URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6258
[ Назад ]

Исходное сообщение
"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 11-Дек-09 10:38

Добрый день! вопрос банален и стар как этот мир наверно, пользовался гуглом и другими поисковиками читал гору инфы побывал все что там написано, запутался в конец во всем!
Есть сервер FreeBSD 7.1 на нем запущено: DHCP-раздает юзерам IP, Samba-каталог для файлооборота, Apache22+php+mysql-egroupware.
Задача в следующем: Сделать прозрачный прокси для юзеров,так же доступ софту рода Банк-Клиент, Скайп, Ася.
___________________________
Ставим Squid+IPFW(для ната)
описание сервера:
карта сетевая 1: sk0-внутреняя сеть (DHCP/192.168.2.0/24) адресс карты (192.168.2.100)
карта сетевая 2: re0-внешняя к ней подключем модем АДСЛ (zyxel-192.168.1.1) адресс карты (192.168.1.100)
Внешний айпи адрес динамический.

конфиг фаера
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
    squid_ip="127.0.0.1"
    squid_port="8080"
    local_net="192.168.2.0/24"
    ext_if="re0"
    ext_ip="хх.хх.хх.хх"
    ${fwcmd} add fwd ${squid_ip},${squid_port} tcp from ${local_net} to any 80
    ${fwcmd} add divert natd ip from ${local_net} to any out via ${ext_if}
    ${fwcmd} add divert natd ip from any to ${ext_ip} in via ${ext_if}
конфиг сквида
###################################################################################################################
#acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object
acl localhost src 127.0.0.1
##################################
acl oitbook src 192.168.2.111
acl gendir src 192.168.2.112
acl tehdir src 192.168.2.113
acl sbitdir src 192.168.2.114
acl glavbuh src 192.168.2.110
#acl direc5 src 192.168.2.1
#################################
acl localnet src 192.168.2.0-192.168.2.150 # AOTEC_LOCALNET
acl bs dstdomain marketgid.com www.marketgid.com freestudents.ru getingame.ru inhobby.ru iplaytoo.ru my.mail.ru  kotomatrix.ru odnoklassniki.ru www.odnoklassniki.ru privet.ru sosedi-online.ru vkontakte.ru agent.mail.ru games.mail.ru love.mail.ru

acl blodfor urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.avi$ \.3g$ \.exe$ \.msi$
acl ssex dstdom_regex sex porn porno xxx pron sexy anal xx microsoft fishki chat
#
#
#
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
#
#
#
#http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
http_access allow oitbook
http_access allow gendir
http_access allow tehdir
http_access allow sbitdir
http_access allow glavbuh
#http_access allow direc5
http_access deny localnet bs
http_access deny localnet blodfor
http_access deny localnet ssex
http_access deny localhost bs
http_access deny localhost blodfor
http_access deny localhost ssex
http_access allow localhost
http_access allow localnet
http_access deny all
##########################
visible_hostname InternetServer
error_directory /usr/local/etc/squid/errors/ru/
http_port 192.168.2.100:8080
hierarchy_stoplist cgi-bin ?
coredump_dir /usr/local/squid/cache
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320
redirect_program /usr/local/libexec/bannerfilter/redirector.pl
Конфиг RC
defaultrouter="192.168.1.1"
gateway_enable="YES"
ipv6_gateway_enable="YES"
#hostname="127.0.0.1"
ifconfig_re0="inet 192.168.1.100  netmask 255.255.255.0"
ifconfig_sk0="inet 192.168.2.100  netmask 255.255.255.0"
inetd_enable="YES"
keymap="ru.koi8-r"
moused_enable="YES"
sshd_enable="YES"
#dhcp
dhcpd_enable="YES"
dhcpd_ifaces="sk0"
#firewall
firewall_enable="YES"
firewall_quiet="NO"
natd_enable="YES"
natd_interface="re0"   #your public network interface
natd_flags="-m"        # preserve port numbers if possible
#squid
squid_enable="YES"
#samba
samba_enable="YES"
#apache
apachectl_enable="YES"
#mysql
mysql_enable="YES"

Ну вот и все это не работает подскажите пажалуйста почему? сам никак не могу понять
заранее спасибо!

Содержание

Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 11:05 , 11-Дек-09
- Настройка Squid и nat для праграм БАНКа пажалуйста помогите,P0is0n, 11:24 , 11-Дек-09
  - Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 11:57 , 11-Дек-09
    - Настройка Squid и nat для праграм БАНКа пажалуйста помогите,P0is0n, 12:19 , 11-Дек-09
      - Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 13:31 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 13:32 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 13:38 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,P0is0n, 14:11 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,P0is0n, 14:04 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 14:16 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 14:18 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 14:20 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 14:25 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,mglushak, 14:32 , 11-Дек-09
        
        Настройка Squid и nat для праграм БАНКа пажалуйста помогите,P0is0n, 09:57 , 12-Дек-09

Сообщения в этом обсуждении

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 11:05

>[оверквотинг удален]
>#apache
>apachectl_enable="YES"
>
>#mysql
>mysql_enable="YES"
>
>
>Ну вот и все это не работает подскажите пажалуйста почему? сам никак
>не могу понять
>заранее спасибо!
=================
Что именно неработает

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 11-Дек-09 11:24

>=================
>Что именно неработает
Squid висящий на 192.168.2.100:8080 порте на интерфейсе sk0 работает, а вот нат который должен пробрасывать трафик (банковских программ) в инет не работает. Сами банкоаские программы прокси не держут.

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 11:57

>
>>=================
>>Что именно неработает
>
>Squid висящий на 192.168.2.100:8080 порте на интерфейсе sk0 работает, а вот нат
>который должен пробрасывать трафик (банковских программ) в инет не работает.
>Сами банкоаские программы прокси не держут.
кусок конфига что содержит ipfw show на предмет ната
и rc.conf на предмет ната и дефаул гетвея в студию

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 11-Дек-09 12:19

>кусок конфига что содержит ipfw show на предмет ната
>и rc.conf на предмет ната и дефаул гетвея в студию
конфиги выложены полностью, может в них чего то нехватает?

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 13:31

>>кусок конфига что содержит ipfw show на предмет ната
>>и rc.conf на предмет ната и дефаул гетвея в студию
>
>конфиги выложены полностью, может в них чего то нехватает?
==================
не хватает
$ ipfw show

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 13:32

>>>кусок конфига что содержит ipfw show на предмет ната
>>>и rc.conf на предмет ната и дефаул гетвея в студию
>>
>>конфиги выложены полностью, может в них чего то нехватает?
>
>==================
>не хватает
>$ ipfw show
и
$cat /etc/rc.conf |grep gateway

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 13:38

>[оверквотинг удален]
>>>>и rc.conf на предмет ната и дефаул гетвея в студию
>>>
>>>конфиги выложены полностью, может в них чего то нехватает?
>>
>>==================
>>не хватает
>>$ ipfw show
>
>и
>$cat /etc/rc.conf |grep gateway
неувязочка получается
ВОТ С ЧЕМ
re0-внешняя к ней подключем модем АДСЛ (zyxel-192.168.1.1) адресс карты (192.168.1.100)
${fwcmd} add fwd ${squid_ip},${squid_port}
http_port 192.168.2.100:8080
ext_ip="хх.хх.хх.хх"

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 11-Дек-09 14:11

>[оверквотинг удален]
>>
>>и
>>$cat /etc/rc.conf |grep gateway
>
>неувязочка получается
>ВОТ С ЧЕМ
>re0-внешняя к ней подключем модем АДСЛ (zyxel-192.168.1.1) адресс карты (192.168.1.100)
>${fwcmd} add fwd ${squid_ip},${squid_port}
>http_port 192.168.2.100:8080
>ext_ip="хх.хх.хх.хх"
ext_ip это внешний IP, хх.хх.хх.хх - это динамический внешний ip (убран для простоты чтения конфига)
поскольку ip динамический на модеме, нужен ли он в правилах NAT?
>$cat /etc/rc.conf |grep gateway
gateway_enable="YES"
ipv6_gateway_enable="YES"

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 11-Дек-09 14:04

>>>кусок конфига что содержит ipfw show на предмет ната
>>>и rc.conf на предмет ната и дефаул гетвея в студию
>>
>>конфиги выложены полностью, может в них чего то нехватает?
>
>==================
>не хватает
>$ ipfw show
00100      0         0 fwd 127.0.0.1,8080 tcp from 192.168.2.0/24 to any dst-port 80
00200    289     22422 divert 8668 ip from 192.168.2.0/24 to any out via re0
00300      0         0 divert 8668 ip from any to 89.218.101.106 in via re0
65535 209014 121873739 allow ip from any to any

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 14:16

>[оверквотинг удален]
>
>00100      0
>   0 fwd 127.0.0.1,8080 tcp from 192.168.2.0/24 to any
>dst-port 80
>00200    289     22422 divert 8668
>ip from 192.168.2.0/24 to any out via re0
>00300      0
>   0 divert 8668 ip from any to 89.218.101.106
>in via re0
>65535 209014 121873739 allow ip from any to any
Этого быть недожно
0 divert 8668 ip from any to 89.218.101.106
адресс поменять на адресс внешней сетевой компа
ошибка или сдесь
или в rc.conf
все зависит от того и мееш ли ты адрес внешний или нет

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 14:18

>[оверквотинг удален]
>>in via re0
>>65535 209014 121873739 allow ip from any to any
>
>Этого быть недожно
>0 divert 8668 ip from any to 89.218.101.106
>адресс поменять на адресс внешней сетевой компа
>ошибка или сдесь
>или в rc.conf
>все зависит от того и мееш ли ты адрес внешний или нет
>
======================
еще посмотри внимательно на каком порту у тя сквид работает, как тебе нужно на то и поменяй или в ipfw или d squid.conf

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 14:20

>[оверквотинг удален]
>>>65535 209014 121873739 allow ip from any to any
>>
>>Этого быть недожно
>>0 divert 8668 ip from any to 89.218.101.106
>>адресс поменять на адресс внешней сетевой компа
>>ошибка или сдесь
>>или в rc.conf
>>все зависит от того и мееш ли ты адрес внешний или нет
>>
>
======================
еще посмотри внимательно на каком адресе у тя сквид работает, как тебе
нужно на то и поменяй или в ipfw или d squid.conf

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 14:25

при твоем конфиге НАТА нет и быть неможет

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено mglushak , 11-Дек-09 14:32

>при твоем конфиге НАТА нет и быть неможет
если непонятно стучись в асю
359925617

"Настройка Squid и nat для праграм БАНКа пажалуйста помогите"
Отправлено P0is0n , 12-Дек-09 09:57

>>при твоем конфиге НАТА нет и быть неможет
>
>если непонятно стучись в асю
>359925617
Большое спасибо тебе добрый человек. В понедельник стукну в асю если за выходные не чего не получится.