https://opennet.me/openforum/vsluhforumID12/6106.html Добрый день, <br><br>Стояла связка freebsd7 + nat + ipfw + squid3.0 transparent для небольшой офисной сети, все прекрасно работало.<br><br>Возникла необходимость заменить ipfw на pf. Последним до этого не пользовался и нарисовалась проблемка. Пакеты ходят минуя прокси, в логах сквида ничего нет. <br>Если сменить адрес сквида на 192.168.1.1 и прописать прокси в браузере то все ок. Скорее всего дело в нате pf. <br><br>Привожу список действий <br><br>1.Пересобрал ядро с опциями: <br><br>device pf<br>device pflog<br>device pfsync<br><br>2.Пересобрал squid с опцией --enable-pf-transparent. Выставил нужные права на /dev/pf<br> <br><br>3.Прописал в /etc/rc.conf<br><br>pf_enable="YES"<br>pf_rules="/etc/pf.conf"<br>pf_program="/sbin/pfctl"<br>pf_flags=""<br>pflog_enable="YES"<br>pflog_logfile="/var/log/pf.log"<br>pflog_program="/sbin/pflogd"<br>pflog_flags=""<br>pfsync_enable="NO"<br>pfsync_syncdev=""<br>pfsync_ifconfig=""<br><br>Создал файл /etc/pf.conf следующего вида<br><br>int_if="fxp0"<br>ext_if="rl0"<br>localnet="192.168.1.0/24"<br><br>tcp_ports="{22,80,4 https://opennet.me/openforum/vsluhforumID12/6106.html#3 Wed, 24 Jun 2009 10:06:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;прописали, <br>&gt;&gt;там есть http <br>&gt;&gt;rdr on $int_if proto tcp from $localnet to any port http -&gt; 127.0.0.1 port 3128<br>&gt;<br>&gt;Пробовал разные варианты <br>&gt;<br>&gt;rdr on $int_if proto tcp from $localnet to any port http -&gt; 127.0.0.1 port 3128<br>&gt;rdr on $int_if proto tcp from $localnet to any port 80 -&gt; 127.0.0.1 port 3128<br>&gt;<br>&gt;В логах сквида ничего не меняется. Пакеты на него не редиректятся. <br><br>set skip on $int_if<br>Мне кажеться эта опция действует на все правила и не редиректы тоже. Попробуйте просто поставить разрешающие правила на интерфейс.<br> https://opennet.me/openforum/vsluhforumID12/6106.html#2 Wed, 24 Jun 2009 09:59:02 GMT &gt;www такого нет порта в /etc/service если вы сами его там не <br>&gt;прописали, <br>&gt;там есть http <br>&gt;rdr on $int_if proto tcp from $localnet to any port http -&gt; 127.0.0.1 port 3128<br><br>Пробовал разные варианты<br><br>rdr on $int_if proto tcp from $localnet to any port http -&gt; 127.0.0.1 port 3128<br>rdr on $int_if proto tcp from $localnet to any port 80 -&gt; 127.0.0.1 port 3128<br><br>В логах сквида ничего не меняется. Пакеты на него не редиректятся.<br> https://opennet.me/openforum/vsluhforumID12/6106.html#1 Wed, 24 Jun 2009 07:16:05 GMT &gt;[оверквотинг удален]<br>&gt;acl to_localhost dst 127.0.0.0/8 <br>&gt;acl localnet src 192.168.1.0/24 <br>&gt;<br>&gt;acl SSL_ports port 443 <br>&gt;acl Safe_ports port 80 <br>&gt; # http <br>&gt;acl Safe_ports port 21 <br>&gt; # ftp <br>&gt;acl Safe_ports port 443 <br>&gt;# https <br><br>rdr on $int_if proto tcp from $localnet to any port www -&gt; 127.0.0.1 port 3128<br> ^^^^<br>www такого нет порта в /etc/service если вы сами его там не прописали,<br>там есть http<br>rdr on $int_if proto tcp from $localnet to any port http -&gt; 127.0.0.1 port 3128<br> ^^^^<br>