Перейти до

ipfw и squid


Рекомендованные сообщения

Настраиваю прозрачный прокси. Проверил sockstat squid слушает порты 3128

добавляю правило 

${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1

 

А вот слушаю tcpdump -pnei igb1 port 3128, а там пусто (при том, что я делаю запросы по 80 порту)

Ссылка на сообщение
Поделиться на других сайтах

Все на одной машине. Здесь же и НАС (рскриптД) и решил резать url. Судя по ipfw show, то на правиле, которое заворачивает трафик идет, ну вот узел недоступен всегда. Нужно ли какое-то правило, которое разрешает squid отправлять запросы в инет?

Ссылка на сообщение
Поделиться на других сайтах

 

 

${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1

А шо это такое за правило и шо оно вообще должно делать?

ТС а ну покеж ipfw show 100

Ссылка на сообщение
Поделиться на других сайтах

 

 

Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface)

 не бывает таких правил  в ipfw

покажи вывод ipfw show 1-100

Відредаговано John_Doe
Ссылка на сообщение
Поделиться на других сайтах

00002 tee 10001 ip from any to any via igb1
00003 deny ip6 from any to any
00004 allow ip from table(2) to 10.10.0.1 dst-port 53 via igb1
00004 allow ip from 10.10.0.1 to table(2) src-port 53 via igb1
00004 allow ip from table(2) to me dst-port 80 via igb1
00004 allow ip from me to table(2) src-port 80 via igb1
00006 fwd 127.0.0.1,81 ip from table(47) to not 172.20.0.1 dst-port 80
00020 allow ip from any to any via lo0
00030 deny ip from any to 127.0.0.0/8
00040 deny ip from 127.0.0.0/8 to any
00050 fwd 127.0.0.1,3128 ip from 10.10.0.2 to any dst-port 80
 

Ссылка на сообщение
Поделиться на других сайтах

а squid какой интерфейс слушает?

 

${FwCMD} add 100 fwd ip squid, 3128 tcp from table\(2\) to not me dst-port 80 via ${LAN_IF}

Відредаговано Demid
Ссылка на сообщение
Поделиться на других сайтах

 

 

А это так задумано на лупбек все резать и тудаже шото форвардить?

Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика)

Ссылка на сообщение
Поделиться на других сайтах

 

А это так задумано на лупбек все резать и тудаже шото форвардить?

Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика)

 

Вследующий раз если просите помощи показывайте то что есть

Ссылка на сообщение
Поделиться на других сайтах

Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА

Ссылка на сообщение
Поделиться на других сайтах

Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА

Цель какая иметь сертификат на проксе?

Ссылка на сообщение
Поделиться на других сайтах

Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом.

Ссылка на сообщение
Поделиться на других сайтах

Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом.

Никакой, начнете бампить ssl и резать запрещеные сайты,перестанут работать все остальные.Такое можно делать в офисе имея доступ к клиентским компам и устанавливая им свой сертификат . Для предоставления услуги это не прокатит

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...