URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4823
[ Назад ]
Исходное сообщение
"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Sindikat88 , 05-Апр-11 15:10 
Камрады, добрый день.
Появилась проблема.
Мною недавно был поднят основной шлюз на такой связке: FreeBSD 8.1 Squid+Sams+IPFW.
Сейчас поднял ещё одну машину на FreeBSD 8.1, эта машина находится в локальной сети, и должна выходить через Фришечный шлюз.
Правило IPFW добавил. Вот оно:
${FwCMD} add pass tcp from 192.168.0.11 to any 80,8080,443,21 via ${LanOut}
${FwCMD} add pass tcp from any to 80,8080,443,21 ${IpOut} in via ${LanOut}
${FwCMD} add pass icmp from 192.168.0.11 to any via ${LanOut}
${FwCMD} add pass icmp from any to ${IpOut} in via ${LanOut}
Вопрос: как мне ей открыть доступ в инет?
Содержание
Сообщения в этом обсуждении
"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено arachnid , 05-Апр-11 16:13 
через что?
имеет ли отношение к вопросу упомянутый в заголовке squid?

если squid не устраивает, то через nat

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Sindikat88 , 05-Апр-11 16:24 
> через что?
> имеет ли отношение к вопросу упомянутый в заголовке squid?
> если squid не устраивает, то через nat

Вот тут и возникает вопрос. А как можно?
Squid настроен на авторизацию по NTLM.
Как добавить туда разрешение для определенного IP, я не знаю.
Самый лучший вариант, это будет пустить его по nat.
Но по nat не получается. Правило я привел.
Я буду признателен за любую помощь.

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено arachnid , 05-Апр-11 18:13 
>> через что?
>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>> если squid не устраивает, то через nat
> Вот тут и возникает вопрос. А как можно?
> Squid настроен на авторизацию по NTLM.
> Как добавить туда разрешение для определенного IP, я не знаю.
> Самый лучший вариант, это будет пустить его по nat.
> Но по nat не получается. Правило я привел.
> Я буду признателен за любую помощь.

для сквида - делаете acl для данного ip и пускаете его без авторизации
acl second_srv src <ip>
http_access allow second_srv

для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся libalias и ipfw) и минимум правил что-то типа

ipfw add nat 123 all from any to any
ipfw nat 123 config if <внешний интерфейс> log deny_in

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Sindikat88 , 05-Апр-11 18:37 
>[оверквотинг удален]
>> Но по nat не получается. Правило я привел.
>> Я буду признателен за любую помощь.
> для сквида - делаете acl для данного ip и пускаете его без
> авторизации
> acl second_srv src <ip>
> http_access allow second_srv
> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
> libalias и ipfw) и минимум правил что-то типа
> ipfw add nat 123 all from any to any
> ipfw nat 123 config if <внешний интерфейс> log deny_in

IPFW поднят. Ядро уже собрано с ним
Под цифрами 123, что понимается?

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Sindikat88 , 05-Апр-11 18:38 
>[оверквотинг удален]
>> для сквида - делаете acl для данного ip и пускаете его без
>> авторизации
>> acl second_srv src <ip>
>> http_access allow second_srv
>> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
>> libalias и ipfw) и минимум правил что-то типа
>> ipfw add nat 123 all from any to any
>> ipfw nat 123 config if <внешний интерфейс> log deny_in
> IPFW поднят. Ядро уже собрано с ним
> Под цифрами 123, что понимается?

Понял. Это IP моей машины

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено arachnid , 05-Апр-11 19:35 
>[оверквотинг удален]
>>> авторизации
>>> acl second_srv src <ip>
>>> http_access allow second_srv
>>> для nat без пересборки ядра необходимо подгрузить модуль ipfw_nat (автоматом подгрузятся
>>> libalias и ipfw) и минимум правил что-то типа
>>> ipfw add nat 123 all from any to any
>>> ipfw nat 123 config if <внешний интерфейс> log deny_in
>> IPFW поднят. Ядро уже собрано с ним
>> Под цифрами 123, что понимается?
> Понял. Это IP моей машины

лучше бы посмотрели man ipfw. в данном случае это просто идентификатор данного ната - в системе их может быть много

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Николай , 13-Апр-11 09:11 
>> через что?
>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>> если squid не устраивает, то через nat
> Вот тут и возникает вопрос. А как можно?
> Squid настроен на авторизацию по NTLM.
> Как добавить туда разрешение для определенного IP, я не знаю.
> Самый лучший вариант, это будет пустить его по nat.
> Но по nat не получается. Правило я привел.
> Я буду признателен за любую помощь.

Здесь почитай.
http://www.lissyara.su/articles/freebsd/traffic_count/squid+.../

"FreeBSD 8.1 Squid+Sams + правила IPFW"
Отправлено Sindikat88 , 20-Апр-11 15:08 
>[оверквотинг удален]
>>> имеет ли отношение к вопросу упомянутый в заголовке squid?
>>> если squid не устраивает, то через nat
>> Вот тут и возникает вопрос. А как можно?
>> Squid настроен на авторизацию по NTLM.
>> Как добавить туда разрешение для определенного IP, я не знаю.
>> Самый лучший вариант, это будет пустить его по nat.
>> Но по nat не получается. Правило я привел.
>> Я буду признателен за любую помощь.
> Здесь почитай.
> http://www.lissyara.su/articles/freebsd/traffic_count/squid+.../

В общем, ничего не получилось.
Привожу участок конфига IPFW:
${FwCMD} add allow tcp from any to 192.168.0.11
${FwCMD} add allow tcp from 192.168.0.11 to any
${FwCMD} add divert natd tcp from 192.168.0.11 to any  via ${LanOut}
${FwCMD} add divert natd tcp from any to ${IpOut} in via ${LanOut}