forum.opennet.ru - "help(" (26)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"help("

Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"help("	+/–
Сообщение от 4you2 (ok) on 28-Дек-10, 10:20
добрый день народ столкнулся с одной проблемой прошу только сильно не пинать я начинающий ! работали как работали ну в скором времени понадобилось прокси .Решил ставить связку APACHE+MYSQL+PHP+SQUID+SAMS с NCSA-AUTH вроде поставил все веб морда открывается,делал все по lissyara.su ,но у клиентов локальной сети при запросе на любой ресурс должно было выскочить окно с просьбой ввести логин и пасс.ну у меня чет такого нет (( кстати пусть вопрос и звучит глупо ну не спросить не могу ,надо ли до того как это все ставить,настраивать IPFW и NAT ? БУДУ ОЧЕНЬ БЛАГОДАРЕН
Ответить \| Правка \| Cообщить модератору

Оглавление

help(, Pahanivo, 10:48 , 28-Дек-10, (1)

help(, 4you2, 11:01 , 28-Дек-10, (2)

help(, reader, 11:46 , 28-Дек-10, (3)

help(, 4you2, 12:24 , 28-Дек-10, (4)

help(, pavlinux, 12:33 , 28-Дек-10, (5)

help(, Andrey Mitrofanov, 19:07 , 28-Дек-10, (9)

help(, 4you2, 14:49 , 29-Дек-10, (13)

help(, Аноним, 19:39 , 29-Дек-10, (20)

help(, Аноним, 19:38 , 29-Дек-10, (19)

help(, pavlinux, 21:02 , 29-Дек-10, (22)

help(, Аноним, 05:48 , 30-Дек-10, (23)

help(, Аноним, 05:51 , 30-Дек-10, (24)

help(, Аноним, 05:55 , 30-Дек-10, (25)

help(, reader, 13:14 , 28-Дек-10, (6)

help(, 4you2, 15:06 , 28-Дек-10, (7)

help(, reader, 17:47 , 28-Дек-10, (8)

help(, 4you2, 19:49 , 28-Дек-10, (10)

help(, reader, 20:44 , 28-Дек-10, (11)

help(, 4you2, 14:39 , 29-Дек-10, (12)

help(, reader, 15:07 , 29-Дек-10, (14)

help(, 4you2, 15:13 , 29-Дек-10, (15)
help(, reader, 15:25 , 29-Дек-10, (16) +1
help(, 4you2, 17:12 , 29-Дек-10, (17)
help(, reader, 17:26 , 29-Дек-10, (18)
help(, Аноним, 19:54 , 29-Дек-10, (21)
help(, 4you2, 14:47 , 31-Дек-10, (26)

Сообщения по теме [Сортировка по времени | RSS]

1. "help(" +/–

Сообщение от Pahanivo (ok) on 28-Дек-10, 10:48

> добрый день народ столкнулся с одной проблемой прошу только сильно не пинать
> я начинающий !
> работали как работали ну в скором времени понадобилось прокси .Решил ставить связку
> APACHE+MYSQL+PHP+SQUID+SAMS с NCSA-AUTH вроде поставил все веб морда открывается,делал
> все по lissyara.su ,но у клиентов локальной сети при запросе на
> любой ресурс должно было выскочить окно с просьбой ввести логин и
> пасс.ну у меня чет такого нет (( кстати пусть вопрос и
> звучит глупо ну не спросить не могу ,надо ли до того
> как это все ставить,настраивать IPFW и NAT ? БУДУ ОЧЕНЬ БЛАГОДАРЕН
1) как начинающему рекомендую подходить к проблеме последовательно
2) изучайте софт по мануалам, а не всякого рода хауту - они не для вас
3) задавайте вопросы четко, грамотно и по существу, по каждой проблеме отдельный - на ваш фееричный бред, вываленный из подсознания, отвечать никто не будет

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "help(" +/–

Сообщение от 4you2 (ok) on 28-Дек-10, 11:01

у меня с изьяснениями беда ну хоть бы кто либо понял помог (( не то я уже все сам на изучаю(

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "help(" +/–

Сообщение от reader (ok) on 28-Дек-10, 11:46

> у меня с изьяснениями беда ну хоть бы кто либо понял помог
> (( не то я уже все сам на изучаю(
если у клиента все будет работать через прокси, то nat не нужен (прочитайте что делает нат, а что прокси), пакетный фильтр нужен. и привыкайте смотреть логи

