форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"и снова о ПРОЗРАЧНОМ SQUID...."

Сообщение от Scorpiy (??) on 20-Фев-06, 02:35

Хочу сделать прозрачное проксирование для ВПН-клиентов выходящих в и-нет через билинг. Все сделал, но при запросе сиранички из и-нета сам скуид ругаеться что мол "Аксес Динайн". А на  "локальный ВВВ сервер"(где стоит АПАЧ) доступ идет прекрасно. В чем может быть грабля? Система: Фрии 4.9 Билинг: ФРИИНИБС(ВПН-клиенты через МПД-сервер) правила IPFW: add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для моего АПАЧА на котором крутиться статистика билинга и форум add 2 fwd 127.0.0.1,3128 tcp from any to any 80  # НЕ для моего АПАЧА но через МОЙ СКУИД! add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0 add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0 add 65000 allow all from any to any 10.1.4.1/24  - сеть с ВПН клинтами. dc0  -  внешний интерфейс к и-нету 192.168.0.100   -  адрес сервера в локальной сети ВОТ ЧТО В ЛОГАХ СКУИДА: 1140391322.513      4 10.10.6.67 TCP_DENIED/403 1411 GET http://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi? - NONE/- text/html 1140391322.517     11 10.1.4.2 TCP_MISS/403 1443 GET http://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi? - DIRECT/82.137.161.90 text/html 10.1.4.2   -   адрес ВПН клиента. 10.10.6.67   -   адрес на карточке dc0 ( та что смотрит в и-нет). КОНФИГ СКУИДА:            http_port 3128            icp_port 0            acl QUERY urlpath_regex cgi-bin/?            no_cache deny QUERY            cache_mem 56 MB            logfile_rotate 10            ftp_user anonymous@            ftp_list_width 32            ftp_passive on            ftp_sanitycheck on                   acl all src 0.0.0.0/0.0.0.0            acl manager proto cache_object            acl localhost src 127.0.0.1/255.255.255.255            acl SSL_ports port 443 563            acl SMTP port 25            acl Safe_ports port 80            acl Safe_ports port 21            acl Safe_ports port 443 563            acl Safe_ports port 777            acl CONNECT method CONNECT                   http_access allow all                              httpd_accel_host virtual            httpd_accel_port 80            httpd_accel_with_proxy on            httpd_accel_uses_host_header on

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "и снова о ПРОЗРАЧНОМ SQUID...."

Сообщение от paul (??) on 20-Фев-06, 09:41

Проблема может быть в конфигурации фаерволла - те закрыт доступ по http самому серверу со сквидом. Для проверки можно попользоваться каким-нибуть lynx-ом прямо с командной строки сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 20-Фев-06, 10:30
	>Проблема может быть в конфигурации фаерволла - те закрыт доступ по http >самому серверу со сквидом. Для проверки можно попользоваться каким-нибуть lynx-ом прямо >с командной строки сервера. Все что есть в фаере это то что написано выше... 2 строки на форвард и 2 на переадресацию для ната. Запросы до сквида доходят, иначе бы он не выдавал окно "Акцес Динайн". Где-то проблема с самим скуидом...  Что-то в его конфиге, я уже пытался минимизировать что можно, все лишнее поубирал, а он все-равно ругается. Может еще нужно закольцевать и "Луппбэк"?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от paul (??) on 20-Фев-06, 10:53
	>>Проблема может быть в конфигурации фаерволла - те закрыт доступ по http >>самому серверу со сквидом. Для проверки можно попользоваться каким-нибуть lynx-ом прямо >>с командной строки сервера. > > > >Все что есть в фаере это то что написано выше... 2 строки >на форвард и 2 на переадресацию для ната. Запросы до сквида >доходят, иначе бы он не выдавал окно "Акцес Динайн". Где-то проблема >с самим скуидом...  Что-то в его конфиге, я уже пытался >минимизировать что можно, все лишнее поубирал, а он все-равно ругается. Может >еще нужно закольцевать и "Луппбэк"? Я имел ввиду, что выхода наружу не имеет сам сквид - проверить можно с консоли браузером. Также можно попробовать оганичить правило №2 : add 2 fwd 127.0.0.1,3128 tcp from 10.1.4.1/24 to any 80  # НЕ для моего АПАЧА но через МОЙ СКУИД!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 20-Фев-06, 12:16
	>Я имел ввиду, что выхода наружу не имеет сам сквид - проверить >можно с консоли браузером. >Также можно попробовать оганичить правило №2 : >add 2 fwd 127.0.0.1,3128 tcp from 10.1.4.1/24 to any 80  # >НЕ для моего АПАЧА но через МОЙ СКУИД! Когда правило закоментировано, то все прекрасно идет через НАТд. Но очень нужно сделать через скуид - скорость малая, и когда много людей сидит - то кеш может сьекономить много нервов и волосы на попе...  :) Сам скуид работает если на него обращаться из простой локалки, прописав в браузере прокси-сервер и порт на котором он стоит...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от paul (??) on 20-Фев-06, 12:57
	> >>Я имел ввиду, что выхода наружу не имеет сам сквид - проверить >>можно с консоли браузером. >>Также можно попробовать оганичить правило №2 : >>add 2 fwd 127.0.0.1,3128 tcp from 10.1.4.1/24 to any 80  # >>НЕ для моего АПАЧА но через МОЙ СКУИД! > > >Когда правило закоментировано, то все прекрасно идет через НАТд. Но очень нужно >сделать через скуид - скорость малая, и когда много людей сидит >- то кеш может сьекономить много нервов и волосы на попе... > :) Сам скуид работает если на него обращаться из простой >локалки, прописав в браузере прокси-сервер и порт на котором он стоит... > Хм... Странный диалог - я про Фому, а мне - про Ерему. покажи ipfw show add 2 fwd 127.0.0.1,3128 tcp from 10.1.4.1/24 to any 80 - пробовал? попробуй - add 2 fwd 192.168.0.100,3128 tcp from 10.1.4.1/24 to any 80 - если пройдет, то значит lo0 кто-то режет Я правильно понял, что локалка (адреса 192.168.0.ххх) может ходить как при прописанном прокси (192.168.0.100) в браузере, так и без него (прозрачное проксирование) при включенном правиле №2 ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "и снова о ПРОЗРАЧНОМ SQUID...."

Сообщение от vvvua (ok) on 20-Фев-06, 17:22

1. легче было спросить в спец. разделе по squid 2. Открытый проксик не хорошо оставлять... (http_access allow all) 3. при форварде пакеты, адрес-источник не меняется, а у вас не прописан acl на 10.1.4.0/24 4. Форвард на прокси лучше не на 127.0.0.1 делать, а на 10.1.4.1 (короче: из той сети, где VPN) 5. Нужно посмотреть вывод squid -X

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 23-Фев-06, 18:19
	>1. легче было спросить в спец. разделе по squid >2. Открытый проксик не хорошо оставлять... (http_access allow all) >3. при форварде пакеты, адрес-источник не меняется, а у вас не прописан >acl на 10.1.4.0/24 >4. Форвард на прокси лучше не на 127.0.0.1 делать, а на 10.1.4.1 >(короче: из той сети, где VPN) >5. Нужно посмотреть вывод squid -X Вобщем так: Сам сквид поставился и работает нормально(проверенно несколькими сквидами). Правила IPFW такие: add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 add 2 fwd 10.1.4.1,3128 tcp from any to any 80 add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0 add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0 add 65000 allow all from any to any Настройки Сквида:   http_port 3128            icp_port 0            acl QUERY urlpath_regex cgi-bin/?            no_cache deny QUERY            cache_mem 32 MB            logfile_rotate 10            ftp_user anonymous@            ftp_list_width 32            ftp_passive on            ftp_sanitycheck on            acl server src 192.168.0.100/255.255.255.255            acl clients src 10.1.4.0/255.255.255.0            acl all src 0.0.0.0/0.0.0.0            acl manager proto cache_object            acl localhost src 127.0.0.1/255.255.255.255            acl SSL_ports port 443 563            acl SMTP port 25            acl Safe_ports port 80            acl Safe_ports port 21            acl Safe_ports port 443 563            acl Safe_ports port 777            acl CONNECT method CONNECT                       http_access allow server            http_access allow clients            http_access deny !Safe_ports            http_access deny SMTP            http_access deny all            icp_access deny all                                 httpd_accel_host virtual            httpd_accel_port 80            httpd_accel_with_proxy on            httpd_accel_uses_host_header on Если работать с такими правилами и настройками, то в браузере видно только "Аксес Динайн". Это очень плохо. Если же отключить правило в IPFW "add 2 fwd 10.1.4.1,3128 tcp from any to any 80", то хттп запросы начинаю замечательно НАТиться и в браузере идет страница из и-нета, НО МИМО СКВИДА! это тоже не хорошо. Если же выключить ВПН соединение и оставить одну только сеть, прописать в браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном же правиле форварда, опять таже картина - "Аксесс Динайн") Вот что в ЛОГ файле Сквида при попытке зайти на страницу(включено правило в фаере): 1140707023.737    835 10.1.4.2 TCP_NEGATIVE_HIT/403 1453 GET http://www.opennet.dev/openforum/vsluhforumID1/63498.html - NONE/- text/html 1140707038.287      5 10.10.6.67 TCP_DENIED/403 1365 GET http://btg.btgrab.com/a/Drk.syn? - NONE/- text/html 1140707038.292    248 10.1.4.2 TCP_MISS/403 1392 GET http://btg.btgrab.com/a/Drk.syn? - DIRECT/204.16.123.10 text/html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 23-Фев-06, 18:21
	ПиСи.   Как же это все завести что бы с ВПН-ом работало?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от paul (??) on 23-Фев-06, 20:07
	>ПиСи.   Как же это все завести что бы с ВПН-ом >работало? Есть мнение, что сквид попадает сам на себя на строчке >> add 2 fwd 10.1.4.1,3128 tcp from any to any 80 на внешнем интерфейсе. Была ли попытка сузить действие этого правила до, скажем такого: add 2 fwd 10.1.4.1,3128 tcp from {ВПН-подсеть} to any 80 ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 23-Фев-06, 22:36
	>>ПиСи.   Как же это все завести что бы с ВПН-ом >>работало? > > >Есть мнение, что сквид попадает сам на себя на строчке >>> add 2 fwd 10.1.4.1,3128 tcp from any to any 80 >на внешнем интерфейсе. Была ли попытка сузить действие этого правила до, скажем >такого: >add 2 fwd 10.1.4.1,3128 tcp from {ВПН-подсеть} to any 80 ? Было опробованы всевозможные варианты замены первого адреса(10,1,4,1), перебрал все что можно, локальную сеть, ВПН-сеть, лупбэк... и т.д. Вторую часть не менял, попробую подставить {ВПН-подсеть}. Обязательно напишу что получится. Но меня настораживает, то что когда пытаешься заходить на страничку сигнал пробигает на сервак, там форвардиться на сквид и глазом можно увидеть как он пробегает по АДСЛ-модему, подключеному к серваку на внешнем сетевом интерфейсе. Невзрачно, коротко и совсем слабо, как бы единичный пинг...  и через доли секунды после этого появляеться "Аксес Динайн"... Еще интересно что означают те три строки из ЛОГа сквида, особенно одеа из них там где "закрыт"(невозможен) доступ на 10,10,6,67(это внешний интерфейс). Почему так? Он нигде не описан  ни в правилах, ни в сквиде... На сервере просто включен НАТ и Гетэвэй...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от paul (??) on 24-Фев-06, 11:47
	>Было опробованы всевозможные варианты замены первого адреса(10,1,4,1), перебрал все что можно, локальную >сеть, ВПН-сеть, лупбэк... и т.д. Вторую часть не менял, попробую подставить >{ВПН-подсеть}. Обязательно напишу что получится. >Но меня настораживает, то что когда пытаешься заходить на страничку сигнал пробигает >на сервак, там форвардиться на сквид и глазом можно увидеть как >он пробегает по АДСЛ-модему, подключеному к серваку на внешнем сетевом интерфейсе. >Невзрачно, коротко и совсем слабо, как бы единичный пинг...  и >через доли секунды после этого появляеться "Аксес Динайн"... > >Еще интересно что означают те три строки из ЛОГа сквида, особенно одеа >из них там где "закрыт"(невозможен) доступ на 10,10,6,67(это внешний интерфейс). Почему >так? Он нигде не описан  ни в правилах, ни в >сквиде... >На сервере просто включен НАТ и Гетэвэй... "Невзрачно, коротко и совсем слабо, как бы единичный пинг..." - это скорее всего udp пакет, которым сквид резолвит запрашиваемый адрес - для него-то дорога фаерволлом открыта. В догонку - у меня была похожая проблема, не запускался прозрачный заворот пакетов на сквид PF фаерволлом, а во всем остальном сквид вел себя нормально. Оказалось, паралельно еще висел забытый мной IPFW в дефолтном режиме OPEN и пакеты резала его часть, отвечающая за доступ к loop-back (lo0) интерфейсу. Правда, похоже это не тот случай.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 24-Фев-06, 12:01
	Изначально была чистая системка...  Фри 4.9   Потом перекомпилировал ядро с нужными опциями (Файрвалл  и еще несколько для него же) и вот имею только IPFW.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "и снова о ПРОЗРАЧНОМ SQUID...."
	Сообщение от Scorpiy (??) on 26-Фев-06, 18:37
	======================================== Сорри с 4.9 неработал, но на 5.3(и далее) прозрачное прокси без IP_FORWARDING_EXTENDED в ядре не работает ======================================== Это действительно так?!!!   У меня ядро на Фрии 4.9 не хочет компелироваться с этой штукой... а без нее не работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема