URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6667
[ Назад ]

Исходное сообщение
"Прозрачный SQUID и корпоративная сеть"

Отправлено SeVeR , 27-Июн-11 10:16 
День добрый,

FreeBSD 8.2
Squid Cache: Version 2.7.STABLE9
SAMS-1.0.5
rejik
mysql  Ver 14.14 Distrib 5.1.57

lan 192.168.0.0/16
office 192.168.1.0/24
192.168.1.254 - CISCO


Подключение PPPOE

cat /etc/ppp/ppp.conf
default:
  set log Phase tun command
bace:
  set device PPPoE:ale0
  set authname dsl_1969
  set authkey 2ws592ey
  set dial
  set login
  add default HISADDR

cat /etc/rules | grep -v '^#'
ipfw -q -f flush
cmd="ipfw -q add"
eif="ale0"
net="xxx.xxx.xxx.xxx"

$cmd 100 fwd 127.0.0.1,8080 tcp from $lan to any http out via $eif
$cmd 110 fwd 192.168.1.254 icmp from any to not me
$cmd 120 fwd 192.168.1.254 all from any to not me 4899
$cmd 130 fwd 192.168.1.254 all from any to not me 137-139
$cmd 140 fwd 192.168.1.254 all from any to not me 1000-3723
$cmd 150 fwd 192.168.1.254 all from any to not me 3725-4000
$cmd 400 allow log all from any to any (Знаю плохо ) но пока не решу проблему будет так)

В office прокся не прописывается (настроена прозрачно), далее в lan у всех в браузерах есть.

Если смущают строки 120-150, ppp поднимается с указанием его шлюза и сеть уже не ходит через CISCO (пинг, севое окруж и т.п.) без этих строк и инет не радовался дальше office, после написания заработала раздача интернета с прохождение через SQUID

Все поставил SQUID сделал прозрачным в office сети все нормально и режется все что нужно и скорости как надо, а вот дальше за в lan уже интересней, Windows 7 не хочет получать инет, хотя она пингует проксю, но telnet 80 не дает ни каких результатов (...

Может кто подскажет какие порты надо пробросить, или другую схему...


Содержание

Сообщения в этом обсуждении
"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 10:33 
>[оверквотинг удален]
> Если смущают строки 120-150, ppp поднимается с указанием его шлюза и сеть
> уже не ходит через CISCO (пинг, севое окруж и т.п.) без
> этих строк и инет не радовался дальше office, после написания заработала
> раздача интернета с прохождение через SQUID
> Все поставил SQUID сделал прозрачным в office сети все нормально и режется
> все что нужно и скорости как надо, а вот дальше за
> в lan уже интересней, Windows 7 не хочет получать инет, хотя
> она пингует проксю, но telnet 80 не дает ни каких результатов
> (...
> Может кто подскажет какие порты надо пробросить, или другую схему...

Кхм..
Если приведенный cat /etc/rules соответствует действительности,
то где у вас $lan ? Банально пропустили или указанный cat не есть настоящий ? ))
И что, проблема наблюдается только с 7 или с любой машиной?


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 27-Июн-11 10:41 
> Кхм..
> Если приведенный cat /etc/rules соответствует действительности,
> то где у вас $lan ? Банально пропустили или указанный cat не
> есть настоящий ? ))
> И что, проблема наблюдается только с 7 или с любой машиной?

Пока настроено грубо на any (если прописывать $lan результат тот же)
Да проблема только с 7 на остальных будь то unix или windows XP, 2000, 2003 все нормально.


"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 10:44 
>> Кхм..
>> Если приведенный cat /etc/rules соответствует действительности,
>> то где у вас $lan ? Банально пропустили или указанный cat не
>> есть настоящий ? ))
>> И что, проблема наблюдается только с 7 или с любой машиной?
> Пока настроено грубо на any (если прописывать $lan результат тот же)
> Да проблема только с 7 на остальных будь то unix или windows
> XP, 2000, 2003 все нормально.