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "help(" +/–

Сообщение от 4you2 (ok) on 28-Дек-10, 12:24

я перечитал кучу ман и всякого рода ссылок,у меня 2 интерфейса один wan static другой lan как они будут без нат работать ?
второе вот конф ipfw
#!/bin/sh

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="xl0"            # внешний интерфейс
LanIn="sis0"            # внутренний интерфейс
IpOut="192.168.10.2" # внешний IP адрес машины
IpIn="192.168.20.1"   # внутренний IP машины
NetMask="24"            # маска сети

NetIn="192.168.20.0"    # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни
# одного пакета по этим правилам не зарубилось за всё время... Может в этом
# моё счастье? :))
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# Вводим запреты:
# режем частные сети на внешнем интерфейсе - по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
#Можно изгалиться примерно так, если есть желание, но я предпочитаю руками
#${FwCMD} add allow tcp from any to ${IpOut} \
#`sysctl net.inet.ip.portrange.first | awk '{print $2}'`-\
#`sysctl net.inet.ip.portrange.last | awk '{print $2}'` via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 begin_of_the_skype_highlighting              49152-65535      end_of_the_skype_highlighting begin_of_the_skype_highlighting              49152-65535      end_of_the_skype_highlighting via ${LanOut}
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# открываем снаружи 80 порт - если у нас есть WWW сервер на машине
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
# по поводу следующих трёх правил, для tcp, udp и icmp - их можно
# заменить одним правилом:
#${FwCMD} add allow ip from any to any via ${LanIn}
# но для удобства наладки и контроля происходящего я предпочитаю три отдельных
# правила, хотя могут быть грабли - например протокол gre не пройдёт -
# придётся стругать отдельное правило для него, типа
#${FwCMD} add allow gre from any to any via ${LanIn}
# итак:
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
когда задаю родные правила которые по умолчанию лежали в /etc/rc.firewall и ставлю firewall_type="open" то все работает у клиентов без авторизации

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "help(" +/–

Сообщение от pavlinux (ok) on 28-Дек-10, 12:33

> я перечитал кучу ман и всякого рода ссылок...
Надо было ставить Linux

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "help(" +/–

Сообщение от Andrey Mitrofanov on 28-Дек-10, 19:07

Не-не-не, хэндбуком его, хэндбуком!...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "help(" +/–

Сообщение от 4you2 (ok) on 29-Дек-10, 14:49

> Не-не-не, хэндбуком его, хэндбуком!...
руки кривые а руководство по freebsd поверь читал учил практиковал ,ну с этой связкой я себе жбам скипятил,обычно у меня и так получаеться, ну сдесь я бессилен я про ipfw все уже выучил но увы !

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

20. "help(" +/–

Сообщение от Аноним (??) on 29-Дек-10, 19:39

> я про ipfw все уже выучил но
Какой скромный мальчик :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "help(" +/–

Сообщение от Аноним (??) on 29-Дек-10, 19:38

>> я перечитал кучу ман и всякого рода ссылок...
> Надо было ставить Linux
Да ну? И что бы изменилось? :)
Тогда бы павлинукс выкрикивал RTFM а не bsd-шнеги? О - да отно того стоит, щас поставлю линукс, жди вопросов! :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "help(" +/–

Сообщение от pavlinux (ok) on 29-Дек-10, 21:02

А чего под Аноним-то, очкуем плесень?!

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "help(" +/–

Сообщение от Аноним (??) on 30-Дек-10, 05:48

> А чего под Аноним-то, очкуем плесень?!
Баааа! Да у тебя мания величия ... тоже мне форумный герой, почти мультяшка :)
По делу - по сути моего поста в чём не согласен?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "help(" +/–

Сообщение от Аноним (??) on 30-Дек-10, 05:51

> По делу - по сути моего поста в чём не согласен?
Мои посты №18, #19 и #21. И эта (L)Public Domain, Sans None :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "help(" +/–

Сообщение от Аноним (??) on 30-Дек-10, 05:55

>> По делу - по сути моего поста в чём не согласен?
> Мои посты №18, #19 и #21. И эта (L)Public Domain, Sans None
> :)
Да тыгыдымский конь! 19, 20, 21 :)
Под анонимусом принципиально всегда.
PS:  Народ всех С Наступающим! :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

