LINUX.ORG.RU
ФорумAdmin

divert на SQUID поправьте если не прав


0

0

Предполагается сделать так чтобы "невидимо" от всех пользователей весь их траффик проходил через squid.

Т.е. в фаерволле (где имеем только пока последнее правило в FreeBSD, всё запрещающее) мне нужно прописать следующие правила... где dc0 внешний интерфейс а sis0 внутренний:

ipfw add 400 allow tcp from me to any out via sis0 ipfw add 500 allow tcp from me to any out via dc0 ipfw add 600 allow tcp from any to me in via dc0 ipfw add 700 divert 127.0.0.1,3128 tcp from any to any via sis0

Тем самым все пакеты (и входящие и исходящие) буду переадресовываться на squid... Т.е. если мы забьём в браузере строку http://{какой_нибудь_айпишник_известного_сайта} то нас должно выкинуть именно на сайт. По краейней мере я так рассуждал пока не попробовал... Вопрос: должны ли мы в правилах учитывать преобразователь адресов natd, и каким образом, ведь частично его функцию (поменять обратный адрес с локального на внешний в пакете) берёт на себя squid или я ошибаюсь? Укажите пожалуйста на мою ошибку!!! Заранее благодарен!!!

Ответ на: комментарий от sdio

Благодарю за ссылку!

Но тут возникает вопрос разве этих правил достаточно (при них - не работает)??? Может я их неправильно понимаю (поправьте):

$fwcmd add NNN10 skipto NNN30 tcp from proxy_host_internal_interface to any # на данный момент у нас proxy_host_internal_interface является #127.0.0.1,3128.... И если у нас от прокси нашего что-нибудь идёт то # тут же перекидывается на правило NNN30. Предположим NNN30 будет #дефолтное - последнее, т.е. allow ip from any to any _______________

$fwcmd add NNN20 fwd proxy_host_internal_interface tcp from any to 0.0.0.0\0 80 in recv internal_interface_on_gateway out xmit external_interface_on_gateway # Теперь вот это правило, которое перенапраляет изначально идущий #tcp-траффик из внешнего интерфейса во внутренний в squid #(127.0.0.1,3128)... Это так?

Да кстати squid скомпилен с приведённой в статье опцией --enable-ipf-transparent ....

darkness777
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.