https://www.opennet.ru/openforum/vsluhforumID12/7182.html Доброго времени суток, читатель!<br>Обращаюсь к тебе с проблемой в надежде обрести немного помощи. Суть такова:<br>Есть FreeBSD 10.1 с тремя интерфейсами, два из которых объединены в мост без адреса. Интерфейсы также без адресов. Третий - с адресом, для О&М нужд. Стоит сквид 3.5.4 в режиме TPROXY. Не получается направить на него HTTP-траффик. Правила ipfw использую такие:<br><br>ipfw add 1100 fwd 127.0.0.1,8080 log ip from any to any 80 in recv bge0<br>ipfw add 1101 fwd 127.0.0.1 log ip from any 80 to any in recv bge1<br><br>В итоге счетчки растут:<br><br>01100 56 10370 fwd 127.0.0.1,8080 log logamount 50 ip from any to any dst-port 80 in recv bge0<br>01101 44 33438 fwd 127.0.0.1 log logamount 50 ip from any 80 to any in recv bge1<br><br>Логи пигшутся:<br><br>May 17 19:46:02 squid kernel: ipfw: 1100 Forward to 127.0.0.1:8080 TCP 192.168.1.10:13944 192.168.1.20:80 in via bge0<br>May 17 19:46:02 squid kernel: ipfw: 1101 Forward to 127.0.0.1 TCP 192.168.1.20:80 192.168.1.10:13944 in via bge1<br><br>А на сквиде - пусто. Если застопить сквид https://www.opennet.ru/openforum/vsluhforumID12/7182.html#12 Tue, 26 May 2015 22:04:24 GMT &gt; А в кеш.логе пусто. Ситуация повторяется. Что-то не так с самим сквидом? <br><br>Зайдите на сквид телнетом и сделайте HTTP запрос, ответ нормальный? Заворот в этот момент уберите.<br><br>Ядро фряхи патчили?<br><br>См. http://adsh.org.ua/blog/article/52/<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#11 Tue, 26 May 2015 14:22:13 GMT &gt; Доброго времени суток, читатель!<br>&gt; Обращаюсь к тебе с проблемой в надежде обрести немного помощи. Суть такова: <br>&gt; Есть FreeBSD 10.1 с тремя интерфейсами, два из которых объединены в мост <br>&gt; без адреса. Интерфейсы также без адресов. Третий - с адресом, для <br>&gt; О&М нужд. Стоит сквид 3.5.4 в режиме TPROXY. Не получается направить <br>&gt; на него HTTP-траффик.<br>&gt; Гуглил очень долго, ориентировался в первую очередь на: http://www.opennet.ru/openforum/vsluhforumID12/7113.html <br>&gt; Подскажите, пожалуйста, что я делаю не так? Использование ipfw мне не принципиально, <br>&gt; остальное важно.<br><br>Попробовал другой подход. Использовал Нетграф:<br><br>#!/bin/sh<br>kldload -v ng_ether<br>kldload -v ng_bpf<br>kldload -v ng_eiface<br>ngctl mkpeer bge0: bpf lower bge0-lower<br>ngctl name bge0:lower br-bpf<br>ngctl connect bge0: br-bpf: upper bge0-upper<br>ngctl connect bge1: br-bpf: lower bge1-lower<br>ngctl connect bge1: br-bpf: upper bge1-upper<br>ngctl mkpeer br-bpf: eiface squid ether<br><br> PATTERN="tcp dst port 80"<br> INHOOK="bge0-low https://www.opennet.ru/openforum/vsluhforumID12/7182.html#10 Tue, 26 May 2015 10:45:05 GMT &gt;&gt; А правила <br>&gt;&gt; аналогичны моим <br>&gt; У Вас направление не указано. Его всегда стоит указывать, чтобы всё было <br>&gt; однозначно.<br><br>Хм. Не сработало:<br><br>01100 0 0 fwd 127.0.0.1,8080 log logamount 50 tcp from 192.168.1.10 to any dst-port 80 in via bridge0<br>01101 0 0 fwd 127.0.0.1 log logamount 50 tcp from any 80 to 192.168.1.10 in via bridge0<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#9 Fri, 22 May 2015 10:24:44 GMT &gt; А правила <br>&gt; аналогичны моим <br><br>У Вас направление не указано. Его всегда стоит указывать, чтобы всё было однозначно.