6. "help(" +/–

Сообщение от reader (ok) on 28-Дек-10, 13:14

> я перечитал кучу ман и всякого рода ссылок,у меня 2 интерфейса один
> wan static другой lan как они будут без нат работать ?
когда поймете что делает nat, а что проски, этот вопрос отпадет

> когда задаю родные правила которые по умолчанию лежали в /etc/rc.firewall и ставлю
> firewall_type="open" то все работает у клиентов без авторизации
значит пока оставьте firewall_type="open" и заставте работать так как нужно.
у клиентов прокси прописан?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "help(" +/–

Сообщение от 4you2 (ok) on 28-Дек-10, 15:06

> значит пока оставьте firewall_type="open" и заставте работать так как нужно.
> у клиентов прокси прописан ?
да ну он не отвечает 192.168.20.1 3328,
я вернул все как было
00555 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00655 allow ipv6-icmp from :: to ff02::/16
00755 allow ipv6-icmp from fe80::/10 to fe80::/10
00855 allow ipv6-icmp from fe80::/10 to ff02::/16
00955 allow ipv6-icmp from any to any ip6 icmp6types 1
01055 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
00050 divert 8668 ip4 from any to any via fxp0
65000 allow ip from any to any
natd_enable YES
firewall-type open
инет работает в обход прокси (
убейте меня !

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "help(" +/–

Сообщение от reader (ok) on 28-Дек-10, 17:47

>> значит пока оставьте firewall_type="open" и заставте работать так как нужно.
>> у клиентов прокси прописан ?
> да ну он не отвечает 192.168.20.1 3328,
а он запущен и именно на этом адресе и порту
>[оверквотинг удален]
> 00655 allow ipv6-icmp from :: to ff02::/16
> 00755 allow ipv6-icmp from fe80::/10 to fe80::/10
> 00855 allow ipv6-icmp from fe80::/10 to ff02::/16
> 00955 allow ipv6-icmp from any to any ip6 icmp6types 1
> 01055 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
> 00050 divert 8668 ip4 from any to any via fxp0
> 65000 allow ip from any to any
> natd_enable YES
> firewall-type open
> инет работает в обход прокси (
если кому то будет указано ходить через шлюз, а не через прокси, то так и будет
> убейте меня !
и это возможно

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "help(" +/–

Сообщение от 4you2 (ok) on 28-Дек-10, 19:49

>> убейте меня !
> и это возможно
вы очень любезны )мне что делать что почитать что посоветуете

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "help(" +/–

Сообщение от reader (ok) on 28-Дек-10, 20:44

>>> убейте меня !
>> и это возможно
> вы очень любезны )мне что делать что почитать что посоветуете
понять отличия и как что работает
http://ru.wikipedia.org/wiki/%D0%9F%D1%8...
1. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере.
2. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш).
http://ru.wikipedia.org/wiki/NAT
NAT — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса пакетов.

логи смотреть cache.log , заставить запустится прокси, умудрится пробиться через пакетный фильтр и пользоваться

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "help(" +/–

Сообщение от 4you2 (ok) on 29-Дек-10, 14:39

вы не поверите ну я почти наизусть знаю и про NAT и про проксю ,вопрос в том что проблемма очевидна она в ipfw я не могу добиться от нее что бы она заруливала весь исходящий трафик с локалки на squid .Пакеты идут либо через natd c с открытым типом фильтра(any to any) либо затыкаються на нем ! я и правило отдельное создал и прописал все переменные и одно правило add frw 127.0.0.1 from 192.168.20.0/24 80 to lanout ,там оно по другому выглядит пищу по памяти ) вот хотел посмотреть заруливает он или нет.......НЕТ вообще ни че не хочет, в логах все запросы попадают в это правило. я уж грешным делом на squid думаю,хотя в процессе он есть да и самс его реконфегурирует без ошибок !

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "help(" +/–

Сообщение от reader (ok) on 29-Дек-10, 15:07

> вы не поверите ну я почти наизусть знаю и про NAT и
> про проксю ,вопрос в том что проблемма очевидна она в ipfw
конечно не поверю, тут вы описываете попытки сделать прозрачный прокси, а вначале про NCSA-AUTH упоминали , а это противоречия для прокси, либо то, либо то.
> я не могу добиться от нее что бы она заруливала весь
> исходящий трафик с локалки на squid .Пакеты идут либо через natd
> c с открытым типом фильтра(any to any) либо затыкаються на нем
> ! я и правило отдельное создал и прописал все переменные и
> одно правило add frw 127.0.0.1 from 192.168.20.0/24 80 to lanout ,там
> оно по другому выглядит пищу по памяти ) вот хотел посмотреть
> заруливает он или нет.......НЕТ вообще ни че не хочет, в логах
> все запросы попадают в это правило. я уж грешным делом на
> squid думаю,хотя в процессе он есть да и самс его реконфегурирует
> без ошибок !
вы уж определите на каких адресах и портах работает прокси, пропишите это в браузере и добейтесь работы, а уж потом делайте прозрачный, кстати для этого и прокси должен знать что он будет в прозрачном режиме и должен быть собран с поддержкой работы с пакетными фильтрами

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "help(" +/–

Сообщение от 4you2 (ok) on 29-Дек-10, 15:13

с этого места по подробней
хочу через NCSA как должно выглядеть правило ?
машина где стоит squid 192.168.20.1
wan 192.168.10.2
pleez

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "help(" +1 +/–

Сообщение от reader (ok) on 29-Дек-10, 15:25

> с этого места по подробней
> хочу через NCSA как должно выглядеть правило ?
правило одно: идете к клиенту и указываете использовать прокси.
> машина где стоит squid 192.168.20.1
> wan 192.168.10.2
> pleez
в конфиге можно определить на каких адресах и портах squid будет слушать, если это не менялось, то squid слушает 3128 порт на всех адреса машины, и тогда клиенту из 192.168.20.0/24 подсети вы укажите ходить через 192.168.20.1:3128 , а не 192.168.20.1 3328

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "help(" +/–

Сообщение от 4you2 (ok) on 29-Дек-10, 17:12

пробывал и так и сяк ,мажет попробывать порт поменять ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "help(" +/–

Сообщение от reader (ok) on 29-Дек-10, 17:26

> пробывал и так и сяк ,мажет попробывать порт поменять ?
если хотите, пожалуйста. только смысл какой?
grep http_port squid.conf

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "help(" +/–

Сообщение от Аноним (??) on 29-Дек-10, 19:54

> пробывал и так и сяк ,мажет попробывать порт поменять ?
Нет! Надо забубенить красную ленточку через всю серверную! (С) анегдод

Ну а серьёзно:
1. Определись с конфигурацией
1.1. Серверной части
1.2. Клиента.
2. Запусти tcpdump со сбросом в файл
3. Попробуй с настроенного клиента зайти куда нить
4. Останови tcpdump
5. ВКЛЮЧИ ГОЛОВУ! Посмотри выхлоп tcpdump, ipfw, и логи сквида тоже
6. Если всё Ок - беги покупать шампанское ибо Новый Год близок! :)
7. Иначе - пойми где не срослось, (RTFM again) подумай как подправить и го на пункт 1.

Если хочешь чтобы эту без сомнения увлекательную работу проделали мы - не проблема, но деньги вперед! :)
На вопросы в процессе - народ ответит. На _конкретные_ ...
PS: Хотя 29-ое уже ... как бы ты до числа этак до 15 Января не попал :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "help(" +/–

Сообщение от 4you2 (ok) on 31-Дек-10, 14:47

народ УРААААА я победил его )) спасибо всем )
кстати а победил так add frw 192.168.20.1,8080 192.168.20.0/24 to 80 192.168.20.1
окошко выскакивает )дальше после выходных !!!
ВСЕХ С НАСТУПАЮШИМ!!! да прибудет с нами сила )

