Golthana 3 Posted 2016-04-20 09:36:52 Share Posted 2016-04-20 09:36:52 Настраиваю прозрачный прокси. Проверил sockstat squid слушает порты 3128 добавляю правило ${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1 А вот слушаю tcpdump -pnei igb1 port 3128, а там пусто (при том, что я делаю запросы по 80 порту) Link to post Share on other sites
loki 86 Posted 2016-04-20 09:54:11 Share Posted 2016-04-20 09:54:11 Побольше инфы дайте. Прокси локально на этой машине крутится, или отдельный хост ? Link to post Share on other sites
Golthana 3 Posted 2016-04-20 10:18:09 Author Share Posted 2016-04-20 10:18:09 Все на одной машине. Здесь же и НАС (рскриптД) и решил резать url. Судя по ipfw show, то на правиле, которое заворачивает трафик идет, ну вот узел недоступен всегда. Нужно ли какое-то правило, которое разрешает squid отправлять запросы в инет? Link to post Share on other sites
Melanxolik 63 Posted 2016-04-20 10:21:28 Share Posted 2016-04-20 10:21:28 log logamount 1000, есть что-то? Link to post Share on other sites
foreverok 95 Posted 2016-04-20 10:33:33 Share Posted 2016-04-20 10:33:33 На loopback интерфейсе запускайте tcpdump. Link to post Share on other sites
Golthana 3 Posted 2016-04-20 12:25:39 Author Share Posted 2016-04-20 12:25:39 На loopback интерфейсе запускайте tcpdump. Пусто Link to post Share on other sites
John_Doe 301 Posted 2016-04-20 13:19:57 Share Posted 2016-04-20 13:19:57 ${FwCMD} add 100 172.0.0.1,3128 from 172.16.0.0/24 to any dst-port 80 via igb1 А шо это такое за правило и шо оно вообще должно делать? ТС а ну покеж ipfw show 100 Link to post Share on other sites
Golthana 3 Posted 2016-04-20 13:57:43 Author Share Posted 2016-04-20 13:57:43 Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface) Link to post Share on other sites
John_Doe 301 Posted 2016-04-20 14:03:19 Share Posted 2016-04-20 14:03:19 (edited) Вручную писал, там add 100 127.0.0.1,3128 tcp from 172.16.0.0/24 (абонентская сеть) to any dst-port 80 via igb1 (local interface) не бывает таких правил в ipfw покажи вывод ipfw show 1-100 Edited 2016-04-20 14:05:47 by John_Doe Link to post Share on other sites
Golthana 3 Posted 2016-04-20 18:14:26 Author Share Posted 2016-04-20 18:14:26 00002 tee 10001 ip from any to any via igb100003 deny ip6 from any to any00004 allow ip from table(2) to 10.10.0.1 dst-port 53 via igb100004 allow ip from 10.10.0.1 to table(2) src-port 53 via igb100004 allow ip from table(2) to me dst-port 80 via igb100004 allow ip from me to table(2) src-port 80 via igb100006 fwd 127.0.0.1,81 ip from table(47) to not 172.20.0.1 dst-port 8000020 allow ip from any to any via lo000030 deny ip from any to 127.0.0.0/800040 deny ip from 127.0.0.0/8 to any00050 fwd 127.0.0.1,3128 ip from 10.10.0.2 to any dst-port 80 Link to post Share on other sites
John_Doe 301 Posted 2016-04-20 18:40:32 Share Posted 2016-04-20 18:40:32 А это так задумано на лупбек все резать и тудаже шото форвардить? Link to post Share on other sites
Demid 2 Posted 2016-04-20 18:47:41 Share Posted 2016-04-20 18:47:41 (edited) а squid какой интерфейс слушает? ${FwCMD} add 100 fwd ip squid, 3128 tcp from table\(2\) to not me dst-port 80 via ${LAN_IF} Edited 2016-04-20 18:48:21 by Demid Link to post Share on other sites
Golthana 3 Posted 2016-04-20 19:59:34 Author Share Posted 2016-04-20 19:59:34 А это так задумано на лупбек все резать и тудаже шото форвардить? Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика) Link to post Share on other sites
John_Doe 301 Posted 2016-04-20 20:48:23 Share Posted 2016-04-20 20:48:23 А это так задумано на лупбек все резать и тудаже шото форвардить? Тех правил уже нет. Просто конфиг старый был открыт. Вопрос решился обновлением кальмарчика) Вследующий раз если просите помощи показывайте то что есть Link to post Share on other sites
Golthana 3 Posted 2016-04-20 21:04:54 Author Share Posted 2016-04-20 21:04:54 Вследующий раз если просите помощи показывайте то что есть Извините за неполноту изложенных мною данных Link to post Share on other sites
Golthana 3 Posted 2016-04-21 11:48:58 Author Share Posted 2016-04-21 11:48:58 Кто-нибудь прикручивал валидный сертификат в squid? Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 12:18:21 Share Posted 2016-04-21 12:18:21 Кто-нибудь прикручивал валидный сертификат в squid? Сертификат чего? Link to post Share on other sites
vop 370 Posted 2016-04-21 12:19:44 Share Posted 2016-04-21 12:19:44 Кто-нибудь прикручивал валидный сертификат в squid? А в чем проблема? В получении сертификата, или в прикручивании? Link to post Share on other sites
Golthana 3 Posted 2016-04-21 12:27:09 Author Share Posted 2016-04-21 12:27:09 Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 12:30:51 Share Posted 2016-04-21 12:30:51 Да пока ни в чем. Собираю информацию. Меня вообще интересует какой сертификат нужен? Или подойдет базовый для проверки домена? А в прикручивании: вместо текущего самоподписанного нужно прописать полученный от СА Цель какая иметь сертификат на проксе? Link to post Share on other sites
Golthana 3 Posted 2016-04-21 12:35:55 Author Share Posted 2016-04-21 12:35:55 Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом. Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 12:43:47 Share Posted 2016-04-21 12:43:47 Задача блокировка из списка запрещенный сайтов. Если с 80 портов проблем нет, сквид его режет. А вот с https трафиком проблема. Когда заворачиваю 443 порт на прокси, то, естественно почти все ресурсы не пускают из-за того, что сертификат не прошел проверку подлинности. Вот и узнаю какой сертификат конкретно нужен и как его можно связать со сквидом. Никакой, начнете бампить ssl и резать запрещеные сайты,перестанут работать все остальные.Такое можно делать в офисе имея доступ к клиентским компам и устанавливая им свой сертификат . Для предоставления услуги это не прокатит Link to post Share on other sites
Golthana 3 Posted 2016-04-21 13:13:35 Author Share Posted 2016-04-21 13:13:35 Для предоставления услуги это не прокатит Понятно. А какие механизмы еще есть? Link to post Share on other sites
John_Doe 301 Posted 2016-04-21 15:23:44 Share Posted 2016-04-21 15:23:44 Для предоставления услуги это не прокатит Понятно. А какие механизмы еще есть? Для SSL никаких. Link to post Share on other sites
Golthana 3 Posted 2016-04-21 15:59:07 Author Share Posted 2016-04-21 15:59:07 Печально Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now