» Прозрачный прокси на FreeBSD 8.3 через squid31

[more] [more] Вот мои настройки:
1. Ядро пересобрано вот с такими опциями:
Код:

Код: IPFIREWALL
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE=100
IPFIREWALL_FORWARD
IPDIVERT
DUMMYNET
IPFIREWALL_DEFAULT_TO_ACCEPT

kxekxe1
Зачем же новую тему создавать было?
Есть тема по FreeBSD, ipfw, Squid.

Решите в какую тему Вам надо переместиться (пока мне кажется что это вопрос по firewall'у больше) и там же сразу расскажите:
1 — покажите ipfw show
2 — у вас там в rc.firewall в команде и так есть ключ -q, второй раз перед flush его указывать не надо
3 — squid пишет что-то в лог когда включен в прозрачном режиме при попытке подключится?
4 — посмотрите доходит ли вообще до squid трафик — tcpdump -i lo0 tcp port 3128

Извиняюсь, с темой не знаю, тут мне честно трудно сказать где собака зарыта...

1. ipfw show

Код:
00100 0 0 fwd 127.0.0.1,3128 tcp from not me to any dst-port 80
00200 170 16447 allow ip from any to any
65535 0 0 allow ip from any to any

kxekxe1
мде, пакеты почему-то не попадают под правило forward, а выглядят ни чего так... Надо внимательнее смотреть что Вы там применили и как.
А комп-то этот является шлюзом для машин в локалке?) Откуда иначе на него трафик придёт?..

Alukardd
речь об: gateway_enable="YES" в rc.conf?

kxekxe1
Нет, речь о настройках на клиентских компьютерах. Они в инет по умолчанию ходят через этот комп или нет? Что у них в настройках прописана как "шлюз по умолчанию"?

Alukardd
Шлюз по-умолчанию на машинах не прописан, когда проверял прозрачность, прописывал ip-адрес freebsd в основном шлюзе, но эффект тот же.

kxekxe1
Цитата:

эффект тот же

А те команды, вывод которых вы мне показывали, выполнялись когда клиентам был прописан шлюз и были попытки выйти в инет или просто так на пустом месте дали мне вывод?

Alukardd
Шлюз был прописан. Во время выполнения команд также он был прописан.

kxekxe1
Цитата:

тут мне честно трудно сказать где собака зарыта

ну тут как бы становится очевидно, что дело в настройках сети и/или ipfw.
Запустите tcpdump -i rl1 tcp port 80 и зайдите с клиента в инет при прописанном шлюзе 3.220. У меня подозрения что вы тупо что-то не так делаете с точки зрения сети, а не настроек фри.

Alukardd
tcpdump -i rl1 tcp port 80


Код: # tcpdump -i rl1 tcp port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl1, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
58 packets received by filter
0 packets dropped by kernel

kxekxe1
Цитата:

У меня подозрения что вы тупо что-то не так делаете с точки зрения сети, а не настроек фри.

я уже в этом почти уверен.

Alukardd
Введя ip вместо ya.ru я смог попасть на сайт через прозрачный прокси....

kxekxe1
А DNS за Вас кто настраивать будет?

Alukardd
Я должен прописать dns в файле /etc/resolv.conf или на каждой машине?
У меня ifconfig_rl0="DHCP", всё выдается автоматически.
При таком варианте не получится прозрачное прокси?
И я не могу сохранить изменения в resolv.conf, после перезагрузки всё что я ввел там уже нет.

kxekxe1
Прозрачный прокси предполагает, что клиент сам разрешил имя сайта и обращается к нему напрямую с GET запросом и соответствующими http заголовками. А прокся на пару с firewall'ом перехватывает запрос и общается с сервером за клиента, подсовывая обработанные ответы обратно клиенту, по сути клиент ни чего и не знает. т.к. прокся прозрачная.

Так что на всех клиентах должен быть прописан DNS сервер, сконфигурённый на рекурсивное разрешение имён.

Alukardd
Огромное Спасибо Вас за помощь!
Поднял DNS на freebsd и всё стало хорошо.

kxekxe1
Я Вам предлагаю не только по howto настраивать всё, но и параллельно учить матчасть, что бы осознавать что там вообще происходит.