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "help("	+/–
Сообщение от Pahanivo (ok) on 28-Дек-10, 10:48
> добрый день народ столкнулся с одной проблемой прошу только сильно не пинать > я начинающий ! > работали как работали ну в скором времени понадобилось прокси .Решил ставить связку > APACHE+MYSQL+PHP+SQUID+SAMS с NCSA-AUTH вроде поставил все веб морда открывается,делал > все по lissyara.su ,но у клиентов локальной сети при запросе на > любой ресурс должно было выскочить окно с просьбой ввести логин и > пасс.ну у меня чет такого нет (( кстати пусть вопрос и > звучит глупо ну не спросить не могу ,надо ли до того > как это все ставить,настраивать IPFW и NAT ? БУДУ ОЧЕНЬ БЛАГОДАРЕН 1) как начинающему рекомендую подходить к проблеме последовательно 2) изучайте софт по мануалам, а не всякого рода хауту - они не для вас 3) задавайте вопросы четко, грамотно и по существу, по каждой проблеме отдельный - на ваш фееричный бред, вываленный из подсознания, отвечать никто не будет
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "help("	+/–
	Сообщение от 4you2 (ok) on 28-Дек-10, 11:01
	у меня с изьяснениями беда ну хоть бы кто либо понял помог (( не то я уже все сам на изучаю(
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "help("	+/–
	Сообщение от reader (ok) on 28-Дек-10, 11:46
	> у меня с изьяснениями беда ну хоть бы кто либо понял помог > (( не то я уже все сам на изучаю( если у клиента все будет работать через прокси, то nat не нужен (прочитайте что делает нат, а что прокси), пакетный фильтр нужен. и привыкайте смотреть логи
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "help("	+/–
	Сообщение от 4you2 (ok) on 28-Дек-10, 12:24
	я перечитал кучу ман и всякого рода ссылок,у меня 2 интерфейса один wan static другой lan как они будут без нат работать ? второе вот конф ipfw #!/bin/sh FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw LanOut="xl0" # внешний интерфейс LanIn="sis0" # внутренний интерфейс IpOut="192.168.10.2" # внешний IP адрес машины IpIn="192.168.20.1" # внутренний IP машины NetMask="24" # маска сети NetIn="192.168.20.0" # Внутренняя сеть # Сбрасываем все правила: ${FwCMD} -f flush # Проверяем - соответствует ли пакет динамическим правилам: ${FwCMD} add check-state # Разрешаем весь траффик по внутреннему интерфейсу (петле) # Вообще я во многих местах читал что без него может ничё не заработать вообще # и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :) # так что без него и правда - никуда. ${FwCMD} add allow ip from any to any via lo0 # рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0 (вот честно - ни # одного пакета по этим правилам не зарубилось за всё время... Может в этом # моё счастье? :)) ${FwCMD} add deny ip from any to 127.0.0.0/8 ${FwCMD} add deny ip from 127.0.0.0/8 to any # Вводим запреты: # режем частные сети на внешнем интерфейсе - по легенде он у нас # смотрит в интернет, а значит пакетам этим браться неоткуда на нём. # рубим частные сeти ${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut} ${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut} ${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut} ${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut} # рубим автоконфигуреную частную сеть ${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut} # рубаем мультикастовые рассылки ${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut} # рубим фрагментированные icmp ${FwCMD} add deny icmp from any to any frag # рубим широковещательные icmp на внешнем интерфейсе ${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut} ${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut} # отправляем всех на squid (в данном случае - прокси прозрачный) ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} # пропускаем траффик через трансляцию сетевых адресов (NAT) ${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut} ${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut} # рубим траффик к частным сетям через внешний интерфейс # заметтьте - эти правила отличаются от тех что были выше! ${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} ${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut} ${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut} ${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut} # рубим автоконфигуреную частную сеть ${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut} # рубаем мультикастовые рассылки ${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut} # рубаем