<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#8 Fri, 22 May 2015 06:59:40 GMT &gt;&gt; Я так и сделал. Выше писал, что запустил squid в intercept с <br>&gt;&gt; помощью pf - все получилось.<br>&gt; Попробуйте вот так: <br>&gt; http://rejik.ru/bb_rus/viewtopic.php?f=1&t=903#p4657 <br>&gt; Кто-то рекомендовал этот вариант как раз для одного интерфеса. Дополнительно указан номер <br>&gt; порта и направление in / out.<br><br>Спасибо! Но там у него TPROXY уже работает изначально. А правила <br><br># Default rule to transparent proxy<br>${fwcmd} add 020 fwd 127.0.0.1,3128 tcp from any to not me 80 in via ${if}<br># Catch the packets that come back using the clients IPs<br>${fwcmd} add 030 fwd 127.0.0.1,3128 tcp from not me 80 to any in via ${if}<br><br>аналогичны моим<br><br>01100 19 1239 fwd 127.0.0.1,8080 log logamount 50 ip from 192.168.1.10 to any dst-port 80 via bridge0<br>01101 71 105027 fwd 127.0.0.1 log logamount 50 ip from any 80 to 192.168.1.10 via bridge0<br><br>Хотя я попробую их привести к такому же виду на всякий случай.<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#7 Fri, 22 May 2015 00:18:01 GMT &gt; Я так и сделал. Выше писал, что запустил squid в intercept с <br>&gt; помощью pf - все получилось.<br><br>Попробуйте вот так:<br><br>http://rejik.ru/bb_rus/viewtopic.php?f=1&t=903#p4657<br><br>Кто-то рекомендовал этот вариант как раз для одного интерфеса. Дополнительно указан номер порта и направление in / out.<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#6 Thu, 21 May 2015 20:44:16 GMT &gt;&gt; В итоге интернет работает, даже не режется. Если выключаю сквид, ничего не <br>&gt;&gt; меняется.<br>&gt; Понятно. Первое, что стоит сделать - поискать классическую настройку прокси на бридже <br>&gt; во FreeBSD в обычном (не tproxy) режиме. Там разница лишь в <br>&gt; спуффинге адресов (что делает Squid) и разрешении ОС спуфить адреса из <br>&gt; под обычного пользователя (что делают патчи ядра). Больше разницы нет.<br><br>Я так и сделал. Выше писал, что запустил squid в intercept с помощью pf - все получилось.<br><br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#5 Thu, 21 May 2015 12:18:47 GMT &gt; В итоге интернет работает, даже не режется. Если выключаю сквид, ничего не <br>&gt; меняется.<br><br>Понятно. Первое, что стоит сделать - поискать классическую настройку прокси на бридже во FreeBSD в обычном (не tproxy) режиме. Там разница лишь в спуффинге адресов (что делает Squid) и разрешении ОС спуфить адреса из под обычного пользователя (что делают патчи ядра). Больше разницы нет.<br> https://www.opennet.ru/openforum/vsluhforumID12/7182.html#4 Thu, 21 May 2015 05:52:41 GMT &gt;&gt; Спасибо за совет, но, к сожалению, тоже не вышло. Пробовал даже явно <br>&gt;&gt; указывать тестовый комп, но все то же самое - счетчики растут, <br>&gt;&gt; на сквид ничего не приходит <br>&gt; Не совсем понятно. Интернет у клиентов работает или нет? Т.е. - пакеты <br>&gt; проходят дальше или режутся при завороте на прокси.<br>&gt; А gateway в системе включён?<br><br>В итоге интернет работает, даже не режется. Если выключаю сквид, ничего не меняется.<br><br>Дефолтный гейтвей на 3 интерфейсе:<br>Internet:<br>Destination Gateway Flags Netif Expire<br>default 10.16.0.1 UGS bge3<br><br>Пробовал его выключать, подменял гейтвей - ничего не меняется.<br>