FreeBSD

gf100 · Отправлено: **10:06, 11-02-2009** | #2

Версия FreeBSD, SQUID и как он устанавливался? Может, собран без соответствующих ключей.

Если не секрет, зачем нужен именно прозрачный?

Telepuzik · Отправлено: **10:18, 11-02-2009** | #3

Цитата youko:

В разных статьях пишут одно и тоже, что для прозрачного прокси нужно добавить только "http_port 192.168.7.100:3128 transparent"
Однако при таком вот приемчике, сквид перестает пропускать трафик через себя.... »

Необходимо еще трафик завернуть на squid, если используется ipfw то должно быть правило вида:
${IPFW} add 100 fwd 192.168.7.100,3128 all from 192.168.7.0/24 to any http via xl0

Цитата youko:

Вопрос: Помогите подправить данный конфиг для прозрачного прокси и как должны быть настроены ПК на стороне клиента (тоесть, надо ли прописывать шлюз, ДНС, писать прокси в броузере и т.д.).... »

Если будет прозрачный прокси то необходимо на клиентах прописать днс и шлюз, прописывать прокси в браузере не надо.

leonty · Отправлено: **10:20, 11-02-2009** | #4

Цитата youko:

Однако при таком вот приемчике, сквид перестает пропускать трафик через себя.... »

а в каком случае он пропускает через себя?
да и чтото мне подсказывает, что надо фаерволом заварачивать трафик идущий от клиентов, на порт прокси.

блин, долго же я с мыслями собирался. уже ответили (:

youko · Отправлено: **15:07, 11-02-2009** | #5

- Версия FreeBSD, SQUID и как он устанавливался? Может, собран без соответствующих ключей.
Ответ: FreeBSD 6.2, SQUID 3.0.STABLE11- собран со следующими параметрами:

$ configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-arp-acl' '--enable-pf-transparent' '--enable-kqueue' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish Dutch English Estonian Finnish French German Greek Hebrew Hungarian Italian Japanese Korean Lithuanian Polish Portuguese Romanian Russian-1251 Russian-koi8-r Serbian Simplify_Chinese Slovak Spanish Swedish Traditional_Chinese Turkish Ukrainian-1251 Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=templates' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd6.2' 'build_alias=i386-portbld-freebsd6.2' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe'

- Если не секрет, зачем нужен именно прозрачный?
Ответ: Для того, что нектороые клиент-банки не поддерживают проксирование... Да и неудобно каждый раз на ПК при уст нового прописывать внутри браузеров.

- Необходимо еще трафик завернуть на squid, если используется ipfw то должно быть правило вида:
Ответ: Траффик заварачивается PF'ом мледующими правилами:

ext_if="rl0" # Внешка
int_if="vr0" # Внутренняя
lan_if= "192.168.7.0/24"

rdr on $int_if proto tcp from $lan_if to any port www -> 127.0.0.1 port 3128
nat on $ext_if inet from $lan_if to any -> ($ext_if)

Telepuzik · Отправлено: **17:02, 11-02-2009** | #6

В squid.conf пропишите:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Вместо:

Цитата youko:

rdr on $int_if proto tcp from $lan_if to any port www -> 127.0.0.1 port 3128 »

попробуйте прописать:
rdr pass on vr0 proto tcp from $lan_if to any port www -> 127.0.0.1 port 3128

youko · Отправлено: **20:27, 11-02-2009** | #7

C 3й версии SQUIDа эту конструкцию:

Цитата Telepuzik:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on »

Заменили на transparent. Он на каждую строчку матом ругается, если вставить...

Цитата Telepuzik:

rdr pass on vr0 proto tcp from $lan_if to any port www -> 127.0.0.1 port 3128 »

В Редиректе слово Pass ненужно...

gf100 · Отправлено: **21:30, 11-02-2009** | #8

Цитата youko:

нектороые клиент-банки не поддерживают проксирование... »

Проксировать можно только http(s) протоколы... Для протоколов "прямого контакта" делается "проброс" портов.
Нестандартные https порты дописываются в конфиг squid'а.

Цитата youko:

неудобно каждый раз на ПК при уст нового прописывать внутри браузеров. »

Автоматический подхват прокси в браузере можно сделать с помощью wpad.

Цитата youko:

'--enable-auth=basic digest negotiate ntlm' »

Squid случайно не с авторизацией в домене windows? Транспарент с такой авторизацией не дружит. То есть вообще.

youko · Отправлено: **21:41, 11-02-2009** | #9

Цитата gf100:

Squid случайно не с авторизацией в домене windows? Транспарент с такой авторизацией не дружит. То есть вообще. »

хммм... попробую тогда переустановить SQUID.... убиру этот пункт наф...

youko · Отправлено: **23:18, 11-02-2009** | #10

переустановил и настроил все по статье http://alterworld.ru/show.php?id=22

Теперь такой вопрос: как проверить, идет ли траффик через SQUID или просто НАТится на локальные машины???

Все вопрос отпал сам собой. Набрал cat /var/log/squid/access.log
И он вывел мне все сайты на которые я заходил перед этим.... и постоянно обновляется... Правильно я проверил???