» Общие вопросы по FreeBSD

sasa19952010
ну так графическую среду надо ставить ручками, или могли взять PC-BSD.

подскажите как по быстрому исправить?
использую csh
отлично помнит историю введенных команд из консоли, но после работы в mc, забивается мусором по типу:

Цитата:

cd "`printf "%b" '\0057home\0057symlinks\0057www'`"

Как сделать так, чтобы в историю что что происходит в mc не заносилось?

Доброго времени суток!
Добрые люди помогите пожалуйста, у кого есть опыт сборки прозрачного прокси squid.
я совсем запутался

У меня такая ситуация'

/etc/rc.conf

Код: defaultrouter="192.168.21.230"
gateway_enable="YES"
hald_enable="YES"
dbus_enable="YES"
moused_enable="YES"
mouse_type="auto"
sshd_enable="YES"
network_interfaces=vr0\ vr1
ifconfig_vr0="inet 192.168.21.235 netmask 255.255.255.0"
ifconfig_vr1="inet 192.168.0.1 netmask 255.255.255.0"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"
squid_enable="YES"

askmesu
настройку ipfw я у вас не проверю ибо я по iptables больше.
А вот про squid скажу, что вы его видите первый раз. На гугле вы видимо забанены, а про офф сайт squid(squid-cache.org) вы похоже и не слышали.
Поэтому скажу, что строку http_port 3128 надо изменить на http_port 192.168.0.1:3128 transparent, где 192.168.0.1 - это адрес внутреннего интерфейса.

Я уже весь гугл перепробывал
на "http_port 192.168.0.1:3128 transparent " уже все кости переломал
что еше писать

askmesu
${FwCMD} add 10 fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
поменяй LanOut на LanIn

sert
написал и сделал

Код: /etc/rc.d/ipfw restart
/etc/rc.d/netif restart
/etc/rc.d/routing restart

askmesu
орёт вроде на отсутствие nat. Мб вы когда устанавливали фрю отказались от транзитного трафика?
Включается так sysctl net.inet.ip.forwarding=1

в первую очередь конечно же изучить
man ipfw | grep nat

Можно руками включить модуль nat командой:
kldload ipfw_nat
только учти, что если по ssh работаешь - то можешь потерять доступ к удаленной машине)

Отдельный вариант, пересобрать ядро с опциями
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
или добавить в /boot/loader.conf соответственные строчки если ядро компилить не хочешь

Аналогичное решение может быть сделано через sysctl, как порекомендовали выше.

Кстати опции

Цитата:

acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http

бесполезны при прозрачном проксировании.

вот это уже другой поворот спасибо!
сейчас пойду соберу и вернусь за результатом

askmesu
скажите, а вы вот конфиг сами писали?? Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее??? Вы конфиг делаете абсолютно нечитаемым. У вас NAT кстати я так понимаю на другой машине?

dekstero4eg
Цитата:

Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее???

хороший вопрос!!! у меня те же мысли возникают когда народ пишет подобное и для iptables. Когда предусмотрены такие функции как iptables-save iptables-restore в удобный читабельный файл!!! (хз есть ли такое же ipfw)

Цитата:

Кто вообще хоть учит писать все эти переменные $NetMask, $NetIP и прочее???

Учить - никто не учит, это привычка копипастить, то что работает у других. Но и возмущаться по этому поводу в таком духе не надо))))

Во пеhвых, абсолютные пути могут понадобиться крону, если не заданы path, во вторых может быть так:
IPCHAINS="/sbin/ipchains" или еще покруче - ipfwadm)))
IPTABLES="/sbin/iptables"
IP6TABLES="/sbin/ip6tables"
или ipfw или ipfw2... надеюсь идею уловили?
И если статус новичок - это не значит...


Цитата:

(хз есть ли такое же ipfw)

Есть))) Кто вам мешает использовать ipfw list > ipfw.save и потом восстановление из ipfw.save
мало того, кое кто умудряется даже лог ipfw.today и ipfw.yesterday, где ведется статистика по пакетам для отдельных правил заюзать в скриптах.

Мыслите ширше, коллеги

Друзья все сработало, и в фаирволе все написано правильно
Я конечно не сам дошел до такого я вобше даже виндовс не учил ни где а куда уж линукс, да еще фрибсд, но читать умею и голова на месте. вот силка

http://arykalin.blogspot.com/2008/10/firewall-freebsd-70.html

Я очень много рыл и приуспел в этом деле, но только здесь до меня дошло что возможно мне придется пересобрать ядро чтобы сработало IPFIREWALL_FORWARD (и другое) для прозрачного прокси. Может кто подумает что нет в этом логики но факт в том что у меня только так сработало.
Без подводных камней тоже не обошлось'
На пример у него написано на FreeBSD-7.0 а я установил 7.3, когда дело доходило до установки сквида он ругался на боле новую версию пакета Perl-5.10 у сквида (5.8.9) а в FreeBSD-7.0 (5.8.8). Согласно автору в /etc/make.conf пишется'

Код: #опции для перла
PERL_VER=5.8.8
PERL_VERSION=5.8.8
PERL_ARCH=mach
NOPERL=no
WITH_PERL=yes
WITHOUT_PERL=no
WITH_BIND_LIBS=yes

Цитата:

Я просто убрал эту часть и все норма

Плохо батенька))) не для скриптов конечно... для Вас.
*nix - та область где без понимания происходящего лучше ничего не делать. Сделав один раз на авось - потом встанете на грабли и будете на них стоять и теребить своих коллег до просветления.


Цитата:

Я очень много рыл и приуспел в этом деле

Рыть надо было дальше. Чтобы понять зачем перл, зачем нужен файл /etc/make.conf и проч.


Цитата:

У кого есть идеи как настроить фаервол для двух пк чтобы на одной ставить VPN а на втором прокси

Если Вы чётко сформулируете задачу, то решение практически будет лежать на поверхности. А так - по ходу придётся всё же звать телепатов.

DemonWather

Ну предположим у меня есть прозрачный прокси с (fwd 127.0.0.1,3128), это означает что допрос попадает в фаервол, а он решает кому прямо смотреть а кому (порт 80) отправить в сквид, а это означает что сквид не может сделать авторизацию клиентов. Не ходит Ж всем подряд в интернет без моего на это разрешение, да и на полную мощность.

1. Чтобы клиент не писал у себя в браузере прокси
2. Достаточно безопасная система авторизации
3. И система ограничения скорости

Вот и все что мне нужно чтобы быть счастливым

askmesu
прозрачный squid и авторизация это практически не совместимые версии...

угу, я обычно в таких случаях отдельно делал связку выход через ВПН + сквид + носки

Цитата:

прозрачный squid и авторизация это практически не совместимые версии...

можно сделать авторизацию по айпишнику.

tankistua
упс дома же так у меня и пашет)
ну разве что завести ACL'и для групп пользователей по подсетям для удобных правил, а дальше в лог пусть пишутся ip'шники - любой анализатор их разгребет. у меня например free-sa и у него есть файл user в котором прописаны соответствия ip и имени.

просто дома это 5 человек, а на работе это 200машин с не закрепленными за ними пользователями и способ по ip ну ни как не канает!

ну если их у тебя 200 и они у тебя вольно перемещаются между рабочими станциями то у тебя должен быть домен. А если у тебя есть - то прописать с контроллера всем прокси не есть проблема.

tankistua
так оно и есть - все в домене... и у меня авторизация в squid через ldap идет, разумеется.
Но речи о прозрачности тут не идет, хотя изначально очень хотелось, пока все таки понял что хер...

не переживай - прозрачное проксирование создает много проблем:

- проблемы с фтп, точнее с тем, что пассивный фтп использует рандомные порты выше 1024-го и соответственно не понятно что заворачивать. Я использую для этого ftp-proxy. Соответственно никакой статистики по этому доступу нет - зато есть доступ :)

- невозможно завернуть на прокси https

Я заворачиваю 80-ый на сквид, фтп на фтп-прокси и открываю 443-ый порт через нат - это для тех, кто с ноутами приходит, а для рабочих станций прописываю прокси.

общих проблем много конечно, но вот по вашей конкретной я не понял
Цитата:

проблемы с фтп, точнее с тем, что пассивный фтп использует рандомные порты выше 1024-го и соответственно не понятно что заворачивать.

это ж клиент использует, а не сервер) стучаться они все равно будут на 20,21... так в чем проблема?

ну с прозрачным https все понятно - это атака.

InetSar777

Ну наверно все таки самый верный вариант это ВПН + СКВИД как уже было сказано, но в инете ничего не нашел про то как скрещивать. Кто знает куда мне лезть.

А про авторизацию через ип в моем случае не возможно, узеры врагу не пожелаешь

Цитата:

это ж клиент использует, а не сервер) стучаться они все равно будут на 20,21... так в чем проблема?

неужели у вас работает ? просто ситуация получается как с авторизацией - от куда ж клиенту знать по какому порту будет сессия.

tankistua
Цитата:

от куда ж клиенту знать по какому порту будет сессия

да косяк выходитс...
что-то у меня в голове бардак получается, а как http-то прозрачно работает? Это получается единственный протокол способный на прозрачное проксирование?

ну я говорю - еще и фтп можно, в крайнем случае на фре.

стандартно в системе - надо только включить
ftpproxy_enable="YES"

И надо завернуть на него трафик из локалки, у меня используется pf
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr pass on $lan_iface proto tcp from $lan_net to any port ftp -> 127.0.0.1 port 8021
anchor "ftp-proxy/*"

Приветствую всех. Подскажите пожалуйста, как настроить FreeBSD, чтобы корректно сохранялись файлы, содержащие русские буквы и, соответственно, отображались.
Версия ОС - 8.1 х64.

Цитата:

чтобы корректно сохранялись файлы,

Как именно вы их хотите сохранять : просто в консоли?, по ftp?, с сайта (LAMP)?