forum.opennet.ru - "Прозрачный сквид с ipfw fwd" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Прозрачный сквид с ipfw fwd"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прозрачный сквид с ipfw fwd"
Сообщение от zumer (??) on 10-Янв-08, 14:30
Есть машина с FreeBSD 6.1-RELEASE с одним интерфейсом 192.168.0.5 (на которой просто вертится самба). На ней, перекомпилил ядро с поддержкой IPFW, поднял сквид и сделал его прозрачным. Но где-то вкралась ошибка, которую никак не могу найти. У юзеров GateWay натравлен на эту машинку и есть циска с адресом 192.168.0.1 с поднятым натом. Если в IE назначаешь прокси - все работает, а как ставишь "не использовать прокси" - все сдыхает. Версия сквида - squid-3.0.1. Вот конфиги: ipfw show 00010 9176 3952596 allow tcp from any to any established 00020 564 256046 allow ip from any to any via lo0 00030 0 0 deny ip from any to 127.0.0.0/8 00040 0 0 deny ip from 127.0.0.0/8 to any 00050 0 0 check-state 00060 191 12224 allow tcp from 192.168.0.5 to any keep-state 00070 49 3042 allow udp from 192.168.0.0/24 to 192.168.0.5 dst-port 53,123 00080 250 39312 allow udp from 192.168.0.5 to any dst-port 53,123 keep-state 00090 0 0 deny ip from any to any frag 00100 0 0 allow log udp from any to any dst-port 67 00110 34 1632 allow tcp from 192.168.0.0/24 to 192.168.0.5 dst-port 110,25 00100 0 0 allow tcp from any to 192.168.0.5 dst-port 20,21,22 00120 134 16880 allow udp from 192.168.0.0/24 to 192.168.0.0/24 dst-port 137,138,139 00130 0 0 deny icmp from any to any icmptypes 5,9,13,14,15,16,17 00140 28 1998 allow icmp from any to any 00150 0 0 allow log tcp from 192.168.0.5 to any dst-port 80 00160 7 336 allow log tcp from 192.168.0.0/24 to any dst-port 80,443,21 in 00170 7 336 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,443,21 00300 130 16574 allow log ip from any to any 65535 0 0 deny ip from any to any в squid.conf http_port 3128 transparent присутствует. Как видно правило 170 выполняется, но куда же уходят пакеты? В логах сквида ничего не отображается (т.е. отображаются запросы только тех у кого в IE сказано ходить через проски). Может ipfw не работает с одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? Подскажите плиз.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Прозрачный сквид с ipfw fwd, mixa, 19:58 , 10-Янв-08, (1)

Прозрачный сквид с ipfw fwd, zumer, 09:29 , 11-Янв-08, (2)

Прозрачный сквид с ipfw fwd, zumer, 14:46 , 14-Янв-08, (3)

Прозрачный сквид с ipfw fwd, mixa, 18:16 , 14-Янв-08, (4)

Прозрачный сквид с ipfw fwd, heller, 16:21 , 21-Янв-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Прозрачный сквид с ipfw fwd"

Сообщение от mixa (??) on 10-Янв-08, 19:58

>[оверквотинг удален]
>
>в squid.conf
>http_port 3128 transparent
>присутствует.
>
>Как видно правило 170 выполняется, но куда же уходят пакеты? В логах
>сквида ничего не отображается (т.е. отображаются запросы только тех у кого
>в IE сказано ходить через проски). Может ipfw не работает с
>одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен?
>Подскажите плиз.
Хм, много правил в фаерволе, ни асилил :)
А вот так не пробовали - в конфиге сквида:
http_port 127.0.0.1:3128 transparent
В фаерволе
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in
allow ip from any to 192.168.0.0/24
allow ip from 192.168.0.0/24 to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Прозрачный сквид с ipfw fwd"

Сообщение от zumer (??) on 11-Янв-08, 09:29

>Хм, много правил в фаерволе, ни асилил :)
Я только разбираюсь, поэтому их столько :)
>А вот так не пробовали - в конфиге сквида:
>http_port 127.0.0.1:3128 transparent
пробовал, и http_port 192.168.0.5:3128 transparent пробовал - не получается.
>В фаерволе
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in
in это значит на входе в фаер форвардить? я везде где натыкался на правила, везде только на выходе ворвардили. Правда с другого интерфейса.
>allow ip from any to 192.168.0.0/24
>allow ip from 192.168.0.0/24 to any
интересная мысль...проверю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прозрачный сквид с ipfw fwd"

Сообщение от zumer (??) on 14-Янв-08, 14:46

Народ, ну что может быть?
Снес 3 сквид и поставил 2.6.stable17. Все равно. Логи ворварда ведутся:
Jan 14 14:20:33 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0
Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0
Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0
а вот это правило:
00020 564 256046 allow log ip from any to any via lo0
не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и форвард на 127.0.0.1,3128 то IE долго висит и не может получить ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, то IE быстренько отваливается с сообщением "Невозможно отобразить страницу".
Кто мне подскажет - где копать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Прозрачный сквид с ipfw fwd"

Сообщение от mixa (??) on 14-Янв-08, 18:16

>[оверквотинг удален]
>
>а вот это правило:
>00020 564 256046 allow log ip from any to any
>via lo0
>не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то
>с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и
>форвард на 127.0.0.1,3128 то IE долго висит и не может получить
>ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128,
>то IE быстренько отваливается с сообщением "Невозможно отобразить страницу".
>Кто мне подскажет - где копать?
Извиняюсь, сразу невнимательно прочитал первый пост. Сетевуха одна, вот и гемор.
Сквид, как правило, ставят для кеширования и экономии трафика, так? А что мешает пользователям прописать дефолтом сразу циску и нафиг ваш сквид? Поэтому, поставьте еще одну сетевую и все устаканится (если сквид действительно нужен). Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей. На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip 192.168.1.2 На циске нат.
Правила на 0.5 для начала самые примитивные
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in
allow ip from any to 192.168.0.0/24
ну и конфиг сквида на предмет
http_port 127.0.0.1:3128 transparent
acl net src 192.168.0.0/255.255.255.0
http_access allow net

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Прозрачный сквид с ipfw fwd"

Сообщение от heller on 21-Янв-08, 16:21

>[оверквотинг удален]
>Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей.
>На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip
>192.168.1.2 На циске нат.
>Правила на 0.5 для начала самые примитивные
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in
>allow ip from any to 192.168.0.0/24
> ну и конфиг сквида на предмет
>http_port 127.0.0.1:3128 transparent
>acl net src 192.168.0.0/255.255.255.0
>http_access allow net
Вобщем дали мне задачу, посчитать инет-трафик. Конечно ставим сквид и поехали. Я просто не хотел бегать и переделывать настройки IE у 18 машин и шлюз. Думал просто заверну все инет-пакетики на сквид и дело с концом. Из юзеров - никто самостоятельно на машинах прописать шлюз не сможет. Пришлось сделать ручками. Только вот все равно меня терзают смутные сомнения, что на одном интерфейсе низя такого сделать!!! Есть интерфейс, есть фаер, пакеты проходят его дважды, как собственно и должно быть - все как в доках. И сквид ловит пакеты на 3128 порт и fwd правило считает байтики, но сквид его не видит!!! Почему сквид никак не реагирует на "завернутые" пакеты? Может где-то на уровне ядра (или в стеке IP протокола) они куда-то деваются? Хочется узнать, кто виноват ( кроме меня конечно :) ) Кто не правильно настроен. На другой (тестовой) машине сделал ТОЖЕ-САМОЕ. Там сквид увидел пакеты, но зато не видит доменную часть. В логах типа .... GET - /docs.html ....(В IE запрос типа http://www.freebsd.org/docs.html) и не знает откуда этот файл брать. Подскажите плиз - где эту "математику" прочитать? Просто личный интерес сильно разбирает - докопаться до истины хочу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прозрачный сквид с ipfw fwd"
Сообщение от mixa (??) on 10-Янв-08, 19:58
>[оверквотинг удален] > >в squid.conf >http_port 3128 transparent >присутствует. > >Как видно правило 170 выполняется, но куда же уходят пакеты? В логах >сквида ничего не отображается (т.е. отображаются запросы только тех у кого >в IE сказано ходить через проски). Может ipfw не работает с >одной сетевой картой, или какое-то правило отсутствует, или сквид неправильно настроен? >Подскажите плиз. Хм, много правил в фаерволе, ни асилил :) А вот так не пробовали - в конфиге сквида: http_port 127.0.0.1:3128 transparent В фаерволе fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in allow ip from any to 192.168.0.0/24 allow ip from 192.168.0.0/24 to any
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Прозрачный сквид с ipfw fwd"
	Сообщение от zumer (??) on 11-Янв-08, 09:29
	>Хм, много правил в фаерволе, ни асилил :) Я только разбираюсь, поэтому их столько :) >А вот так не пробовали - в конфиге сквида: >http_port 127.0.0.1:3128 transparent пробовал, и http_port 192.168.0.5:3128 transparent пробовал - не получается. >В фаерволе >fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in in это значит на входе в фаер форвардить? я везде где натыкался на правила, везде только на выходе ворвардили. Правда с другого интерфейса. >allow ip from any to 192.168.0.0/24 >allow ip from 192.168.0.0/24 to any интересная мысль...проверю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Прозрачный сквид с ipfw fwd"
	Сообщение от zumer (??) on 14-Янв-08, 14:46
	Народ, ну что может быть? Снес 3 сквид и поставил 2.6.stable17. Все равно. Логи ворварда ведутся: Jan 14 14:20:33 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 Jan 14 14:20:34 fsrv kernel: ipfw: 170 Forward to 127.0.0.1:3128 TCP 192.168.0.33:1718 194.67.57.226:80 out via bge0 а вот это правило: 00020 564 256046 allow log ip from any to any via lo0 не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и форвард на 127.0.0.1,3128 то IE долго висит и не может получить ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, то IE быстренько отваливается с сообщением "Невозможно отобразить страницу". Кто мне подскажет - где копать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Прозрачный сквид с ipfw fwd"
	Сообщение от mixa (??) on 14-Янв-08, 18:16
	>[оверквотинг удален] > >а вот это правило: >00020 564 256046 allow log ip from any to any >via lo0 >не отображает завернутые пакеты. Я так понял сквид здесь не причем. Что-то >с форвардом. Хотя с другой стороны, когда сквид слушает 127.0.0.1:3128 и >форвард на 127.0.0.1,3128 то IE долго висит и не может получить >ответ. а когда сквид слушает 192.168.0.5:3128 а форвард по прежнему 127.0.0.1,3128, >то IE быстренько отваливается с сообщением "Невозможно отобразить страницу". >Кто мне подскажет - где копать? Извиняюсь, сразу невнимательно прочитал первый пост. Сетевуха одна, вот и гемор. Сквид, как правило, ставят для кеширования и экономии трафика, так? А что мешает пользователям прописать дефолтом сразу циску и нафиг ваш сквид? Поэтому, поставьте еще одну сетевую и все устаканится (если сквид действительно нужен). Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей. На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip 192.168.1.2 На циске нат. Правила на 0.5 для начала самые примитивные fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in allow ip from any to 192.168.0.0/24 ну и конфиг сквида на предмет http_port 127.0.0.1:3128 transparent acl net src 192.168.0.0/255.255.255.0 http_access allow net
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Прозрачный сквид с ipfw fwd"
	Сообщение от heller on 21-Янв-08, 16:21
	>[оверквотинг удален] >Второй сетевой свяжите вашу циску. 192.168.0.5 будет шлюзом для всех пользователей. >На второй сетевой, скажем, 192.168.1.1 дефолтный шлюз на циску с ip >192.168.1.2 На циске нат. >Правила на 0.5 для начала самые примитивные >fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me dst-port 80 in >allow ip from any to 192.168.0.0/24 > ну и конфиг сквида на предмет >http_port 127.0.0.1:3128 transparent >acl net src 192.168.0.0/255.255.255.0 >http_access allow net Вобщем дали мне задачу, посчитать инет-трафик. Конечно ставим сквид и поехали. Я просто не хотел бегать и переделывать настройки IE у 18 машин и шлюз. Думал просто заверну все инет-пакетики на сквид и дело с концом. Из юзеров - никто самостоятельно на машинах прописать шлюз не сможет. Пришлось сделать ручками. Только вот все равно меня терзают смутные сомнения, что на одном интерфейсе низя такого сделать!!! Есть интерфейс, есть фаер, пакеты проходят его дважды, как собственно и должно быть - все как в доках. И сквид ловит пакеты на 3128 порт и fwd правило считает байтики, но сквид его не видит!!! Почему сквид никак не реагирует на "завернутые" пакеты? Может где-то на уровне ядра (или в стеке IP протокола) они куда-то деваются? Хочется узнать, кто виноват ( кроме меня конечно :) ) Кто не правильно настроен. На другой (тестовой) машине сделал ТОЖЕ-САМОЕ. Там сквид увидел пакеты, но зато не видит доменную часть. В логах типа .... GET - /docs.html ....(В IE запрос типа http://www.freebsd.org/docs.html) и не знает откуда этот файл брать. Подскажите плиз - где эту "математику" прочитать? Просто личный интерес сильно разбирает - докопаться до истины хочу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]