прозрачный squid и fwd / Unix-системы

ReSQL.ru

2.0.59

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / прозрачный squid и fwd / 25 сообщений из 26, страница 1 из 2

все

05.03.2014, 12:55

#38578833

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

freebsd 9.1 amd64
squid 2.7 stable 9

ядро скомпилировано с

Код: html

options ipfirewall_forward

в squid указано

Код: html

http_port 3128 transparent

В сети находится несколько vlan

команда ipfw, не срабатывает:

Код: html

${fwcmd} add fwd 192.168.15.10,3128 ip from 192.168.15.180 to any 80 via vlan15

перенаправляю 1 ip, чтобы не положить всю сеть.

пробовал команду:

Код: html

${fwcmd} add fwd 192.168.15.10,3128 ip from 192.168.15.180 to any dst-port 80,3128 recv vlan15

результата ноль.

как сделать прозрачный прокси?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

05.03.2014, 13:45

#38578921

bga83

Участник

Откуда: Город герой Ленинград
Сообщения: 29 914
Рейтинг: 0 / 0

прозрачный squid и fwd

ipfw show в студию

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

05.03.2014, 16:03

#38579185

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

много ip, которые не желательно показывать
может какой-то фрагмент?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

05.03.2014, 16:07

#38579192

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

Могу показать до этого момента:

Код: html

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

root@rout:/etc # ipfw show
00100      0        0 allow ip from any to any via lo0
00110      0        0 deny ip from any to 127.0.0.0/8
00120      0        0 deny ip from 127.0.0.0/8 to any
00150     36     2016 allow carp from any to any
00155   1141   957992 allow pfsync from any to any via vlan2
00160    590    44022 skipto 4000 ip from any to any in recv vlan30
00200      0        0 allow icmp from any to any
00250      0        0 allow ip6 from any to any via vlan8
00251      0        0 allow ip6 from any to any via gif0
00253      0        0 allow ip6 from any to any via gif1
00253      0        0 allow ip6 from any to any via gif2
00255      0        0 fwd 192.168.10.10,3128 ip from 192.168.10.180 to any dst-port 80,3128 recv vlan10

далее идут правила allow

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

07.03.2014, 15:11

#38581218

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

прозрачный squid и fwd

Ну и где пакеты которые уходят на форвард, у вас до этого правила ничего не доходит...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

08.03.2014, 23:45

#38581938

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

пакеты есть, я вывел часть комманды до того момента, как пакеты направил через форвард
т.е.выведен show до того как были попытки захода на прокси.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

09.03.2014, 20:43

#38582190

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76пакеты есть, я вывел часть комманды до того момента, как пакеты направил через форвард
т.е.выведен show до того как были попытки захода на прокси.
А не надо до, желательно полный, если 0 пакетов на правиле, значит они до него не доходят, точнее срабатывает на одном из предыдущих правил...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.03.2014, 11:36

#38582797

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

Уже правило fwd в самое начало поставил, все равно страницы не грузятся.

Код: html

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.

00100      19        912 fwd 192.168.10.10,3128 tcp from 192.168.10.180 to any dst-port 80 via vlan10
00100       0          0 allow ip from any to any via lo0
00110       0          0 deny ip from any to 127.0.0.0/8
00120       0          0 deny ip from 127.0.0.0/8 to any
00150     192      10752 allow carp from any to any
00155       0          0 allow pfsync from any to any via vlan2
00160    1544     167109 skipto 4000 ip from any to any in recv vlan40
00200     957      64024 allow icmp from any to any
00249       0          0 allow ip from <hidden> to me
00250       0          0 allow ip6 from any to any via vlan8
00251       0          0 allow ip6 from any to any via gif0
00253       0          0 allow ip6 from any to any via gif1
00253       0          0 allow ip6 from any to any via gif2
00260       0          0 allow ip from <hidden> to me
00261       0          0 allow ip from <hidden> to me
00300      91      12233 allow ip from me to any keep-state
00400     757     205585 allow ip from table(1) to table(1)
00500       0          0 allow ip from any to <hidden>
00600       0          0 allow ospf from any to any via vlan55
00700     423     159714 allow ip from table(2) to any keep-state
00800       0          0 allow tcp from table(3) to me dst-port 22
00900       2        256 allow tcp from any to me dst-port 22
01000       0          0 allow ip from table(4) to me
01100       2        140 allow udp from any to <hidden> dst-port 53
01200       1         56 allow udp from any to <hidden> dst-port 53
01300       2        140 allow ip from any to <hidden> dst-port 53
01400       1         56 allow ip from any to <hidden> dst-port 53
01500       0          0 allow tcp from any to <hidden> dst-port 80,3128,8889,8999
01600       0          0 allow tcp from any to <hidden> dst-port 25,110,143
01700       0          0 allow tcp from any to <hidden> dst-port 22
01800       0          0 allow tcp from any to <hidden> dst-port 22,80,443
01900       0          0 allow ip from any to <hidden>
02000       0          0 allow ip from <hidden> to any keep-state
02100       0          0 allow ip from any to <hidden> dst-port 3389
02200       0          0 allow ip from any to <hidden> dst-port 3389
02300       0          0 allow ip from any to <hidden>
02400       0          0 allow ip from any to <hidden>
02500       0          0 allow ip from <hidden> to any
02600       0          0 allow ip from any to <hidden>
02700       0          0 allow ip from <hidden> to any
02800     234      98313 allow ip from any to <hidden>
02900     182      49945 allow ip from <hidden> to any
03000       0          0 allow ip from any to <hidden>
03100       0          0 allow ip from <hidden> to any
03200       0          0 allow ip from <hidden> to <hidden> dst-port 3389
03300       0          0 allow ip from <hidden> to <hidden> dst-port 3050
03400       0          0 allow tcp from any to <hidden> dst-port 1723
03500       0          0 allow gre from any to <hidden>
03600       0          0 allow tcp from any to <hidden> dst-port 1723
03700       0          0 allow gre from any to <hidden>
04000      10       2204 allow tcp from <hidden> to <hidden> dst-port 3128 keep-state
04010       0          0 allow ip from any to <hidden> keep-state
04020       0          0 allow tcp from <hidden> to <hidden> dst-port 22 keep-state
04030       0          0 allow ip from table(6) to any keep-state
65535 4407051 1300829953 deny ip from any to any

