forum.opennet.ru - "Не работает FORWARDING" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Не работает FORWARDING"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Не работает FORWARDING"
Сообщение от Yak on 19-Янв-04, 12:20 (MSK)
Если кто знает, где ошибка, помогите пожалуйста! Нужно сделать прозрачный прокси (Squid). Для этого сделал: Пересобрал ядро с: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VEROSE_LIMIT=50 options IPDIVERT options IPFW2 В rc.conf в числе прочего указал: gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/rc.firewall" firewall_quiet="YES" В /etc/rc.firewall есть строки: ipfw add fwd 127.0.0.1,3128 tcp from 192.1.1.0/24 to any 80 in via xl0 ipfw add allow tcp from 192.1.1.0/24 to me 3128 #192.1.1.0/24 - LAN; xl0 - сетевая карточка, смотрящая в LAN Результат выглядит так: Сам SQUID работает нормально. Пакеты, идущие "мимо" SQUID попадают в строку с fwd, но не приходят в строку, пропускающую пакеты в SQUID. Т.е., они как будто не перенаправляются на нужный порт, а просто отбрасываются. Где не прав? Заранее благодарен за наставления на путь истинный. :-) P.S. /etc/sysctl.conf не правил, net.inet.ip.forwarding:1 net.inet.ip.fastforwarding:0
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Не работает FORWARDING, СергейКа, 13:45 , 19-Янв-04, (1)
Прошу прощения за беспокойство, нашёл ошибку (+), Yak, 15:24 , 19-Янв-04, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Не работает FORWARDING"

Сообщение от СергейКа on 19-Янв-04, 13:45 (MSK)

Посмотри где правила NAT стоят.
Форвард должен быть выше

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Прошу прощения за беспокойство, нашёл ошибку (+)"

Сообщение от Yak on 19-Янв-04, 15:24 (MSK)

В действительности, всё работало, но строка
пропуска пакетов к Squid'у не охватывала перенаправляемые пакеты.
ipfw add allow tcp from 192.1.1.0/24 to me 3128
Дело в том, что эти пакеты действительно приходили на нужный адрес+порт, НО! имели адрес+порт источника и сокет получателя не изменившимися. Т.е. сам пакет остаётся неизменным, но адрес, который указывается в строке "ipfw add fwd <адрес>,<порт>..." становится как бы адресом следующего "хопа" для данного пакета (в данном случае, порт Squid'а).
Т.е., в описанном случае, необходимо в rc.firewall разрешить прохождение пакетов из LAN в инет и отклик. И всё пойдёт через прокси (3128)!
Спасибо за отклики.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не работает FORWARDING"
Сообщение от СергейКа on 19-Янв-04, 13:45 (MSK)
Посмотри где правила NAT стоят. Форвард должен быть выше
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Прошу прощения за беспокойство, нашёл ошибку (+)"
Сообщение от Yak on 19-Янв-04, 15:24 (MSK)
В действительности, всё работало, но строка пропуска пакетов к Squid'у не охватывала перенаправляемые пакеты. ipfw add allow tcp from 192.1.1.0/24 to me 3128 Дело в том, что эти пакеты действительно приходили на нужный адрес+порт, НО! имели адрес+порт источника и сокет получателя не изменившимися. Т.е. сам пакет остаётся неизменным, но адрес, который указывается в строке "ipfw add fwd <адрес>,<порт>..." становится как бы адресом следующего "хопа" для данного пакета (в данном случае, порт Squid'а). Т.е., в описанном случае, необходимо в rc.firewall разрешить прохождение пакетов из LAN в инет и отклик. И всё пойдёт через прокси (3128)! Спасибо за отклики.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх