Автор Тема: ipfw fwd + squid  (Прочетена 4195 пъти)

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
ipfw fwd + squid
« -: Dec 15, 2013, 19:07 »
От няколко часа се опитвам да направя следното уж елементарно нещо :)

Имам ipfw който поддържа forward.Имам и squid с 3 отворени порта.Искам да добавя още един който да е transparent.Ето конфигурацията:

1) ipfw fwd

Код
GeSHi (Bash):
  1. 00059 fwd 192.168.1.1,6789 ip from 192.168.1.7 to any 80 out via 192.168.1.1

тук опитвах какво ли не (според различни форуми из интернет)

Код
GeSHi (Bash):
  1. 00059 fwd 192.168.1.1,6789 ip from 192.168.1.7 to any 80 out via le1
  2. 00059 fwd 192.168.1.1,6789 ip from 192.168.1.7 to me 80
  3. 00059 fwd 192.168.1.1,6789 ip from 192.168.1.7 to 192.168.1.1 80

Нали правилото се чете така: Пренасочи към 192.168.1.1,6789 всичко от 192.168.1.7 до където и да е порт 80 през интерфейс le1 ?

2) squid v.3.1 .conf

Код
GeSHi (Bash):
  1. http_port 192.168.1.1:6789 intercept [i](пробвах и с http_port 192.168.1.1:6789 transparent )[/i]
  2.  
  3. acl portTR myport 6789
  4. http_access allow portTR all
  5. acl notlog dstdomain .avast.com
  6. log_access deny notlog
  7.  

Другите 3 порта са с различни нива на достъп.
Това което се случва в браузъра при зареждане на страница е:



което ме навежда на мисълта, че редиректа работи, но за този порт 6789 няма никакви acl който да забраняват каквото и да било.

Ако пренасоча с ipfw fwd трафика към някой от рестрикнатите портове, при зареждане на сайт който е разрешен се получава следното:



както и ако заредя сайт който е в списъка със забранените.

Някакви идеи?

EDIT: при ръчно въведено ИП и порт на прокси сървъра, ефекта е като от 1вата снимка, което май ще рече, че нещо по конфигурацията ми не е наред.В лога виждам:

1387130709.749      1 192.168.50.72 TCP_DENIED/403 4511 GET http://data.bg/ - NONE/- text/html
1387130709.849      1 192.168.50.72 TCP_DENIED/403 4111 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

Има ли някакъв начин за дебъг.Опитах да пусна с -d -N процеса, но... или не знам къде да гледам или не е това което ми трябва.
« Последна редакция: Dec 15, 2013, 20:10 от mrowcp »
Активен

Some Things Just Are The Way They Are

savago

  • Напреднали
  • *****
  • Публикации: 84
  • Distribution: mainly OpenBSD,FreeBSD
    • Профил
Re: ipfw fwd + squid
« Отговор #1 -: Dec 16, 2013, 08:54 »
Squid-a инсталиран/компилиран ли ти е с опциатя enable-ipfw-transparent ?
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw fwd + squid
« Отговор #2 -: Dec 17, 2013, 13:48 »
Squid-a инсталиран/компилиран ли ти е с опциатя enable-ipfw-transparent ?

# squid -v
Squid Cache: Version 3.1.11
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-ssl' '--with-openssl=/usr' '--enable-arp-acl' '--enable-ipfw-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--disable-optimizations' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-pipe  -I/usr/include -g' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/include -g' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.11 --enable-ltdl-convenience
Активен

Some Things Just Are The Way They Are

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw fwd + squid
« Отговор #3 -: Dec 18, 2013, 13:21 »
Извинявам се за 2рия пореден пост, но оправих конфига.В момента ако ръчно въведа ИП-то и порт-а, проксито работи (прави логове в access.log).Проблема е при редирект с ipfw fwd.Излиза ми 1вата картинка.
Някой може ли да каже как точно трябва да изглежда правилото за fwd ?
Активен

Some Things Just Are The Way They Are

edmon

  • Гост
Re: ipfw fwd + squid
« Отговор #4 -: Dec 19, 2013, 23:19 »
Според мен по-бързо ще инсталираш един дебиан и ще разбереш как се пишат правилата на айпитейбълс от колкото да се занимаваш с маргиналната сигурност на БСД :)
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: ipfw fwd + squid
« Отговор #5 -: Dec 20, 2013, 07:39 »
Да вдигна темата.Има развитие.Правилото в ipfw:

Код
GeSHi (Bash):
  1. ipfw list
  2. 00001 fwd 192.168.1.1,9999 tcp from any to any dst-port 80 recv le1

Не успях да подкарам всичко това в един конфиг, затова пуснах втори squid само за транспарънта.Сега всичко е ОК.
Имам само питане за SSL. До колкото разбрах, за да работи, трябва да имам сертификат за всеки един SSL сайт?
« Последна редакция: Jan 03, 2014, 19:22 от mrowcp »
Активен

Some Things Just Are The Way They Are

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Squid 2.6 +ipfw
Настройки на софтуер
Summoning 0 2012 Последна публикация Feb 15, 2007, 23:14
от Summoning
ipfw питанка
Системни настройки
mrowcp 8 5160 Последна публикация Sep 12, 2010, 07:00
от mrowcp
ipfw как за блокна даден порт?
Настройки на софтуер
XTYLING 4 3736 Последна публикация Jul 06, 2011, 01:30
от dakev
ipfw и PL/SQL
Настройки на софтуер
mrowcp 3 2419 Последна публикация Sep 09, 2013, 15:04
от ieti
Блокиране на web proxy URLs през squid/ipfw
Настройки на софтуер
mrowcp 4 4057 Последна публикация Feb 21, 2014, 02:04
от mrowcp