The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
ipfw fwd на FreeBSD с одним интерфейсом., !*! zumer, 10-Янв-08, 13:57  [смотреть все]
Как обычно возникла задача считать трафик юзеров. Для этой цели решили использовать уже рабочую машину FreeBSD 6.1-RELEASE с одним интерфейсом 192.168.0.5 (на которой просто вертелась самба). На ней, перекомпилил ядро с поддержкой IPFW, поднял сквид и сделал его прозрачным. Но где-то вкралась ошибка, которую никак не могу найти. У юзеров GateWay натравлен на эту машинку и есть циска с адресом 192.168.0.1 с поднятым натом. Если в IE назначаешь прокси - все работает, а как ставишь не использовать прокси - все сдыхает. Версия сквида - squid-3.0.1. Вот конфиги:
ipfw show
00010 9176 3952596 allow tcp from any to any established
00020  564  256046 allow ip from any to any via lo0
00030    0       0 deny ip from any to 127.0.0.0/8
00040    0       0 deny ip from 127.0.0.0/8 to any
00050    0       0 check-state
00060  191   12224 allow tcp from 192.168.0.5 to any keep-state
00070   49    3042 allow udp from 192.168.0.0/24 to 192.168.0.5 dst-port 53,123
00080  250   39312 allow udp from 192.168.0.5 to any dst-port 53,123 keep-state
00090    0       0 deny ip from any to any frag
00100    0       0 allow log udp from any to any dst-port 67
00110   34    1632 allow tcp from 192.168.0.0/24 to 192.168.0.5 dst-port 110,25
00100    0       0 allow tcp from any to 192.168.0.5 dst-port 20,21,22
00120  134   16880 allow udp from 192.168.0.0/24 to 192.168.0.0/24 dst-port 137,138,139
00130    0       0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17
00140   28    1998 allow icmp from any to any
00150    0       0 allow log tcp from 192.168.0.5 to any dst-port 80
00160    7     336 allow log tcp from 192.168.0.0/24 to any dst-port 80,443,21 in
00170    7     336 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,443,21
00300  130   16574 allow log ip from any to any
65535    0       0 deny ip from any to any

в squid.conf
http_port 3128 transparent
присутствует.

Как видно правило 170 выполняется, но куда же уходят пакеты? В логах сквида ничего не отображается (т.е. отображаются запросы только тех у кого в IE сказано ходить через проски). Может ipfw не работает с одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? Подскажите плиз.

Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру