nixp.ru v3.0

19 января 2017,
четверг,
05:30:19 MSK

DevOps с компанией «Флант»
DiverD написал 23 июля 2008 года в 16:41 (409 просмотров) Ведет себя неопределенно; открыл 7 тем в форуме, оставил 8 комментариев на сайте.

OS: FreeBSD 7.0

Proxy: SQUID-2.6

em0 — интерфейс который смотрит в lan

em1 — интерфейс к которому подключон adsl модем

Соединяюсь с ISP через pppoe используя ppp.

В результате подключения создается еще один интерфейс tun0.

Со шлюза, internet работает без проблем, но если через squid пускать запросы, то они не идут в net.

Решил использовать natd+ipfw для решения этой проблемы — успеха не принесло.

natd -use_sockets -same_ports -unregistered_only -dynamic -interface tun0

# ipfw

00100 divert 8668 log logamount 100 ip from any to any via tun0
65535 allow ip from any to any

# ifconfig

em0: flags=8843 metric 0 mtu 1500
        options=19b
        ether 00:15:17:27:2c:79
        inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX )
        status: active
em1: flags=8843 metric 0 mtu 1500
        options=9b
        ether 00:15:17:27:2c:77
        inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect
        status: no carrier
lo0: flags=8049 metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051 metric 0 mtu 1492
        inet 96.57.141.184 --> 92.209.213.109 netmask 0xffffffff
        Opened by PID 1289

# netstat -rn

Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            92.209.213.109     UGS         0     1589   tun0
92.209.213.109     96.57.141.184      UGH         1     1355   tun0
127.0.0.1          127.0.0.1          UH          0       24    lo0
192.168.0.0/24     link#1             UC          0        0    em0
192.168.0.1        00:40:f4:96:33:93  UHLW        1       98    em0   1060
192.168.0.2        00:16:76:d6:6d:54  UHLW        1        7    em0   1197
192.168.0.4        00:15:17:27:2c:79  UHLW        1       55    lo0
192.168.0.6        00:1c:c0:33:96:95  UHLW        1        1    em0    403
192.168.0.143      00:1d:7d:40:32:b4  UHLW        1      117    em0    957
192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       1      231    em0
192.168.1.0/24     link#2             UC          0        0    em1

ps: очень нужна ваша помощь, ибо с такой задачей столкнулся впервые, а на работе переход на новые серваки и реарганизация ЛВС

pps: ядро собрано с опциями IPFIREWALL, IPFIREWALL_FORWARD, IPDIVERT

Anarchist
n4n0bit
OS: FreeBSD 7.0

Proxy: SQUID-2.6

Это типа шлюз?

n4n0bit
em0 — интерфейс который смотрит в lan

em1 — интерфейс к которому подключон adsl модем

Соединяюсь с ISP через pppoe используя ppp.

В результате подключения создается еще один интерфейс tun0.

Модем в режиме 'bridge'?

С FreeBSD-хоста интернет работает?

С рабочих станций локальной сети — нет?

В таком случае исходные данные приведены не по делу.

Надо было цитировать конфиг сквида.

DiverD
Anarchist
Это типа шлюз?

Модем в режиме 'bridge'?

С FreeBSD-хоста интернет работает?

С рабочих станций локальной сети — нет?

ДА

Вот конфиг сквида:

http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
maximum_object_size 2000 KB
maximum_object_size_in_memory 1000 KB
cache_dir ufs /usr/local/squid/cache 2000 16 256
access_log /usr/local/squid/logs/access.log squid
auth_param basic children 3
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localnet src 192.168.0.0/24
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Icq_port port 5190          # icq
acl Irc_port port 6667          # irc
acl MSN_port port 1863          # msn messager
acl CONNECT method CONNECT
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname PROXY
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
coredump_dir /usr/local/squid/cache
Anarchist

И с какими симптомами (на рабочей станции) он у тебя не работает?

403 выводит сквид?

Интернет по какому порту работает?

Он у тебя разрешён?

Почитай про настройку сквида.

DiverD

Прошу прощения, я был не внимателен, squid был собран с поддержкой acl ARP.

После добавление acl arp mac все стало на свои места.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.