мультикастовые рассылки ${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut} # разрешаем все установленные соединения (если они установились - # значит по каким-то правилам они проходили.) ${FwCMD} add allow tcp from any to any established # разрешаем весь исходящий траффик (серверу-то в инет можно? :)) ${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut} # разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?) ${FwCMD} add allow udp from any 53 to any via ${LanOut} # разрешаем DNS входящий снаружи - если на этой машине работает named # и держит какую-то зону. В остальных случаях - не нужно ${FwCMD} add allow udp from any to any 53 via ${LanOut} # разрешаем UDP (для синхронизации времени - 123 порт) ${FwCMD} add allow udp from any to any 123 via ${LanOut} # разрешаем ftp снаружи (оба правила - для пасивного режима) # для узнавания портранджа по которому будет работать, лезем в #/usr/home/lissyara/>sysctl net.inet.ip.portrange.first # net.inet.ip.portrange.first: 49152 # /usr/home/lissyara/>sysctl net.inet.ip.portrange.last # net.inet.ip.portrange.last: 65535 ${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut} #Можно изгалиться примерно так, если есть желание, но я предпочитаю руками #${FwCMD} add allow tcp from any to ${IpOut} \ #`sysctl net.inet.ip.portrange.first \| awk '{print $2}'`-\ #`sysctl net.inet.ip.portrange.last \| awk '{print $2}'` via ${LanOut} ${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 begin_of_the_skype_highlighting 49152-65535 end_of_the_skype_highlighting begin_of_the_skype_highlighting 49152-65535 end_of_the_skype_highlighting via ${LanOut} # разрешаем некоторые типы ICMP траффика - эхо-запрос, # эхо-ответ и время жизни пакета истекло ${FwCMD} add allow icmp from any to any icmptypes 0,8,11 # открываем снаружи 80 порт - если у нас есть WWW сервер на машине ${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut} # открываем снаружи 25 порт (SMTP) если на машине крутится почта #${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut} # открываем снаружи 22 порт - если надо будет ходить на машину по ssh ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut} # открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP) ${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut} # открываем снаружи 110 порт(если надо смотреть почту снаружи по POP) ${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut} # по поводу следующих трёх правил, для tcp, udp и icmp - их можно # заменить одним правилом: #${FwCMD} add allow ip from any to any via ${LanIn} # но для удобства наладки и контроля происходящего я предпочитаю три отдельных # правила, хотя могут быть грабли - например протокол gre не пройдёт - # придётся стругать отдельное правило для него, типа #${FwCMD} add allow gre from any to any via ${LanIn} # итак: # разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow tcp from any to any via ${LanIn} # разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow udp from any to any via ${LanIn} # разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow icmp from any to any via ${LanIn} # запрещаем всё и всем. Если тип файрволла не open то это правило добавится # автоматически, но всё-же ну его. Лучше сам. Надёжней. ${FwCMD} add deny ip from any to any когда задаю родные правила которые по умолчанию лежали в /etc/rc.firewall и ставлю firewall_type="open" то все работает у клиентов без авторизации
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "help("	+/–
	Сообщение от pavlinux (ok) on 28-Дек-10, 12:33
	> я перечитал кучу ман и всякого рода ссылок... Надо было ставить Linux
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	9. "help("	+/–
	Сообщение от Andrey Mitrofanov on 28-Дек-10, 19:07
	Не-не-не, хэндбуком его, хэндбуком!...
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	13. "help("	+/–
	Сообщение от 4you2 (ok) on 29-Дек-10, 14:49
	> Не-не-не, хэндбуком его, хэндбуком!... руки кривые а руководство по freebsd поверь читал учил практиковал ,ну с этой связкой я себе жбам скипятил,обычно у меня и так получаеться, ну сдесь я бессилен я про ipfw все уже выучил но увы !
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	20. "help("	+/–
	Сообщение от Аноним (??) on 29-Дек-10, 19:39
	> я про ipfw все уже выучил но Какой скромный мальчик :)
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	19. "help("	+/–
	Сообщение от Аноним (??) on 29-Дек-10, 19:38
