рассказываю: есть ipfw и он работает. есть squid и он тоже работает. а вот когда я в моём ipfw'шном конфе пишу:
add fwd 127.0.0.1,3128 tcp from any to any 80 и
add allow all from any to any (чтобы небыло сомнений что это он не пущает)
а в squid.conf'е соответственно добавляю
http_port 3128
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
и в итоге мне squid вываливает месаж о том что ACCESS DENIED. тоесть пакеты с ipfw на squid всё-таки форвардятся, а squid не пущает... куда копать? ткните носом плиз...
transparent proxy (squid-2.5STABLE6+ipfw2+BSD 5.2)
Модераторы: Trinity admin`s, Free-lance moderator`s
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: transparent proxy (squid-2.5STABLE6+ipfw2+BSD 5.2)
Копать в сторону настроек Squid-а, это он не пускает. Смотреть в ACL в конфиге.linz писал(а):и в итоге мне squid вываливает месаж о том что ACCESS DENIED. тоесть пакеты с ipfw на squid всё-таки форвардятся, а squid не пущает... куда копать? ткните носом плиз...
Re: transparent proxy (squid-2.5STABLE6+ipfw2+BSD 5.2)
а что именно-то? из acl'ей только дефолтовые, да и ещё там стоит http_access allow all, и я так понимаю, что он должен перебивать все возможные ACL. или не так?Stranger03 писал(а):Копать в сторону настроек Squid-а, это он не пускает. Смотреть в ACL в конфиге.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: transparent proxy (squid-2.5STABLE6+ipfw2+BSD 5.2)
Честно говоря сейчас я учусь и посмотреть не могу, что там должно быть точно. А на память не помню, :(.linz писал(а):а что именно-то? из acl'ей только дефолтовые, да и ещё там стоит http_access allow all, и я так понимаю, что он должен перебивать все возможные ACL. или не так?
Идея такая, что надо определить ACL для вашей IP сети. Потом разрешить доступ из этой ACL. Вроде все. Смотрите в конфиге, или чиркните личное письмо Setar-у, он может подскажет.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Если без форварда работает, то вопроса два:linz писал(а):втом-то и трабл, что без форварда он работаетт прекрасно...
сейчас, по совету Stranger03'a, попробую написать разрешающий АСЛ для моей подсети...
1. Как вы поднимали этот самый форвард? Помните, что в кернеле надо компилировать поддержку форвард запросов?
2. Когда происходит форвард запросов на сквид, прозрачный прокси, то надо четко понимать адресацию пакетов, пересылаемых через firewall. Я точно не помню, вроде как есть необходимость писать правила помимо подсетей и на localhost. Правда делал я это так давно, на память не помню, :?.
P.S. в понедельник может посмотрю, если тема не умрет.
ответ нумер один: в пятой ветке BSD нет той форвардной опции. теперь оно без неё форвардится. это абсолбтно точно известный факт.Stranger03 писал(а):Если без форварда работает, то вопроса два:
1. Как вы поднимали этот самый форвард? Помните, что в кернеле надо компилировать поддержку форвард запросов?
2. Когда происходит форвард запросов на сквид, прозрачный прокси, то надо четко понимать адресацию пакетов, пересылаемых через firewall. Я точно не помню, вроде как есть необходимость писать правила помимо подсетей и на localhost. Правда делал я это так давно, на память не помню, :?.
да и мессаж о запрещении доступа мне выдаёт скуид, соответственно форвард работает.
ответ нумер два: я сделал ACL разрешающий мою подсеть а localhost там по дефолту разрешён.
результат: не изменилось ни чего.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
-
Andrey Y. Ostanovsky
- Advanced member
- Сообщения: 103
- Зарегистрирован: 04 окт 2004, 15:07
Лучше, чтобы не закольцовывать местные запросы:linz писал(а):все разрешилось добавлением внутренней подсети в правило форварда.
тоесть я писал add fwd 127.0.0.1,3128 tcp from any to any 80
а надо add fwd 127.0.0.1,3128 tcp from myNet/myMask to any 80
add fwd 127.0.0.1,3128 tcp from 192.168.0.0/16 to not 192.168.0.0/16 80 in via ...
Хотя, на ветке 4.xx были проблемы в пониманием конструкции "not" в ipfw1.
Но теперь появился новый трабл.
я поставил Apache 2.0.52 и если я пытаюсь обратиться к этому тазику, то мой tarnsparent'овый squid заботливо сообщает о том что AccessDenyed.
я вроде как по аналогии с форвардным правилом я написал:
add allow tcp from net/mask to ip(тазика) 80
add allow tcp from ip(тазика) 80 to net/mask
однако фигу. грешить на конфиг апача без мазы потому как если отключаю правило форварда то всё работает...
я поставил Apache 2.0.52 и если я пытаюсь обратиться к этому тазику, то мой tarnsparent'овый squid заботливо сообщает о том что AccessDenyed.
я вроде как по аналогии с форвардным правилом я написал:
add allow tcp from net/mask to ip(тазика) 80
add allow tcp from ip(тазика) 80 to net/mask
однако фигу. грешить на конфиг апача без мазы потому как если отключаю правило форварда то всё работает...
-
Andrey Y. Ostanovsky
- Advanced member
- Сообщения: 103
- Зарегистрирован: 04 окт 2004, 15:07
А вот не должны пакеты на местные адреса добираться или попадать под условие правила форвардинга. О чем я чуть раньше и говорил.linz писал(а):Но теперь появился новый трабл.
я поставил Apache 2.0.52 и если я пытаюсь обратиться к этому тазику, то мой tarnsparent'овый squid заботливо сообщает о том что AccessDenyed.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя