The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw + squid"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipfw + squid"  +/
Сообщение от slowkazak email(ok) on 28-Дек-11, 15:10 
Добрый день, встала задача: запоролить доступ в интернет пользователям.
Ну задача как задача, вроде все просто. настроил сквид, принался за фаервол.
но не тут-то было!
FWD не работает.
Вот строка в конфиге фаера:
$cmd 050 fwd 127.0.0.1,3128 tcp from $lannet to any 8080,80 out via $eif

А вот что он мне выдает при загрузке правил:
ipfw: getsockopt(IP_FW_ADD):

перечитал кучу всего, ядро пересобирал.
Если кто знает в чем проблема, помогите.  FreeBSD 8.2-RELEASE

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw + squid"  +/
Сообщение от кегна on 28-Дек-11, 19:46 
>[оверквотинг удален]
> Ну задача как задача, вроде все просто. настроил сквид, принался за фаервол.
> но не тут-то было!
> FWD не работает.
> Вот строка в конфиге фаера:
> $cmd 050 fwd 127.0.0.1,3128 tcp from $lannet to any 8080,80 out via
> $eif
> А вот что он мне выдает при загрузке правил:
> ipfw: getsockopt(IP_FW_ADD):
> перечитал кучу всего, ядро пересобирал.
> Если кто знает в чем проблема, помогите.  FreeBSD 8.2-RELEASE

ну пусть cmd = /sbin/ipfw
ок... получается
/sbin/ipfw 0050 fwd 127.0.0.1 ..... ?

а add не нужно между ipfw и 0050 ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw + squid"  +/
Сообщение от Hammer (ok) on 28-Дек-11, 20:47 
>[оверквотинг удален]
>> $cmd 050 fwd 127.0.0.1,3128 tcp from $lannet to any 8080,80 out via
>> $eif
>> А вот что он мне выдает при загрузке правил:
>> ipfw: getsockopt(IP_FW_ADD):
>> перечитал кучу всего, ядро пересобирал.
>> Если кто знает в чем проблема, помогите.  FreeBSD 8.2-RELEASE
> ну пусть cmd = /sbin/ipfw
> ок... получается
> /sbin/ipfw 0050 fwd 127.0.0.1 ..... ?
> а add не нужно между ipfw и 0050 ?

Сквид не поддерживает авторизацию в прозрачном режиме.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw + squid"  +/
Сообщение от slowkazak email(ok) on 29-Дек-11, 10:34 
>[оверквотинг удален]
>>> $eif
>>> А вот что он мне выдает при загрузке правил:
>>> ipfw: getsockopt(IP_FW_ADD):
>>> перечитал кучу всего, ядро пересобирал.
>>> Если кто знает в чем проблема, помогите.  FreeBSD 8.2-RELEASE
>> ну пусть cmd = /sbin/ipfw
>> ок... получается
>> /sbin/ipfw 0050 fwd 127.0.0.1 ..... ?
>> а add не нужно между ipfw и 0050 ?
> Сквид не поддерживает авторизацию в прозрачном режиме.

это я понял, но даже когда в конфиге сквида не указываешь что порт прозрачный тоже самое происходит

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipfw + squid"  +/
Сообщение от Anony on 29-Дек-11, 10:45 
а в конфиге squid'a вы хоть указали авторизацию?


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipfw + squid"  +/
Сообщение от slowkazak email(ok) on 29-Дек-11, 11:16 
> а в конфиге squid'a вы хоть указали авторизацию?

да, если прописываешь в настройках браузера адрес прокси то все нормально, а вот форвардить на сквид из ipfw не выходит

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipfw + squid"  +/
Сообщение от mr_gfd on 29-Дек-11, 12:43 
cd /usr/src; echo "options IPFIREWALL_FORWARD" >> /usr/src/sys/`uname -m`/conf/`uname -i`; rm -Rf /usr/obj/*; make -s kernel && shutdown -r now

в общем виде - без пересборки ядра fwd не работает. в хендбуке описано.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "ipfw + squid"  +/
Сообщение от slowkazak email(ok) on 29-Дек-11, 12:56 
> cd /usr/src; echo "options IPFIREWALL_FORWARD" >> /usr/src/sys/`uname -m`/conf/`uname
> -i`; rm -Rf /usr/obj/*; make -s kernel && shutdown -r now
> в общем виде - без пересборки ядра fwd не работает. в хендбуке
> описано.

Вся суть в том чтоб добавить в ядро "options IPFIREWALL_FORWARD".
Но тут загвоздка в том что я уже пересобирал ядро с этой опцией

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ipfw + squid"  +/
Сообщение от mr_gfd on 29-Дек-11, 13:33 
Ну собрать-тособрали. а поставили и бутнулись?
Вот вывод при собранном правильно ядре:
#ipfw add 64000 fwd 127.0.0.1:3128 tcp from 8.8.8.8  80 to 8.8.8.8 80 via em1
64000 fwd 127.0.0.1,3128 tcp from 8.8.8.8 80 to 8.8.8.8 dst-port 80 via em1
#ipfw sh 64000
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
64000          0             0 fwd 127.0.0.1,3128 tcp from 8.8.8.8 80 to 8.8.8.8 dst-port 80 via em1

и на GENERIC:
#ipfw add 64000 fwd 127.0.0.1:3128 tcp from 8.8.8.8  80 to 8.8.8.8 80 via em1
ipfw: getsockopt(IP_FW_ADD): Invalid argument
#ipfw sh 64000
ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string
ipfw: rule 64000 does not exist

Ну и, для полноты картины, сначала добавляйте правило без переменных, явно указывая, что нужно. Когдазаработает - можно и скриптовать более ровно.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ipfw + squid"  +/
Сообщение от mr_gfd on 29-Дек-11, 13:35 
Ну и, для полноты картины, можете развлечься с pf.

#pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on em0 inet proto tcp from 192.168.1.0/24 to any port = http -> 192.168.1.1 port 3128

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ipfw + squid"  +/
Сообщение от mr_gfd on 29-Дек-11, 14:10 
> Ну и, для полноты картины, можете развлечься с pf.
> #pfctl -sn
> No ALTQ support in kernel
> ALTQ related functions disabled
> rdr on em0 inet proto tcp from 192.168.1.0/24 to any port =
> http -> 192.168.1.1 port 3128

BTW, лучше не использовать форвард при необходимости запаролить прокси, а пользоваться средствами автонастройки через DHCP и DNS:
http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
http://support.microsoft.com/kb/309814

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipfw + squid"  +/
Сообщение от slowkazak email(ok) on 30-Дек-11, 10:19 
> BTW, лучше не использовать форвард при необходимости запаролить прокси, а пользоваться
> средствами автонастройки через DHCP и DNS:
> http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
> http://support.microsoft.com/kb/309814

наверное это буду использовать, а то очередная персборка и переустановка ядра никак не помогает а pf использовать не хочется

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру