Помогите ламеру )
Задача пробросить на сквид весь трафик кроме пары ip адресов
Вопрос как это реализовать ?
В данный момент на сквид пробрасывается вообще весть http трафик
при помощи PF

вот строчка из pf.conf

rdr on $int_if inet proto tcp from $int_if:network to any port { http } -> lo0 port 3128

уповаю....спасибо

• FreeBSD + PF Проброс на squid ,reader, 22:38 , 01-Июн-11
  • FreeBSD + PF Проброс на squid ,Fiodor, 23:56 , 01-Июн-11
    • FreeBSD + PF Проброс на squid ,antonim, 07:55 , 02-Июн-11
    • FreeBSD + PF Проброс на squid ,reader, 10:26 , 02-Июн-11
      • FreeBSD + PF Проброс на squid ,Fiodor, 23:21 , 02-Июн-11
• FreeBSD + PF Проброс на squid ,Aquarius, 22:41 , 01-Июн-11
• FreeBSD + PF Проброс на squid ,Rabidus, 14:05 , 02-Июн-11
  • FreeBSD + PF Проброс на squid ,Fiodor, 00:44 , 03-Июн-11
    • FreeBSD + PF Проброс на squid ,reader, 10:39 , 03-Июн-11
    • FreeBSD + PF Проброс на squid ,Rabidus, 12:09 , 03-Июн-11
      • FreeBSD + PF Проброс на squid ,Fiodor, 21:01 , 05-Июн-11

> Помогите ламеру )
> Задача пробросить на сквид весь трафик кроме пары ip адресов
> Вопрос как это реализовать ?
> В данный момент на сквид пробрасывается вообще весть http трафик
> при помощи PF
> вот строчка из pf.conf
> rdr on $int_if inet proto tcp from $int_if:network to any port {
> http } -> lo0 port 3128
> уповаю....спасибо

squid это http прокси и пробрасывать на него не http трафик не нужно

> squid это http прокси и пробрасывать на него не http трафик не
> нужно

хорошо.
тогда подругому попробую донести суть.
есть софт который ломится по определённому ip и если включен прозрачный сквид - софт не коннектиться туда куда надо. если я отключаю сквид - вуоля всё ок.
так вот - как мне прокинуть трафик на эти мои Ip мимо сквида ?

>> squid это http прокси и пробрасывать на него не http трафик не
>> нужно
> хорошо.
> тогда подругому попробую донести суть.
> есть софт который ломится по определённому ip и если включен прозрачный сквид
> - софт не коннектиться туда куда надо. если я отключаю сквид
> - вуоля всё ок.
> так вот - как мне прокинуть трафик на эти мои Ip мимо
> сквида ?

Через acl, (always|never)_direct не пробовали?
Например так: всех кто ломится вконтакт и одноклассники

# НЕ ЧЕРЕЗ SQUID
acl vknt dstdomain .vkontakte.ru
acl odnk dstdomain .odnoklassniki.ru

always_direct allow vknt
always_direct allow odnk

always_direct deny all
never_direct deny !vknt !odnk
never_direct deny all

>> squid это http прокси и пробрасывать на него не http трафик не
>> нужно
> хорошо.
> тогда подругому попробую донести суть.
> есть софт который ломится по определённому ip и если включен прозрачный сквид
> - софт не коннектиться туда куда надо. если я отключаю сквид
> - вуоля всё ок.
> так вот - как мне прокинуть трафик на эти мои Ip мимо
> сквида ?

какой протокол у софтины, какие порты, http?
что значит "отключаю сквид", останавливаете демона или rdr убираете или не прописываете прокси у софта?

> какой протокол у софтины, какие порты, http?
> что значит "отключаю сквид", останавливаете демона или rdr убираете или не прописываете
> прокси у софта?

протокол tcp, port 80
убираю рдр (остаётся нат)
настроек прокси в софте нет

> Помогите ламеру )
> Задача пробросить на сквид весь трафик кроме пары ip адресов
> Вопрос как это реализовать ?
> В данный момент на сквид пробрасывается вообще весть http трафик
> при помощи PF
> вот строчка из pf.conf
> rdr on $int_if inet proto tcp from $int_if:network to any port {
> http } -> lo0 port 3128
> уповаю....спасибо

на офсайте сквида есть FAQ
там есть ВСЁ

> Помогите ламеру )
> Задача пробросить на сквид весь трафик кроме пары ip адресов
> Вопрос как это реализовать ?
> В данный момент на сквид пробрасывается вообще весть http трафик
> при помощи PF
> вот строчка из pf.conf
> rdr on $int_if inet proto tcp from $int_if:network to any port {
> http } -> lo0 port 3128
> уповаю....спасибо

если на уровне фаервола, то

no_squid="172.16.1.2/32"
rdr on $int_if inet proto tcp from  {!$no_squid} to any port { http } -> lo0 port 3128

т.е заворачивать все, кроме определенного ip

>> уповаю....спасибо
> если на уровне фаервола, то
> no_squid="172.16.1.2/32"
> rdr on $int_if inet proto tcp from  {!$no_squid} to any port
> { http } -> lo0 port 3128
> т.е заворачивать все, кроме определенного ip

rdr on $int_if inet proto tcp from  {!$no_squid} to any port - даёт синтакс еррор (

если убрать ! - конфиг вливается но проблема остаётся

>>> уповаю....спасибо
>> если на уровне фаервола, то
>> no_squid="172.16.1.2/32"
>> rdr on $int_if inet proto tcp from  {!$no_squid} to any port
>> { http } -> lo0 port 3128
>> т.е заворачивать все, кроме определенного ip
> rdr on $int_if inet proto tcp from  {!$no_squid} to any port
> - даёт синтакс еррор (
> если убрать ! - конфиг вливается но проблема остаётся

{! $no_squid}

80 порт не означает что там http протокол, ну допустим что все таки http.
тогда проверяйте собран ли squid с поддержкой pf.
смотрим что в access.log.
смотрим что в squid.conf , на предмет http_access

>>> уповаю....спасибо
>> если на уровне фаервола, то
>> no_squid="172.16.1.2/32"
>> rdr on $int_if inet proto tcp from  {!$no_squid} to any port
>> { http } -> lo0 port 3128
>> т.е заворачивать все, кроме определенного ip
> rdr on $int_if inet proto tcp from  {!$no_squid} to any port
> - даёт синтакс еррор (
> если убрать ! - конфиг вливается но проблема остаётся

Возможно во фре более старый pf. У меня в OpenBSD такая конструкция работает.

> Возможно во фре более старый pf. У меня в OpenBSD такая конструкция
> работает.
> Возможно во фре более старый pf. У меня в OpenBSD такая конструкция
> работает.

Спасибо конструкция заработала
Синтак эррор возникал при копипасте строки )
Набил от руки и всё завелось

в итоге выглядит всё так

-------------------
no_squid= "{***.***.***.0/24, ***.***.***.0/24}"

set skip on lo0

nat on $ext_if_a inet from $int_if:network -> $ext_if_a

rdr on $int_if inet proto tcp from  { !$no_squid } to any port { http } -> lo0 port 3128
rdr on $int_if inet proto tcp from  $int_if:network  to any port { http } -> lo0 port 3128