	>> я перечитал кучу ман и всякого рода ссылок... > Надо было ставить Linux Да ну? И что бы изменилось? :) Тогда бы павлинукс выкрикивал RTFM а не bsd-шнеги? О - да отно того стоит, щас поставлю линукс, жди вопросов! :)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	22. "help("	+/–
	Сообщение от pavlinux (ok) on 29-Дек-10, 21:02
	А чего под Аноним-то, очкуем плесень?!
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	23. "help("	+/–
	Сообщение от Аноним (??) on 30-Дек-10, 05:48
	> А чего под Аноним-то, очкуем плесень?! Баааа! Да у тебя мания величия ... тоже мне форумный герой, почти мультяшка :) По делу - по сути моего поста в чём не согласен?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "help("	+/–
	Сообщение от Аноним (??) on 30-Дек-10, 05:51
	> По делу - по сути моего поста в чём не согласен? Мои посты №18, #19 и #21. И эта (L)Public Domain, Sans None :)
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "help("	+/–
	Сообщение от Аноним (??) on 30-Дек-10, 05:55
	>> По делу - по сути моего поста в чём не согласен? > Мои посты №18, #19 и #21. И эта (L)Public Domain, Sans None > :) Да тыгыдымский конь! 19, 20, 21 :) Под анонимусом принципиально всегда. PS: Народ всех С Наступающим! :)
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	6. "help("	+/–
	Сообщение от reader (ok) on 28-Дек-10, 13:14
	> я перечитал кучу ман и всякого рода ссылок,у меня 2 интерфейса один > wan static другой lan как они будут без нат работать ? когда поймете что делает nat, а что проски, этот вопрос отпадет > когда задаю родные правила которые по умолчанию лежали в /etc/rc.firewall и ставлю > firewall_type="open" то все работает у клиентов без авторизации значит пока оставьте firewall_type="open" и заставте работать так как нужно. у клиентов прокси прописан?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "help("	+/–
	Сообщение от 4you2 (ok) on 28-Дек-10, 15:06
	> значит пока оставьте firewall_type="open" и заставте работать так как нужно. > у клиентов прокси прописан ? да ну он не отвечает 192.168.20.1 3328, я вернул все как было 00555 allow ip from any to any via lo0 00200 deny ip from any to 127.0.0.0/8 00300 deny ip from 127.0.0.0/8 to any 00400 deny ip from any to ::1 00500 deny ip from ::1 to any 00655 allow ipv6-icmp from :: to ff02::/16 00755 allow ipv6-icmp from fe80::/10 to fe80::/10 00855 allow ipv6-icmp from fe80::/10 to ff02::/16 00955 allow ipv6-icmp from any to any ip6 icmp6types 1 01055 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 00050 divert 8668 ip4 from any to any via fxp0 65000 allow ip from any to any natd_enable YES firewall-type open инет работает в обход прокси ( убейте меня !
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "help("	+/–
	Сообщение от reader (ok) on 28-Дек-10, 17:47
	>> значит пока оставьте firewall_type="open" и заставте работать так как нужно. >> у клиентов прокси прописан ? > да ну он не отвечает 192.168.20.1 3328, а он запущен и именно на этом адресе и порту >[оверквотинг удален] > 00655 allow ipv6-icmp from :: to ff02::/16 > 00755 allow ipv6-icmp from fe80::/10 to fe80::/10 > 00855 allow ipv6-icmp from fe80::/10 to ff02::/16 > 00955 allow ipv6-icmp from any to any ip6 icmp6types 1 > 01055 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136 > 00050 divert 8668 ip4 from any to any via fxp0 > 65000 allow ip from any to any > natd_enable YES > firewall-type open > инет работает в обход прокси ( если кому то будет указано ходить через шлюз, а не через прокси, то так и будет > убейте меня ! и это возможно
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "help("	+/–
	Сообщение от 4you2 (ok) on 28-Дек-10, 19:49
	>> убейте меня ! > и это возможно вы очень любезны )мне что делать что почитать что посоветуете
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "help("	+/–
	Сообщение от reader (ok) on 28-Дек-10, 20:44
	>>> убейте меня ! >> и это возможно > вы очень любезны )мне что делать что почитать что посоветуете понять отличия и как что работает http://ru.wikipedia.org/wiki/%D0%9F%D1%8... 1. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. 2. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). http://ru.wikipedia.org/wiki/NAT NAT — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса пакетов. логи смотреть cache.log , заставить запустится прокси, умудрится пробиться через пакетный фильтр и пользоваться
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "help("	+/–
	Сообщение от 4you2 (ok) on 29-Дек-10, 14:39
