Не могу понять в чем дело, перековырял вроде все настройки, до этого все работало, после обновления не пашет именно прозрачный прокси, в логах ничего нету!

ipfw2 initialized, divert loadable, nat enabled, rule-based forwarding enabled, default to deny, logging disabled

ipfw add 1000 allow tcp from me to any out via rl0 keep-state uid squid
ipfw add 1010 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80-83,8080-8083 out via rl0

uname -a 9.1-RELEASE-p22 FreeBSD 9.1-RELEASE-p22


squid.conf

access_log syslog:LOG_LOCAL4 squid

cache_mem 128 MB
cache_dir ufs /var/spool/squid 2048 64 256
maximum_object_size 8092 KB
maximum_object_size_in_memory 1024 KB
max_filedescriptors 8128

shutdown_lifetime 1 seconds
connect_timeout 20 seconds

#url_rewrite_program /usr/local/bin/squidGuard

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.10-192.168.0.254 # RFC1918 possible internal network
acl admin src 192.168.0.2-192.168.0.9

acl SSL_ports port 443 # https
acl Safe_ports port "/usr/local/etc/squid/safe_ports.acl"
acl Safe_ports port 1025-65535 # unregistered ports

acl purge method PURGE
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access allow localhost
http_access allow admin
http_access allow localnet

http_access allow all
http_access deny all

icp_access allow localnet
icp_access deny all

# Deny CONNECT to other than secure SSL ports
#http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128
http_port 127.0.0.1:3128 intercept

dns_v4_first on

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: &n... 1440 0% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

squid/cache.log


2015/06/03 12:43:34 kid1| Set Current Directory to /var/squid/cache/squid
2015/06/03 12:43:34 kid1| Starting Squid Cache version 3.5.3 for amd64-portbld-freebsd9.1...
2015/06/03 12:43:34 kid1| Service Name: squid
2015/06/03 12:43:34 kid1| Process ID 65092
2015/06/03 12:43:34 kid1| Process Roles: worker
2015/06/03 12:43:34 kid1| With 8128 file descriptors available
2015/06/03 12:43:34 kid1| Initializing IP Cache...
2015/06/03 12:43:34 kid1| DNS Socket created at [::], FD 6
2015/06/03 12:43:34 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/06/03 12:43:34 kid1| Adding domain backup.hochuvotpusk.ru from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 192.168.0.1 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 213.134.192.18 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Adding nameserver 213.134.195.253 from /etc/resolv.conf
2015/06/03 12:43:34 kid1| Logfile: opening log syslog:LOG_LOCAL4
2015/06/03 12:43:35 kid1| Unlinkd pipe opened on FD 12
2015/06/03 12:43:35 kid1| Store logging disabled
2015/06/03 12:43:35 kid1| Swap maxSize 2097152 + 131072 KB, estimated 171401 objects
2015/06/03 12:43:35 kid1| Target number of buckets: 8570
2015/06/03 12:43:35 kid1| Using 16384 Store buckets
2015/06/03 12:43:35 kid1| Max Mem size: 131072 KB
2015/06/03 12:43:35 kid1| Max Swap size: 2097152 KB
2015/06/03 12:43:35 kid1| Rebuilding storage in /var/spool/squid (clean log)
2015/06/03 12:43:35 kid1| Using Least Load store dir selection
2015/06/03 12:43:35 kid1| Set Current Directory to /var/squid/cache/squid
2015/06/03 12:43:35 kid1| Finished loading MIME types and icons.
2015/06/03 12:43:35 kid1| HTCP Disabled.
2015/06/03 12:43:35 kid1| Squid plugin modules loaded: 0
2015/06/03 12:43:35 kid1| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 15 flags=9
2015/06/03 12:43:35 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 16 flags=41
2015/06/03 12:43:35 kid1| Done reading /var/spool/squid swaplog (13 entries)
2015/06/03 12:43:35 kid1| Finished rebuilding storage from disk.
2015/06/03 12:43:35 kid1| 13 Entries scanned
2015/06/03 12:43:35 kid1| 0 Invalid entries.
2015/06/03 12:43:35 kid1| 0 With invalid flags.
2015/06/03 12:43:35 kid1| 13 Objects loaded.
2015/06/03 12:43:35 kid1| 0 Objects expired.
2015/06/03 12:43:35 kid1| 0 Objects cancelled.
2015/06/03 12:43:35 kid1| 0 Duplicate URLs purged.
2015/06/03 12:43:35 kid1| 0 Swapfile clashes avoided.
2015/06/03 12:43:35 kid1| Took 0.02 seconds (698.66 objects/sec).
2015/06/03 12:43:35 kid1| Beginning Validation Procedure
2015/06/03 12:43:35 kid1| Completed Validation Procedure
2015/06/03 12:43:35 kid1| Validated 13 Entries
2015/06/03 12:43:35 kid1| store_swap_size = 164.00 KB
2015/06/03 12:43:36 kid1| storeLateRelease: released 0 objects

Если попробовать перенастроить браузер на прокси 192.168.0.1:3128 все работает
но прозрачный никак, где я накосячил?

