URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4203
[ Назад ]

Исходное сообщение
"Apache за Squid"
Отправлено pups666 , 26-Мрт-09 13:11

Есть банка FreeBSD 4.7 с тремя сетевыми картами:
ed0 - локалка,
ed1 - инет,
ed2 - апач.
На банке стоит непрозрачный squid+ipfw. Появилась необходимость в вэб-сервере.
На ed1 запустил над:
redireсt_port tcp APACHE_SERV:80 80
redirect_address APACHE_SERV INET
fw:
# squid
add deny tcp from any to 192.168.200.1 8080 in via ed1
add allow all from 192.168.200.1 to any out via ed1
add allow tcp from INET to any 80 out via ed1
add allow tcp from any 80 to INET in via ed1 established
add allow tcp from INET 1024-65535 to any 1024-65535 out via ed1
add allow tcp from any 1024-65535 to 192.168.200.1 1024-65535 in via ed1 established
add allow tcp from 192.168.200.0/18 to 192.168.200.1 8080 in via ed0
add allow tcp from 192.168.200.1 8080 to 192.168.200.0/18 out via ed0 established
# web
add divert natd all from 192.168.221.2 to any out via ed1
add divert natd all from any to INET in via ed1
add allow all from 85.202.1.34 to any out via ed1
add allow all from any to 192.168.221.2 in via ed1
add allow tcp from any to 192.168.221.2 via ed2
add allow tcp from 192.168.221.2 to any via ed2
Внутри сетки по адресу 192.168.221.2 сайт доступен, а с внешней нет.
Проблема думаю в том, что данные из внешки приходят на сквид и нат на 80 порт и нат их не ловит.
У кого-н есть советы?

Содержание

Apache за Squid,Pahanivo, 13:47 , 26-Мрт-09
- Apache за Squid,Pahanivo, 13:48 , 26-Мрт-09

Сообщения в этом обсуждении

"Apache за Squid"
Отправлено Pahanivo , 26-Мрт-09 13:47

>Есть банка FreeBSD 4.7 с тремя сетевыми картами:
>ed0 - локалка,
>ed1 - инет,
>ed2 - апач.
>На банке стоит непрозрачный squid+ipfw. Появилась необходимость в вэб-сервере.
>
>На ed1 запустил над:

>redireсt_port tcp APACHE_SERV:80 80
redirect_port tcp apache_privat_ip:80 gateway_public_ip:80
>redirect_address APACHE_SERV INET
второе правило не надо - обратно все уйдет нормально через нат
>

>
>fw:

># squid
>add deny tcp from any to 192.168.200.1 8080 in via ed1
это правило имеет смысл только после дайверта
>add allow all from 192.168.200.1 to any out via ed1
это парвило вообще не имеет смысла
>[оверквотинг удален]
>
>add allow tcp from any 1024-65535 to 192.168.200.1 1024-65535 in via ed1
>established
>add allow tcp from 192.168.200.0/18 to 192.168.200.1 8080 in via ed0
>add allow tcp from 192.168.200.1 8080 to 192.168.200.0/18 out via ed0 established
>
># web
>add divert natd all from 192.168.221.2 to any out via ed1
>add divert natd all from any to INET in via ed1
>add allow all from 85.202.1.34 to any out via ed1
как я понял INET это внешний айпи - логи фильтрации мне слабо понятна
>add allow all from any to 192.168.221.2 in via ed1
>add allow tcp from any to 192.168.221.2 via ed2
>add allow tcp from 192.168.221.2 to any via ed2
>

>
>Внутри сетки по адресу 192.168.221.2 сайт доступен, а с внешней нет.
>Проблема думаю в том, что данные из внешки приходят на сквид и
бред - как вообще данные из внешки (вход коннекты) могут приходить на сквид?
>нат на 80 порт и нат их не ловит.
вы помоему серъезно путаете направления соединений 80 порта
>У кого-н есть советы?
бери в руки tcpdump и вперед

"Apache за Squid"
Отправлено Pahanivo , 26-Мрт-09 13:48

>redireсt_port tcp APACHE_SERV:80 80
redirect_port tcp apache_privat_ip:80 gateway_public_ip:80
>redirect_address APACHE_SERV INET второе правило не надо - обратно все уйдет нормально через нат
>