Титла: ipfw fwd + squid Публикувано от: mrowcp в Dec 15, 2013, 19:07 От няколко часа се опитвам да направя следното уж елементарно нещо :)
Имам ipfw който поддържа forward.Имам и squid с 3 отворени порта.Искам да добавя още един който да е transparent.Ето конфигурацията: 1) ipfw fwd Код
тук опитвах какво ли не (според различни форуми из интернет) Код
Нали правилото се чете така: Пренасочи към 192.168.1.1,6789 всичко от 192.168.1.7 до където и да е порт 80 през интерфейс le1 ? 2) squid v.3.1 .conf Код
Другите 3 порта са с различни нива на достъп. Това което се случва в браузъра при зареждане на страница е: (http://store.picbg.net/thumb/9C/51/d196f24051339c51.JPG) ($2) което ме навежда на мисълта, че редиректа работи, но за този порт 6789 няма никакви acl който да забраняват каквото и да било. Ако пренасоча с ipfw fwd трафика към някой от рестрикнатите портове, при зареждане на сайт който е разрешен се получава следното: (http://store.picbg.net/thumb/50/E0/96ffd718fdd150e0.JPG) ($2) както и ако заредя сайт който е в списъка със забранените. Някакви идеи? EDIT: при ръчно въведено ИП и порт на прокси сървъра, ефекта е като от 1вата снимка, което май ще рече, че нещо по конфигурацията ми не е наред.В лога виждам: 1387130709.749 1 192.168.50.72 TCP_DENIED/403 4511 GET http://data.bg/ - NONE/- text/html 1387130709.849 1 192.168.50.72 TCP_DENIED/403 4111 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html Има ли някакъв начин за дебъг.Опитах да пусна с -d -N процеса, но... или не знам къде да гледам или не е това което ми трябва. Титла: Re: ipfw fwd + squid Публикувано от: savago в Dec 16, 2013, 08:54 Squid-a инсталиран/компилиран ли ти е с опциатя enable-ipfw-transparent ?
Титла: Re: ipfw fwd + squid Публикувано от: mrowcp в Dec 17, 2013, 13:48 Squid-a инсталиран/компилиран ли ти е с опциатя enable-ipfw-transparent ? # squid -v Squid Cache: Version 3.1.11 configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-ssl' '--with-openssl=/usr' '--enable-arp-acl' '--enable-ipfw-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--disable-optimizations' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-pipe -I/usr/include -g' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/include -g' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.11 --enable-ltdl-convenience Титла: Re: ipfw fwd + squid Публикувано от: mrowcp в Dec 18, 2013, 13:21 Извинявам се за 2рия пореден пост, но оправих конфига.В момента ако ръчно въведа ИП-то и порт-а, проксито работи (прави логове в access.log).Проблема е при редирект с ipfw fwd.Излиза ми 1вата картинка.
Някой може ли да каже как точно трябва да изглежда правилото за fwd ? Титла: Re: ipfw fwd + squid Публикувано от: edmon в Dec 19, 2013, 23:19 Според мен по-бързо ще инсталираш един дебиан и ще разбереш как се пишат правилата на айпитейбълс от колкото да се занимаваш с маргиналната сигурност на БСД :)
Титла: Re: ipfw fwd + squid Публикувано от: mrowcp в Dec 20, 2013, 07:39 Да вдигна темата.Има развитие.Правилото в ipfw:
Код
Не успях да подкарам всичко това в един конфиг, затова пуснах втори squid само за транспарънта.Сега всичко е ОК. Имам само питане за SSL. До колкото разбрах, за да работи, трябва да имам сертификат за всеки един SSL сайт? |