А $lan часом адреса свои не через dhcp получает? У 7 и висты там свои заморочки.


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 27-Июн-11 10:47 
>>> Кхм..
>>> Если приведенный cat /etc/rules соответствует действительности,
>>> то где у вас $lan ? Банально пропустили или указанный cat не
>>> есть настоящий ? ))
>>> И что, проблема наблюдается только с 7 или с любой машиной?
>> Пока настроено грубо на any (если прописывать $lan результат тот же)
>> Да проблема только с 7 на остальных будь то unix или windows
>> XP, 2000, 2003 все нормально.
> А $lan часом адреса свои не через dhcp получает? У 7 и
> висты там свои заморочки.

Все адреса статичны


"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 10:53 
>[оверквотинг удален]
>>>> Если приведенный cat /etc/rules соответствует действительности,
>>>> то где у вас $lan ? Банально пропустили или указанный cat не
>>>> есть настоящий ? ))
>>>> И что, проблема наблюдается только с 7 или с любой машиной?
>>> Пока настроено грубо на any (если прописывать $lan результат тот же)
>>> Да проблема только с 7 на остальных будь то unix или windows
>>> XP, 2000, 2003 все нормально.
>> А $lan часом адреса свои не через dhcp получает? У 7 и
>> висты там свои заморочки.
> Все адреса статичны

Чудес не бывает.
Оставьте в правилах только fwd на прокси, остольное (для теста) все убрать
и разрешить все и всем.
Вооружиться tcpdump'ом и смотреть на интерфейсе, который в $lan
Кстати, а что там в ifconfig ?
Правили сквида еще раз проверить, может офису рарешили, а лан забыли, режик проверить, acl
и т.д. и т.п.


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 27-Июн-11 11:01 
Если оставить только fwd проксю будут видеть только lan, для этого и прописывал 120-150
Про tcpdump спасибо буду мониторить

ale0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=c319a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MCAST,WOL_MAGIC,VLAN_HWTSO,LINKSTATE>
    ether 00:22:15:63:18:6f
    inet 192.168.1.8 netmask 0xffffff00 broadcast 192.168.1.255
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
    options=80000<LINKSTATE>
    inet xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy netmask 0xffffffff
    Opened by PID 3761

xxx.xxx.xxx.xxx - адрес выданный pppoe
yyy.yyy.yyy.yyy - шлюз провайдера

Со SQUID все норм, на может быть такого чтоб удаленный комп 192.168.5.1 видел прокси по 80 порту а 192.168.5.2 нет ( все acl настроены sams


"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 11:20 
>[оверквотинг удален]
>  nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
>  options=80000<LINKSTATE>
>  inet xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy netmask 0xffffffff
>  Opened by PID 3761
> xxx.xxx.xxx.xxx - адрес выданный pppoe
> yyy.yyy.yyy.yyy - шлюз провайдера
> Со SQUID все норм, на может быть такого чтоб удаленный комп 192.168.5.1
> видел прокси по 80 порту а 192.168.5.2 нет ( все acl
> настроены sams

А с маской ничего не напутали?
если у вас $lan 192.168.0.0 (255.255.0.0)
то почему в ifconfig маска ale0 255.255.255.0 (netmask 0xffffff00)
Как 7 может пингать проксю? А прокся видит 7?
Странно это все как-то..
Шнурок в ХРюшу -> все работает,
перетыкаем в 7 -> нет, ничего не работает, так что ли?
Если так, то ковырять 7, фильтр, брандмауэр встроенный,
фаервол сторонний, антивирус мудренный или режим какой-нибудь хитрый, проактивка.


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 27-Июн-11 11:29 
С маской усе норм.
Удаленный комп 192.168.5.1 пингует 192.168.1.8 (PROXY) в office а telnet 192.168.1.8 80 ни чего не выдает

да если взять машину 192,168,5,1 с win 7 то нета нет, если же машине с XP дать тот же IP все норм
7 бранд уже отключал, антив DrWeb без фаира


"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 11:36 
> С маской усе норм.
> Удаленный комп 192.168.5.1 пингует 192.168.1.8 (PROXY) в office а telnet 192.168.1.8 80
> ни чего не выдает
> да если взять машину 192,168,5,1 с win 7 то нета нет, если
> же машине с XP дать тот же IP все норм
> 7 бранд уже отключал, антив DrWeb без фаира

Апач на фре поднят?
Если да, то проверьте, 7 видит на фре стартовую страницу?


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 27-Июн-11 12:00 
Ага есть так йа говорю что из office все нормально видитсо, а из VPN 80 порт не идет

"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 27-Июн-11 12:10 
> Ага есть так йа говорю что из office все нормально видитсо, а
> из VPN 80 порт не идет

Что за х.., тьфу VPN ? Это еще что за зверь ? ))
ВПН на 7 настроили и глумитесь ? ))
А вообще, 7 с каких адресов в сети по 80 что-либо принимает ?
Есть в локалке сайты, веб-сервера, видит?
tcpdump что говорит ?


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 28-Июн-11 03:20 
Средствами оператора построена корпоративная сеть принцип сети
есть удаленное подразделение с сетью вида 192.168.5.x оно должно видеть office для .того построен VPN принцип такой, на примере tracert 192.168.1.8 (комп proxy в office) шаги такие будут:

192.168.5.254 - модем в удаленном подразделении
192.168.254.5 - VPN шлюз провайдера
192.168.1.254 - CISCO
192.168.1.8 - сопсна

Дальше своей сети 80 порт не видеться (сети типа 192.168.5.x)


"Прозрачный SQUID и корпоративная сеть"
Отправлено antonim , 28-Июн-11 07:18 
> Средствами оператора построена корпоративная сеть принцип сети
> есть удаленное подразделение с сетью вида 192.168.5.x оно должно видеть office для
> .того построен VPN принцип такой, на примере tracert 192.168.1.8 (комп proxy
> в office) шаги такие будут:
> 192.168.5.254 - модем в удаленном подразделении
> 192.168.254.5 - VPN шлюз провайдера
> 192.168.1.254 - CISCO
> 192.168.1.8 - сопсна
> Дальше своей сети 80 порт не видеться (сети типа 192.168.5.x)

Вы меня простите, конечно, но схему лучше приложили бы.
Не понятно, что за сеть у вас.
Вот, теперь уже модем и VPN появились. ))
Через пост ещё что-нибудь объявится.

Еще раз повторюсь - чудес на свете _НЕ_БЫВАЕТ_
Причина всегда есть: как правило человеческий фактор - невнимательность.

ХР - работает, а 7 нет. Нонсенс!
Пинайте Билла! У вас ведь ХР и 7 лицензионные дистры стоят, правда?
Вот и звоните в техподдержку.

Возьмите в руки БООЛЬШОЙ напильник - tcpdump.
Смотрите и сравните на локальном интерфейсе вашего прокси ale0:
- запросы от ХР и 7
- ответы для ХР и 7
Почувствуйте разницу. ))

М-да..
Случай клинический.. В морг!?


"Прозрачный SQUID и корпоративная сеть"
Отправлено SeVeRSeVeR , 20-Дек-11 03:40 
Совсем забыл про эту тему =)

Заработало после строки в /etc/rules

$cmd 105 fwd $gt tcp from me 8080 to "table(1)"

ipfw table 1 add 192.168.2.0/23
ipfw table 1 add 192.168.4.0/22
ipfw table 1 add 192.168.8.0/21
ipfw table 1 add 192.168.16.0/20
ipfw table 1 add 192.168.32.0/19
ipfw table 1 add 192.168.64.0/18
ipfw table 1 add 192.168.128.0/17
ipfw table 1 add 10.255.255.0/24