Пусто во всех логах!

если ставлю запись
ipfw add 1010 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80-83,8080-8083 out via rl0

Интернет пропадает в браузере, если в браузере прописать вручную прокси то работает!

Может дело в фаерволе, вот привел весь конфиг

#!/bin/sh
ipfw -f flush

ip_out="85.236.xx.xx"
lan_in="192.168.0.0/24"

ipfw add 5 allow all from me to me via lo0

ipfw add 10 check-state

ipfw add 20 pass ip from me to any established

# разрешаем все через интерфейс локальной сети
ipfw add 100 allow tcp from any to any via ale0
ipfw add 110 allow udp from any to any via ale0
ipfw add 120 allow icmp from any to any via ale0

#ftp
ipfw add 200 pass all from me to any 20,21 via rl0 keep-state
ipfw add 210 allow all from any to me 20,21 via rl0 keep-state

#web
ipfw add 300 allow tcp from me to any 80, 8080, 443, 3128 via rl0 keep-state
ipfw add 310 allow tcp from any to me 80, 443 via rl0 keep-state

#mail
ipfw add 350 allow all from any to me 25, 110, 143, 2525 via rl0 keep-state
ipfw add 360 allow ip from me to any dst-port 25,110,143,2525 via rl0 keep-state

#dns
ipfw add 400 allow all from me to any 53 via rl0 keep-state

#icmp
ipfw add 710 allow icmp from any to me via rl0

#squid
ipfw add 1000 allow tcp from me to any out via rl0 keep-state uid squid
ipfw add 1010 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80-83,8080-8083 out via rl0

ipfw add 1050 deny ip from any to 192.168.0.0/16 in recv rl0
ipfw add 1060 deny ip from 192.168.0.0/16 to any in recv rl0
ipfw add 1070 deny ip from any to 172.16.0.0/12 in recv rl0
ipfw add 1080 deny ip from 172.16.0.0/12 to any in recv rl0
ipfw add 1090 deny ip from any to 10.0.0.0/8 in recv rl0
ipfw add 1100 deny ip from 10.0.0.0/8 to any in recv rl0
ipfw add 1110 deny ip from any to 169.254.0.0/16 in recv rl0
ipfw add 1120 deny ip from 169.254.0.0/16 to any in recv rl0

# настройка ната.
ipfw nat 1 config log if rl0 reset same_ports deny_in

#ssh
ipfw add 57000 allow ip from any to me 22

# заварачиваем все что проходит через внешний интерфейс в нат
ipfw add 65000 nat 1 ip from any to any via rl0

Последнее правило deny ip from any to any

Пакеты попадают на порт squid это видно по ipfw, но вот дальше процесс не идет, может подскажешь как помониторить с помощью tcpdump тут ситуацию

bga83,

Да трафик разнесен, вот что прописано

http_port 8080
http_port 127.0.0.1:3128

Да бред какойто

Трафик вообще не идет судя по комманде tcpdump -v -i lo0 dst 127.0.0.1 and port 3128

netwindснести freebsd и спросить еще раз.
Если не чем помочь не засоряйте эфир!

sockstat

squid squid 32736 6 udp4 *:17156 *:*
squid squid 32736 15 tcp4 *:8080 *:*
squid squid 32736 16 tcp4 127.0.0.1:3128 *:*

ipfw -a list
00005 21980 34031574 allow ip from me to me via lo0
00010 0 0 check-state
00020 2287518 3498872402 allow ip from me to any established
00100 19661349 14460320610 allow tcp from any to any via ale0
00110 531121 95034555 allow udp from any to any via ale0
00120 41658 2333880 allow icmp from any to any via ale0
00130 0 0 allow ip from me to 127.0.0.1 dst-port 3551 keep-state
00150 0 0 allow ip from me to 127.0.0.1 dst-port 9000 keep-state
00200 0 0 allow ip from me to any dst-port 20,21 via rl0 keep-state
00210 222195 205204968 allow ip from any to me dst-port 20,21 via rl0 keep-state
00300 12624 6854989 allow tcp from me to any dst-port 80,8080,443,3128 via rl0 keep-state
00310 1093 101948 allow tcp from any to me dst-port 80,443 via rl0 keep-state
00350 469987 318919845 allow ip from any to me dst-port 25,110,143,2525 via rl0 keep-state
00360 74812 61487409 allow ip from me to any dst-port 25,110,143,2525 via rl0 keep-state
00400 165149 32499199 allow ip from me to any dst-port 53 via rl0 keep-state
00500 0 0 allow ip from me to 127.0.0.1 dst-port 4949 keep-state
00710 9682 873088 allow icmp from any to me via rl0
00800 2414 183967 allow ip from any to me dst-port 123 via rl0 keep-state
00810 1240 94240 allow ip from me to any dst-port 123 keep-state
01000 0 0 allow tcp from me to any out via rl0 uid squid keep-state
01010 48 4764 fwd 127.0.0.1,3128 tcp from 192.168.0.3 to any dst-port 80-83,8080-8083 out via rl0
01050 0 0 deny ip from any to 192.168.0.0/16 in recv rl0
01060 0 0 deny ip from 192.168.0.0/16 to any in recv rl0
01070 0 0 deny ip from any to 172.16.0.0/12 in recv rl0
01080 0 0 deny ip from 172.16.0.0/12 to any in recv rl0
01090 0 0 deny ip from any to 10.0.0.0/8 in recv rl0
01100 127 94388 deny ip from 10.0.0.0/8 to any in recv rl0
01110 0 0 deny ip from any to 169.254.0.0/16 in recv rl0
01120 0 0 deny ip from 169.254.0.0/16 to any in recv rl0
57000 3342 453600 allow ip from any to me dst-port 22
65000 17035413 12675655901 nat 1 ip from any to any via rl0
65535 26 1872 deny ip from any to any

Вообще такое ощущение что просто не работает форвардинг, подскажите форвардинг подгружается
cat /boot/loader.conf
ipfw_nat_load="YES"

Достаточно или нужен еще какой то модуль кроме ifpw_nat?

Sergey Orlovwestvovik,
Насколько я помню, если ядро generic, и в нем все подгружаете модулями, то в нем модуль ipfw собран без форварда, банально вам надо пересобрать ядро, даже только ipfw c дополнительной опцией по сравнению с generic
options IPFIREWALL_FORWARD

Да нет, уже посмотрел и разобрался что форвардинг все таки подгружается модулем ipfw_nat

да и при загрузке ipfw видно что форвардинг включен

ipfw2 initialized, divert loadable, nat enabled, rule-based forwarding enabled , default to deny, logging disabled

vangof,

Да блин нет!!!

sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1

Вообще не понимаю
кстати до этого версия squid 3.3 работала!
Но после обновления все встало!

Так что базовые настройки точно верные!

vklewestvoviksquid-3.5.3
westvovikкстати до этого версия squid 3.3 работала!
Но после обновления все встало!
Вот, думается, сквид 3.5 относительно свеженький по ставнению с 3.3. Такая проблема не может вылезти из-за использования уже неподдерживаемого релиза ОС? westvovikuname -a 9.1-RELEASE-p22 FreeBSD 9.1-RELEASE-p22
Мож пора до 9.3 обновиться?

Боюсь на рабочем роутере накосячить с обновлениями FreeBSD, а так да конечно нужно уже обновляться

netwind,

Вообще в логах вот что, но это я думаю ничего не скажет

1433424005.130 0 127.0.0.1 TCP_MISS/200 2562 GET cache_object://localhost/info - HIER_NONE/- text/plain
1433424009.874 0 127.0.0.1 TCP_MISS/200 1413 GET cache_object://localhost/counters - HIER_NONE/- text/plain
1433424011.269 0 127.0.0.1 TCP_MISS/200 365 GET cache_object://localhost/server_list - HIER_NONE/- text/plain
1433424011.409 0 127.0.0.1 TCP_MISS/200 365 GET cache_object://localhost/server_list - HIER_NONE/- text/plain
1433424302.336 0 127.0.0.1 TCP_MISS/200 907 GET cache_object://localhost/storedir - HIER_NONE/- text/plain
1433424303.702 0 127.0.0.1 TCP_MISS/200 1413 GET cache_object://localhost/counters - HIER_NONE/- text/plain
1433424304.786 0 127.0.0.1 TCP_MISS/200 2562 GET cache_object://localhost/info - HIER_NONE/- text/plain
1433424309.460 0 127.0.0.1 TCP_MISS/200 1413 GET cache_object://localhost/counters - HIER_NONE/- text/plain
1433424310.801 0 127.0.0.1 TCP_MISS/200 365 GET cache_object://localhost/server_list - HIER_NONE/- text/plain
1433424310.940 0 127.0.0.1 TCP_MISS/200 365 GET cache_object://localhost/server_list - HIER_NONE/- text/plain

Причем периодически, не понятно по какой причине появляются сообщения
Но нет ни одного сообщения с сети 192.168

Вообщем попробую обновиться, потом напишу что получилось

Sergey Orlov,

net.inet.ip.fw.one_pass: 1

Sergey Orlov,

Попробовал перенастроить на 192.168.0.1, прописал правило, все тоже самое, в логах ноль