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.03.2014, 21:15

#38583386

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

прозрачный squid и fwd

А в логе на сквиде что имеем...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 12:41

#38583859

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

на squid.log имеем всю инфу по компам которые ходят в инет, если правило fwd включено то лагает по полной

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 13:00

#38583895

k-nike

Участник

Откуда: Левый берег
Сообщения: 2 079
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76,

Вас про ошибку в логе сквида спрашивают.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 13:30

#38583926

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

192.168.10.180 TCP_MISS/200

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 13:53

#38583976

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76192.168.10.180 TCP_MISS/200
А если на клиенте напрямую прописать squid, работает? Судя по всему у вас squid не знает куда бежать за данными, он честно определил, что запрашиваемого обьекта нет в кеше...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 14:10

#38584005

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

если прописать ip, порт на squid в браузере, то все работает, при том что если отключить ip,порт, то правило fwd выдает ошибку описанную выше в squid.log.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 14:12

#38584009

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

то есть напрямую не работает, через nat пускать не буду, нужно именно через прозрачный прокси, чтобы в браузерах пользователей его не прописывать(прокси)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 14:14

#38584012

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

прозрачный squid и fwd

Авторизации на сквиде надеюсь нет...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.03.2014, 14:16

#38584016

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

авторизации на squid нет

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 10:30

#38584817

bga83

Участник

Откуда: Город герой Ленинград
Сообщения: 29 914
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76через nat пускать не буду, нужно именно через прозрачный прокси, чтобы в браузерах пользователей его не прописывать(прокси)
ты в курсе, что HTTPS трафик так не заработает, и NAT все же понадобится при использовании прозрачного прокси?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 10:43

#38584842

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

я пока с http хочу разобраться, но Nat будет как вопрос позже.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 11:10

#38584875

k-nike

Участник

Откуда: Левый берег
Сообщения: 2 079
Рейтинг: 0 / 0

прозрачный squid и fwd

Тут без схемы не обойтись. Не понятно фаервол и сквид на одной машине или нет?
1. Вы форвардите пакеты на внутренний интерфейс сквида, но НАТ вы говорите не настроен!
2. 192.168.10.180 TCP_MISS/200 Всегда считал, что это не ошибка, а наоборот хороший "признак".

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 11:19

#38584886

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

NAT настроен в PF,
роутер и файерволы на одном сервере, прокси на другом.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 11:21

#38584891

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

подскажите что в PF прописать, чтобы fwd из ipfw пропускал пакеты?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 12:59

#38585049

k-nike

Участник

Откуда: Левый берег
Сообщения: 2 079
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76подскажите что в PF прописать, чтобы fwd из ipfw пропускал пакеты?
1. Это 2 разных фаервола, поэтому прописывание правил на одном не заставит работать правила другого. Есть случаи когда их можно использовать совместно, но в данном случае я не вижу смысла. Почему кстати все не сделано на одном фаере?
2. Где схема сети?
3. Где правила PF?

Понимаете, с той информацией, которую вы предоставили, мало что понятно. А сеть у вас не простая судя по всему.
Сайты на которые вы ходите за НАТом или нет?
У вас прокси в одной сети с клиентами я так понимаю. Для него НАТ настроен?
С чего вы взяли, что ipfw не пропускает пакеты? Если на прокси появляются логи, тем более с кодом TCP_MISS/200, то он отлично отрабатывает.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 13:03

#38585054

bga83

Участник

Откуда: Город герой Ленинград
Сообщения: 29 914
Рейтинг: 0 / 0

прозрачный squid и fwd

monstr76NAT настроен в PF,
роутер и файерволы на одном сервере, прокси на другом.
не исключено, что происходит зацикливание. Клиентский трафик заворачивается на прокси, прокси пытается обратиться к сайту в интеренете, но на шлюзе этот трафик принудительно отправляется опять на прокси

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.03.2014, 14:41

#38585229

monstr76

Участник

Сообщения: 233
Рейтинг: 0 / 0

прозрачный squid и fwd

в pf через nat прокси идет напрямую в инет

Код: html

1.
2.
3.

nat_lan = "{192.168.10.10/32}"

nat on vlanXX from $nat_lan to any -> <внешний ip>

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

все

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / прозрачный squid и fwd / 25 сообщений из 26, страница 1 из 2

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/search_topic.php?author=nistelroi&author_mode=last_posts&do_search=1]:	0ms
get settings:	10ms
get forum list:	14ms
get settings:	8ms
get forum list:	12ms
check forum access:	3ms
check topic access:	3ms
track hit:	89ms
get topic data:	9ms
get forum data:	2ms
get page messages:	54ms
get tp. blocked users:	1ms
others:	436ms

total:	641ms