер ему присылает. уберите эти правила, запустите tcpdump и убедитесь что браузер не шлет пакеты на 3128 порт
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема