PPPoEd+PF+Squid transp. proxy

Azudim · Ср май 03, 2006 10:28 am

Кто настраивал rdr вэб трафика на squid в режиме транспарент прокси правилами PF Firewall ?
из локалки без вопросов заворачивает, а с Tun'ов не могу никак..

Azudim · Вт май 30, 2006 2:28 pm

UP! Неучто никто не пробовал связку PF+Squid+PPPoE ?

XuMa · Ср май 31, 2006 12:31 pm

Только что всё настроил: перенаправление веб трафа по туннелям на соседствующие прокси серваки, вообщем там всё предельно просто.
на проксе где биллинг висит открываешь порт на айпи сервачного важно!!! туннельного адреса у меня 172.16.1.1:3128
редиректишь юзеров на него
fwd 172.16.1.1,3128 tcp from 172.16.0.0/12 to any 80 via tun0

ну а дальше подкручиваешь саму проксю, чтоб она общалась с parent proxy
единственная особенность здесь есть, весь траф должен бегать по туннелям в одном диапозоне виртуальных айпишников, иначе у меня
не получилось

Гость · Вт июн 13, 2006 2:09 pm

ээ.. а ты не путаешь с IPFW ? с ним то все просто..
${ipfw} add 6 fwd 127.0.0.1,3128 tcp from any to any 80 via ${nas_server_ip}

а мне для PF Firewall нужно..

alex · Сообщение **alex** » Вт июн 13, 2006 4:41 pm

У меня правда ipfw, но тем не менее, может поможет.
Ситуация у меня такая была: локалка 192.168.0.0/24, VPN - 10.0.1.0/24

Я прописал алиас для сетевушки:
ifconfig rl0 inet 10.0.1.1 netmask 255.255.255.0 alias

также прописал соответствующий ifaddr в ppp.conf
а заворачивал так:
ipfw add fwd 10.0.1.1,3128 tcp from any to any 80

предварительно запретив использование нета с локалки 192.168.0.0/24 кроме VPN.

Если использовать так
ipfw add fwd 127.0.0.1,3128 tcp from any to any 80
у меня так сразу работате не захотело, выбрасывало сквидовый Access Denied (с учетом того что в сквиде подсеть 10.0.1.0/24 была прописана)

alex · Сообщение **alex** » Вт июн 13, 2006 4:42 pm

Пардон, ошибку допустил
ipfw add fwd 10.0.1.1,3128 tcp from any to any 80 out via xl0

snn · Сообщение **snn** » Пт июн 16, 2006 7:58 pm

Можно вот так
add deny tcp from any to me 3128, 3130
add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80, 8080 out
add divert 8668 ip from any to any via rl0
add allow ip from any to me
add allow ip from me to any
add 65534 deny ip from any to any via rl1

И имхо лучше использовать oops вместо сквида

Azudim · Пн июн 19, 2006 6:35 am

Народ, вы Сабж читали ??? PF (OpenBSD) firewall!!!! C IPFW ВСЕ РАБОТАЕТ НА УРА УЖЕ 3 ГОДА!
а вот с PF кто RDR с Tun'ов делал ?

alisherk · Пт июл 07, 2006 8:31 am

Azudim писал(а):Народ, вы Сабж читали ??? PF (OpenBSD) firewall!!!! C IPFW ВСЕ РАБОТАЕТ НА УРА УЖЕ 3 ГОДА!
а вот с PF кто RDR с Tun'ов делал ?

у меня так все работает:
rdr inet proto tcp from {10.0.0.0/24, 192.168.0.0/29} to !172.17.0.0/16 port 80 -> 127.0.0.1 port 3128

FreeBSD-6.1

Гость · Сб июл 08, 2006 12:18 pm

мде. у меня не хочет.. с $lan_if все ок (192.168.1.0/24) перекидывается, а с подсети PPPoE 10.0.0.0/24 глухо теряется..

rdr inet proto tcp from {10.0.0.0/24, 192.168.1.0/24} to !192.168.0.0/24 port 80 -> 127.0.0.1 port 3128

WarWar · Вт авг 29, 2006 12:22 pm

Нескромный вопрос: а у тебя 10.0.0.0 сетка 192.168.1.0 видит?? Пакетики между сетками бегают?

Azudim · Ср авг 30, 2006 2:00 pm

Да, все было видно..
вопрос уже решен.. аналогичный скрипт для PF и точная копия конфигов для Squid на другой машинке нормально все перебросили.. пришлось переходить на новую.. (FreeBSD 5.3 -> 6.1)