	вы не поверите ну я почти наизусть знаю и про NAT и про проксю ,вопрос в том что проблемма очевидна она в ipfw я не могу добиться от нее что бы она заруливала весь исходящий трафик с локалки на squid .Пакеты идут либо через natd c с открытым типом фильтра(any to any) либо затыкаються на нем ! я и правило отдельное создал и прописал все переменные и одно правило add frw 127.0.0.1 from 192.168.20.0/24 80 to lanout ,там оно по другому выглядит пищу по памяти ) вот хотел посмотреть заруливает он или нет.......НЕТ вообще ни че не хочет, в логах все запросы попадают в это правило. я уж грешным делом на squid думаю,хотя в процессе он есть да и самс его реконфегурирует без ошибок !
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	14. "help("	+/–
	Сообщение от reader (ok) on 29-Дек-10, 15:07
	> вы не поверите ну я почти наизусть знаю и про NAT и > про проксю ,вопрос в том что проблемма очевидна она в ipfw конечно не поверю, тут вы описываете попытки сделать прозрачный прокси, а вначале про NCSA-AUTH упоминали , а это противоречия для прокси, либо то, либо то. > я не могу добиться от нее что бы она заруливала весь > исходящий трафик с локалки на squid .Пакеты идут либо через natd > c с открытым типом фильтра(any to any) либо затыкаються на нем > ! я и правило отдельное создал и прописал все переменные и > одно правило add frw 127.0.0.1 from 192.168.20.0/24 80 to lanout ,там > оно по другому выглядит пищу по памяти ) вот хотел посмотреть > заруливает он или нет.......НЕТ вообще ни че не хочет, в логах > все запросы попадают в это правило. я уж грешным делом на > squid думаю,хотя в процессе он есть да и самс его реконфегурирует > без ошибок ! вы уж определите на каких адресах и портах работает прокси, пропишите это в браузере и добейтесь работы, а уж потом делайте прозрачный, кстати для этого и прокси должен знать что он будет в прозрачном режиме и должен быть собран с поддержкой работы с пакетными фильтрами
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "help("	+/–
	Сообщение от 4you2 (ok) on 29-Дек-10, 15:13
	с этого места по подробней хочу через NCSA как должно выглядеть правило ? машина где стоит squid 192.168.20.1 wan 192.168.10.2 pleez
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "help("	+1 +/–
	Сообщение от reader (ok) on 29-Дек-10, 15:25
	> с этого места по подробней > хочу через NCSA как должно выглядеть правило ? правило одно: идете к клиенту и указываете использовать прокси. > машина где стоит squid 192.168.20.1 > wan 192.168.10.2 > pleez в конфиге можно определить на каких адресах и портах squid будет слушать, если это не менялось, то squid слушает 3128 порт на всех адреса машины, и тогда клиенту из 192.168.20.0/24 подсети вы укажите ходить через 192.168.20.1:3128 , а не 192.168.20.1 3328
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "help("	+/–
	Сообщение от 4you2 (ok) on 29-Дек-10, 17:12
	пробывал и так и сяк ,мажет попробывать порт поменять ?
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "help("	+/–
	Сообщение от reader (ok) on 29-Дек-10, 17:26
	> пробывал и так и сяк ,мажет попробывать порт поменять ? если хотите, пожалуйста. только смысл какой? grep http_port squid.conf
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	21. "help("	+/–
	Сообщение от Аноним (??) on 29-Дек-10, 19:54
	> пробывал и так и сяк ,мажет попробывать порт поменять ? Нет! Надо забубенить красную ленточку через всю серверную! (С) анегдод Ну а серьёзно: 1. Определись с конфигурацией 1.1. Серверной части 1.2. Клиента. 2. Запусти tcpdump со сбросом в файл 3. Попробуй с настроенного клиента зайти куда нить 4. Останови tcpdump 5. ВКЛЮЧИ ГОЛОВУ! Посмотри выхлоп tcpdump, ipfw, и логи сквида тоже 6. Если всё Ок - беги покупать шампанское ибо Новый Год близок! :) 7. Иначе - пойми где не срослось, (RTFM again) подумай как подправить и го на пункт 1. Если хочешь чтобы эту без сомнения увлекательную работу проделали мы - не проблема, но деньги вперед! :) На вопросы в процессе - народ ответит. На _конкретные_ ... PS: Хотя 29-ое уже ... как бы ты до числа этак до 15 Января не попал :)
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	26. "help("	+/–
	Сообщение от 4you2 (ok) on 31-Дек-10, 14:47
	народ УРААААА я победил его )) спасибо всем ) кстати а победил так add frw 192.168.20.1,8080 192.168.20.0/24 to 80 192.168.20.1 окошко выскакивает )дальше после выходных !!! ВСЕХ С НАСТУПАЮШИМ!!! да прибудет с нами сила )
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору