forum.opennet.ru - "Прозрачный Squid + ipfw проблема редиректа" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Прозрачный Squid + ipfw проблема редиректа"

Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прозрачный Squid + ipfw проблема редиректа"	+1 +/–
Сообщение от enzorik (ok) on 12-Авг-13, 14:17
Добрый день Всем. Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер. Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8 Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно. Ниже предоставляю конфиги: squid.conf acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl my_network src 192.168.50.0/24 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow my_network http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localnet http_access allow localhost http_access deny all http_port 3128 intercept http_port 3129 cache_dir ufs /cache 20480 16 256 coredump_dir /cache refresh_pattern ^ftp: &n... 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 ipfw rules: ipfw="/sbin/ipfw" int="bge0" ext="bge1" ${ipfw} add 101 fwd 127.0.0.1,3128 tcp from any to any 80 recv $int ${ipfw} add 1000 allow ip from any to any via $int # ALLOW LAN TRAFFIC ${ipfw} add 5000 divert natd all from any to any out xmit $ext ${ipfw} add 20000 divert natd all from any to any in recv $ext ${ipfw} add 60000 permit ip from any to any exit 0 Буду признателен за любую помощь.
Ответить \| Правка \| Cообщить модератору

Оглавление

Прозрачный Squid + ipfw проблема редиректа, михалыч, 18:09 , 12-Авг-13, (1)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 18:17 , 12-Авг-13, (2)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 00:00 , 13-Авг-13, (3)

Прозрачный Squid + ipfw проблема редиректа, михалыч, 04:37 , 13-Авг-13, (4)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 10:15 , 13-Авг-13, (5)

Прозрачный Squid + ipfw проблема редиректа, михалыч, 11:41 , 13-Авг-13, (6)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 12:32 , 13-Авг-13, (7)

Прозрачный Squid + ipfw проблема редиректа, михалыч, 13:55 , 13-Авг-13, (10) +2

Прозрачный Squid + ipfw проблема редиректа, enzorik, 17:32 , 13-Авг-13, (11)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 15:46 , 19-Авг-13, (12)

Прозрачный Squid + ipfw проблема редиректа, Аноним, 12:39 , 13-Авг-13, (8)

Прозрачный Squid + ipfw проблема редиректа, enzorik, 12:50 , 13-Авг-13, (9)

Прозрачный Squid + ipfw проблема редиректа, Tiarasu, 13:30 , 18-Сен-14, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от михалыч (ok) on 12-Авг-13, 18:09

Почему forwarding раньше divert ?
Давайте от простого к сложному.
Загрузите минимальный набор правил.
После, добавляйте/усложняйте по вкусу.
add 50 divert natd all from any to any via bge1
add 100 allow all from any to any via lo0
add 200 deny all from any to 127.0.0.0/8
add 300 deny all from 127.0.0.0/8 to any
add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv bge0
add 500 allow all from any to any

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 12-Авг-13, 18:17

>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to any
Большое спасибо за ответ, попробую вечером - отпишусь.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 13-Авг-13, 00:00

>[оверквотинг удален]
>> Загрузите минимальный набор правил.
>> После, добавляйте/усложняйте по вкусу.
>> add 50 divert natd all from any to any via bge1
>> add 100 allow all from any to any via lo0
>> add 200 deny all from any to 127.0.0.0/8
>> add 300 deny all from 127.0.0.0/8 to any
>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>> bge0
>> add 500 allow all from any to any
> Большое спасибо за ответ, попробую вечером - отпишусь.
Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся, но вот в access.log нету записей. Таке впечатление что сквид не ловит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от михалыч (ok) on 13-Авг-13, 04:37

>[оверквотинг удален]
>>> add 100 allow all from any to any via lo0
>>> add 200 deny all from any to 127.0.0.0/8
>>> add 300 deny all from 127.0.0.0/8 to any
>>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
>>> bge0
>>> add 500 allow all from any to any
>> Большое спасибо за ответ, попробую вечером - отпишусь.
> Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся,
> но вот в access.log нету записей. Таке впечатление что сквид не
> ловит.
Добавить в самое начало:
acl localhost src 127.0.0.1/32
Так как у вас указана ваша сеть:
acl my_network src 192.168.50.0/24
то это всё
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
можно(нужно) убрать.
Строку
http_access allow localnet
заменить на
http_access allow my_network
Строку
http_port 3128 intercept
заменить на
http_port 127.0.0.1:3128 intercept
Убрать строку
http_port 3129
Выхлоп ipfw show покажите.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 13-Авг-13, 10:15

>[оверквотинг удален]
> http_access allow localnet
> заменить на
> http_access allow my_network
> Строку
> http_port 3128 intercept
> заменить на
> http_port 127.0.0.1:3128 intercept
> Убрать строку
> http_port 3129
> Выхлоп ipfw show покажите.
Загрузил правила, согласно вашим рекомендациям. Выхлоп:
00050  702 475601 divert 8668 ip from any to any via bge1
00100    0      0 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400    0      0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
00500 1474 957392 allow ip from any to any
65535 9194 553357 allow ip from any to any
Также поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается:
ERROR: No forward-proxy ports configured.
Согласно информации з гугла, для прозрачного прокси нужен еще один порт.
Вот конфиг сквида новый:
acl localhost src 127.0.0.1/32
acl my_network src 192.168.50.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow my_network
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 127.0.0.1:3128 intercept
http_port 3129
cache_dir ufs /cache 20480 16 256
coredump_dir /cache
refresh_pattern ^ftp:         &n... 1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Лог сквида:
2013/08/13 12:14:00 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2013/08/13 12:14:00 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Squid plugin modules loaded: 0
2013/08/13 12:14:00 kid1| Adaptation support is off.
2013/08/13 12:14:00 kid1| Store logging disabled
2013/08/13 12:14:00 kid1| DNS Socket created at 0.0.0.0, FD 9
2013/08/13 12:14:00 kid1| Adding domain csia.net from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.4 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| Adding nameserver 192.168.50.6 from /etc/resolv.conf
2013/08/13 12:14:00 kid1| HTCP Disabled.
2013/08/13 12:14:00 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2013/08/13 12:14:00 kid1| Pinger socket opened on FD 15
2013/08/13 12:14:00| pinger: Initialising ICMP pinger ...
2013/08/13 12:14:00| pinger: ICMP socket opened.
2013/08/13 12:14:00 kid1| Loaded Icons.
2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 11 flags=41
2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129 remote=[::] FD 12 flags=9

Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted :
tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed: (1) Operation not permitted
Результат к сожалению тот же.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от михалыч (ok) on 13-Авг-13, 11:41

>[оверквотинг удален]
> 2013/08/13 12:14:00 kid1| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128
> remote=[::] FD 11 flags=41
> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
> remote=[::] FD 12 flags=9
> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
> :
> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
> (1) Operation not permitted
> Результат к сожалению тот же.
Покажите вывод
cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 13-Авг-13, 12:32

>[оверквотинг удален]
>> 2013/08/13 12:14:00 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3129
>> remote=[::] FD 12 flags=9
>> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted
>> :
>> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges
>> 2013/08/12 12:32:25.779| tools.cc(758) enter_suid: enter_suid: setresuid failed:
>> (1) Operation not permitted
>> Результат к сожалению тот же.
> Покажите вывод
> cat /usr/src/sys/`uname -m`/conf/`uname -i` | grep IPFIREWALL
Вывод - пустая строка.
Я не не делал перекомпиляции ядра.
Вот вывод kldstat и sysctl
sysctl -a | grep forward
kern.smp.forward_signal_enabled: 1
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0
net.wlan.hwmp.replyforward: 1
kldstat
Id Refs Address            Size     Name
1   12 0xffffffff80200000 1323408  kernel
2    3 0xffffffff81612000 cf6e     ipfw.ko
3    1 0xffffffff8161f000 a07d     dummynet.ko
4    1 0xffffffff8162a000 16e3     ipdivert.ko

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Прозрачный Squid + ipfw проблема редиректа" +2 +/–

Сообщение от михалыч (ok) on 13-Авг-13, 13:55

> Я не не делал перекомпиляции ядра.
Для включения fwd пересобирать ядро всё же необходимо.
Вот кусок man ipfw который чётко об этом говорит.
To enable fwd a custom kernel needs to be compiled with the
option options IPFIREWALL_FORWARD.
А вот для включения divert можно использовать два варианта.
man divert
To enable support for divert sockets, place the following lines in the
kernel configuration file:
      options IPFIREWALL
      options IPDIVERT
Alternatively, to load divert as a module at boot time, add the following
lines into the loader.conf(5) file:
      ipfw_load="YES"
      ipdivert_load="YES"
Если будете компилировать ядро включите туда и divert
то есть добавьте следующее.
options         IPFIREWALL              # firewall
options         IPFIREWALL_VERBOSE      # enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=10     # limit verbosity
options         IPFIREWALL_DEFAULT_TO_ACCEPT    # allow everything by default
options         IPFIREWALL_FORWARD      # packet destination changes
options         IPFIREWALL_NAT          # ipfw kernel nat support
options         IPDIVERT                # divert sockets
cp /usr/src/sys/`uname -m`/conf/GENERIC  /usr/src/sys/`uname -m`/conf/mykernel
cd /usr/src/sys/`uname -m`/conf/
ee mykernel
Отредактируйте mykernel, добавив вышеуказанные строки с IPFIREWALL и IPDIVERT
и заменив строку
ident           GENERIC
на
ident           mykernel
После этого
cd /usr/src/
make buildkernel KERNCONF=mykernel
make installkernel KERNCONF=mykernel
Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
ipfw_load="YES"
ipdivert_load="YES"
P.S. Рекомендую вместо natd использовать kernel nat

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 13-Авг-13, 17:32

>[оверквотинг удален]
> на
> ident           mykernel
> После этого
> cd /usr/src/
> make buildkernel KERNCONF=mykernel
> make installkernel KERNCONF=mykernel
> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
> ipfw_load="YES"
> ipdivert_load="YES"
> P.S. Рекомендую вместо natd использовать kernel nat
Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
Буду пробовать. Об результатах обязательно сообщу.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 19-Авг-13, 15:46

>[оверквотинг удален]
>> После этого
>> cd /usr/src/
>> make buildkernel KERNCONF=mykernel
>> make installkernel KERNCONF=mykernel
>> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки
>> ipfw_load="YES"
>> ipdivert_load="YES"
>> P.S. Рекомендую вместо natd использовать kernel nat
> Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.
> Буду пробовать. Об результатах обязательно сообщу.
Добрый день. После перекомпиляции ядра все пошло. Спасибо большое за советы!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от Аноним (??) on 13-Авг-13, 12:39

> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
> 00050  702 475601 divert 8668 ip from any to any via bge1
> 00100    0      0 allow  ip from any to any via lo0
> 00200    0      0 deny   ip from any to 127.0.0.0/8
> 00300    0      0 deny   ip from 127.0.0.0/8 to any
> 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
Форвардится только ОДИН IP ?????

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от enzorik (ok) on 13-Авг-13, 12:50

>> Загрузил правила, согласно вашим рекомендациям. Выхлоп:
>> 00050  702 475601 divert 8668 ip from any to any via bge1
>> 00100    0      0 allow  ip from any to any via lo0
>> 00200    0      0 deny   ip from any to 127.0.0.0/8
>> 00300    0      0 deny   ip from 127.0.0.0/8 to any
>> 00400    0      0 fwd    127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0
> Форвардится только ОДИН IP ?????
Это моя машина, делаю так, чтобы не трогать пользователей.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Прозрачный Squid + ipfw проблема редиректа" +/–

Сообщение от Tiarasu (ok) on 18-Сен-14, 13:30

>[оверквотинг удален]
> Давайте от простого к сложному.
> Загрузите минимальный набор правил.
> После, добавляйте/усложняйте по вкусу.
> add 50 divert natd all from any to any via bge1
> add 100 allow all from any to any via lo0
> add 200 deny all from any to 127.0.0.0/8
> add 300 deny all from 127.0.0.0/8 to any
> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv
> bge0
> add 500 allow all from any to any
Попробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прозрачный Squid + ipfw проблема редиректа"	+/–
Сообщение от михалыч (ok) on 12-Авг-13, 18:09
Почему forwarding раньше divert ? Давайте от простого к сложному. Загрузите минимальный набор правил. После, добавляйте/усложняйте по вкусу. add 50 divert natd all from any to any via bge1 add 100 allow all from any to any via lo0 add 200 deny all from any to 127.0.0.0/8 add 300 deny all from 127.0.0.0/8 to any add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv bge0 add 500 allow all from any to any
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 12-Авг-13, 18:17
	>[оверквотинг удален] > Давайте от простого к сложному. > Загрузите минимальный набор правил. > После, добавляйте/усложняйте по вкусу. > add 50 divert natd all from any to any via bge1 > add 100 allow all from any to any via lo0 > add 200 deny all from any to 127.0.0.0/8 > add 300 deny all from 127.0.0.0/8 to any > add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv > bge0 > add 500 allow all from any to any Большое спасибо за ответ, попробую вечером - отпишусь.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 13-Авг-13, 00:00
	>[оверквотинг удален] >> Загрузите минимальный набор правил. >> После, добавляйте/усложняйте по вкусу. >> add 50 divert natd all from any to any via bge1 >> add 100 allow all from any to any via lo0 >> add 200 deny all from any to 127.0.0.0/8 >> add 300 deny all from 127.0.0.0/8 to any >> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv >> bge0 >> add 500 allow all from any to any > Большое спасибо за ответ, попробую вечером - отпишусь. Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся, но вот в access.log нету записей. Таке впечатление что сквид не ловит.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от михалыч (ok) on 13-Авг-13, 04:37
	>[оверквотинг удален] >>> add 100 allow all from any to any via lo0 >>> add 200 deny all from any to 127.0.0.0/8 >>> add 300 deny all from 127.0.0.0/8 to any >>> add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv >>> bge0 >>> add 500 allow all from any to any >> Большое спасибо за ответ, попробую вечером - отпишусь. > Добрый вечер. Загрузил вашы правила, пробывал и по другому. Теперь сайты грузятся, > но вот в access.log нету записей. Таке впечатление что сквид не > ловит. Добавить в самое начало: acl localhost src 127.0.0.1/32 Так как у вас указана ваша сеть: acl my_network src 192.168.50.0/24 то это всё acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines можно(нужно) убрать. Строку http_access allow localnet заменить на http_access allow my_network Строку http_port 3128 intercept заменить на http_port 127.0.0.1:3128 intercept Убрать строку http_port 3129 Выхлоп ipfw show покажите.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 13-Авг-13, 10:15
	>[оверквотинг удален] > http_access allow localnet > заменить на > http_access allow my_network > Строку > http_port 3128 intercept > заменить на > http_port 127.0.0.1:3128 intercept > Убрать строку > http_port 3129 > Выхлоп ipfw show покажите. Загрузил правила, согласно вашим рекомендациям. Выхлоп: 00050 702 475601 divert 8668 ip from any to any via bge1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0 00500 1474 957392 allow ip from any to any 65535 9194 553357 allow ip from any to any Также поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается: ERROR: No forward-proxy ports configured. Согласно информации з гугла, для прозрачного прокси нужен еще один порт. Вот конфиг сквида новый: acl localhost src 127.0.0.1/32 acl my_network src 192.168.50.0/24 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow my_network http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localhost http_access deny all http_port 127.0.0.1:3128 intercept http_port 3129 cache_dir ufs /cache 20480 16 256 coredump_dir /cache refresh_pattern ^ftp: &n... 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/\|\?) 0 0% 0 refresh_pattern . 0 20% 4320 Лог сквида: 2013/08/13 12:14:00 kid1\| Logfile: opening log daemon:/var/log/squid/access.log 2013/08/13 12:14:00 kid1\| Logfile Daemon: opening log /var/log/squid/access.log 2013/08/13 12:14:00 kid1\| WARNING: no_suid: setuid(0): (1) Operation not permitted 2013/08/13 12:14:00 kid1\| Squid plugin modules loaded: 0 2013/08/13 12:14:00 kid1\| Adaptation support is off. 2013/08/13 12:14:00 kid1\| Store logging disabled 2013/08/13 12:14:00 kid1\| DNS Socket created at 0.0.0.0, FD 9 2013/08/13 12:14:00 kid1\| Adding domain csia.net from /etc/resolv.conf 2013/08/13 12:14:00 kid1\| Adding nameserver 192.168.50.4 from /etc/resolv.conf 2013/08/13 12:14:00 kid1\| Adding nameserver 192.168.50.6 from /etc/resolv.conf 2013/08/13 12:14:00 kid1\| HTCP Disabled. 2013/08/13 12:14:00 kid1\| WARNING: no_suid: setuid(0): (1) Operation not permitted 2013/08/13 12:14:00 kid1\| Pinger socket opened on FD 15 2013/08/13 12:14:00\| pinger: Initialising ICMP pinger ... 2013/08/13 12:14:00\| pinger: ICMP socket opened. 2013/08/13 12:14:00 kid1\| Loaded Icons. 2013/08/13 12:14:00 kid1\| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 remote=[::] FD 11 flags=41 2013/08/13 12:14:00 kid1\| Accepting HTTP Socket connections at local=0.0.0.0:3129 remote=[::] FD 12 flags=9 Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted : tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges 2013/08/12 12:32:25.779\| tools.cc(758) enter_suid: enter_suid: setresuid failed: (1) Operation not permitted Результат к сожалению тот же.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от михалыч (ok) on 13-Авг-13, 11:41
	>[оверквотинг удален] > 2013/08/13 12:14:00 kid1\| Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 > remote=[::] FD 11 flags=41 > 2013/08/13 12:14:00 kid1\| Accepting HTTP Socket connections at local=0.0.0.0:3129 > remote=[::] FD 12 flags=9 > Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted > : > tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges > 2013/08/12 12:32:25.779\| tools.cc(758) enter_suid: enter_suid: setresuid failed: > (1) Operation not permitted > Результат к сожалению тот же. Покажите вывод cat /usr/src/sys/`uname -m`/conf/`uname -i` \| grep IPFIREWALL
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 13-Авг-13, 12:32
	>[оверквотинг удален] >> 2013/08/13 12:14:00 kid1\| Accepting HTTP Socket connections at local=0.0.0.0:3129 >> remote=[::] FD 12 flags=9 >> Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted >> : >> tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges >> 2013/08/12 12:32:25.779\| tools.cc(758) enter_suid: enter_suid: setresuid failed: >> (1) Operation not permitted >> Результат к сожалению тот же. > Покажите вывод > cat /usr/src/sys/`uname -m`/conf/`uname -i` \| grep IPFIREWALL Вывод - пустая строка. Я не не делал перекомпиляции ядра. Вот вывод kldstat и sysctl sysctl -a \| grep forward kern.smp.forward_signal_enabled: 1 net.inet.ip.forwarding: 1 net.inet.ip.fastforwarding: 0 net.inet6.ip6.forwarding: 0 net.wlan.hwmp.replyforward: 1 kldstat Id Refs Address Size Name 1 12 0xffffffff80200000 1323408 kernel 2 3 0xffffffff81612000 cf6e ipfw.ko 3 1 0xffffffff8161f000 a07d dummynet.ko 4 1 0xffffffff8162a000 16e3 ipdivert.ko
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Прозрачный Squid + ipfw проблема редиректа"	+2 +/–
	Сообщение от михалыч (ok) on 13-Авг-13, 13:55
	> Я не не делал перекомпиляции ядра. Для включения fwd пересобирать ядро всё же необходимо. Вот кусок man ipfw который чётко об этом говорит. To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD. А вот для включения divert можно использовать два варианта. man divert To enable support for divert sockets, place the following lines in the kernel configuration file: options IPFIREWALL options IPDIVERT Alternatively, to load divert as a module at boot time, add the following lines into the loader.conf(5) file: ipfw_load="YES" ipdivert_load="YES" Если будете компилировать ядро включите туда и divert то есть добавьте следующее. options IPFIREWALL # firewall options IPFIREWALL_VERBOSE # enable logging to syslogd(8) options IPFIREWALL_VERBOSE_LIMIT=10 # limit verbosity options IPFIREWALL_DEFAULT_TO_ACCEPT # allow everything by default options IPFIREWALL_FORWARD # packet destination changes options IPFIREWALL_NAT # ipfw kernel nat support options IPDIVERT # divert sockets cp /usr/src/sys/`uname -m`/conf/GENERIC /usr/src/sys/`uname -m`/conf/mykernel cd /usr/src/sys/`uname -m`/conf/ ee mykernel Отредактируйте mykernel, добавив вышеуказанные строки с IPFIREWALL и IPDIVERT и заменив строку ident GENERIC на ident mykernel После этого cd /usr/src/ make buildkernel KERNCONF=mykernel make installkernel KERNCONF=mykernel Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки ipfw_load="YES" ipdivert_load="YES" P.S. Рекомендую вместо natd использовать kernel nat
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	11. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 13-Авг-13, 17:32
	>[оверквотинг удален] > на > ident mykernel > После этого > cd /usr/src/ > make buildkernel KERNCONF=mykernel > make installkernel KERNCONF=mykernel > Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки > ipfw_load="YES" > ipdivert_load="YES" > P.S. Рекомендую вместо natd использовать kernel nat Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту. Буду пробовать. Об результатах обязательно сообщу.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 19-Авг-13, 15:46
	>[оверквотинг удален] >> После этого >> cd /usr/src/ >> make buildkernel KERNCONF=mykernel >> make installkernel KERNCONF=mykernel >> Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки >> ipfw_load="YES" >> ipdivert_load="YES" >> P.S. Рекомендую вместо natd использовать kernel nat > Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту. > Буду пробовать. Об результатах обязательно сообщу. Добрый день. После перекомпиляции ядра все пошло. Спасибо большое за советы!
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	8. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от Аноним (??) on 13-Авг-13, 12:39
	> Загрузил правила, согласно вашим рекомендациям. Выхлоп: > 00050 702 475601 divert 8668 ip from any to any via bge1 > 00100 0 0 allow ip from any to any via lo0 > 00200 0 0 deny ip from any to 127.0.0.0/8 > 00300 0 0 deny ip from 127.0.0.0/8 to any > 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0 Форвардится только ОДИН IP ?????
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от enzorik (ok) on 13-Авг-13, 12:50
	>> Загрузил правила, согласно вашим рекомендациям. Выхлоп: >> 00050 702 475601 divert 8668 ip from any to any via bge1 >> 00100 0 0 allow ip from any to any via lo0 >> 00200 0 0 deny ip from any to 127.0.0.0/8 >> 00300 0 0 deny ip from 127.0.0.0/8 to any >> 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0 > Форвардится только ОДИН IP ????? Это моя машина, делаю так, чтобы не трогать пользователей.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	13. "Прозрачный Squid + ipfw проблема редиректа"	+/–
	Сообщение от Tiarasu (ok) on 18-Сен-14, 13:30
	>[оверквотинг удален] > Давайте от простого к сложному. > Загрузите минимальный набор правил. > После, добавляйте/усложняйте по вкусу. > add 50 divert natd all from any to any via bge1 > add 100 allow all from any to any via lo0 > add 200 deny all from any to 127.0.0.0/8 > add 300 deny all from 127.0.0.0/8 to any > add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv > bge0 > add 500 allow all from any to any Попробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору