ipfw и squid

[Golthana]

Настраиваю прозрачный прокси. Проверил sockstat squid слушает порты 3128

добавляю правило 

${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1

 

А вот слушаю tcpdump -pnei igb1 port 3128, а там пусто (при том, что я делаю запросы по 80 порту)

[loki]

Побольше инфы дайте. 

Прокси локально на этой машине крутится, или отдельный хост ? 

[Golthana]

Все на одной машине. Здесь же и НАС (рскриптД) и решил резать url. Судя по ipfw show, то на правиле, которое заворачивает трафик идет, ну вот узел недоступен всегда. Нужно ли какое-то правило, которое разрешает squid отправлять запросы в инет?

[Melanxolik]

log logamount 1000, есть что-то?

[foreverok]

На loopback интерфейсе запускайте tcpdump.

[Golthana]

 

 

На loopback интерфейсе запускайте tcpdump.

Пусто

[John_Doe]

 

 

${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1

А шо это такое за правило и шо оно вообще должно делать?

ТС а ну покеж ipfw show 100

[Golthana]

Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface)

[John_Doe]

 

 

Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface)

 не бывает таких правил  в ipfw

покажи вывод ipfw show 1-100

Відредаговано 20 квітня, 2016 John_Doe

[Golthana]

00002 tee 10001 ip from any to any via igb1
00003 deny ip6 from any to any
00004 allow ip from table(2) to 10.10.0.1 dst-port 53 via igb1
00004 allow ip from 10.10.0.1 to table(2) src-port 53 via igb1
00004 allow ip from table(2) to me dst-port 80 via igb1
00004 allow ip from me to table(2) src-port 80 via igb1
00006 fwd 127.0.0.1,81 ip from table(47) to not 172.20.0.1 dst-port 80
00020 allow ip from any to any via lo0
00030 deny ip from any to 127.0.0.0/8
00040 deny ip from 127.0.0.0/8 to any
00050 fwd 127.0.0.1,3128 ip from 10.10.0.2 to any dst-port 80
 

[John_Doe]

А это так задумано на лупбек все резать и тудаже шото форвардить?

[Demid]

а squid какой интерфейс слушает?

 

${FwCMD} add 100 fwd ip squid, 3128 tcp from table\(2\) to not me dst-port 80 via ${LAN_IF}

Відредаговано 20 квітня, 2016 Demid

[Golthana]

 

 

А это так задумано на лупбек все резать и тудаже шото форвардить?

Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика)

[John_Doe]

 

А это так задумано на лупбек все резать и тудаже шото форвардить?

Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика)

 

Вследующий раз если просите помощи показывайте то что есть

[Golthana]

 

 

Вследующий раз если просите помощи показывайте то что есть

Извините за неполноту изложенных мною данных

[Golthana]

Кто-нибудь прикручивал валидный сертификат в squid?

[John_Doe]

Кто-нибудь прикручивал валидный сертификат в squid?

Сертификат чего?

[vop]

Кто-нибудь прикручивал валидный сертификат в squid?

А в чем проблема? В получении сертификата, или в прикручивании?

[Golthana]

Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА

[John_Doe]

Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА

Цель какая иметь сертификат на проксе?

[Golthana]

Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом.

[John_Doe]

Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом.

Никакой, начнете бампить ssl и резать запрещеные сайты,перестанут работать все остальные.Такое можно делать в офисе имея доступ к клиентским компам и устанавливая им свой сертификат . Для предоставления услуги это не прокатит

[Golthana]

 

 

Для предоставления услуги это не прокатит

 

Понятно. А какие механизмы еще есть?

[John_Doe]

 

Для предоставления услуги это не прокатит

 

Понятно. А какие механизмы еще есть?

 

Для SSL никаких.

[Golthana]

Печально