форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"ipfw - squid"	+/–
Сообщение от _John_ (ok) on 09-Авг-12, 01:15
Здравствуйте уважаемые, подскажите пожалуйста, достаточно ли этих правил (и корректны ли они) для того, чтобы сквиду были доступны и другие порты (кроме 80), например https://site.ru:2835? Исходные данные: ${LocalNet} - локальная сеть ${Out} - интерфейс смотрящий в интернет Сквид на порту 3128 Правила: Из локалки: add 1 allow all from ${LocalNet} to me 3128 add 2 allow all from me 3128 to ${LocalNet} Из интернет: add 3 allow all from me 3128 to any via ${Out} add 4 allow all from any to me 3128 via ${Out} established add 5 deny all from any to any
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ipfw - squid"	+/–
Сообщение от михалыч (ok) on 09-Авг-12, 07:51
>[оверквотинг удален] > ${Out} - интерфейс смотрящий в интернет > Сквид на порту 3128 > Правила: > Из локалки: > add 1 allow all from ${LocalNet} to me 3128 > add 2 allow all from me 3128 to ${LocalNet} > Из интернет: > add 3 allow all from me 3128 to any via ${Out} > add 4 allow all from any to me 3128 via ${Out} established > add 5 deny all from any to any Это что?? Вы уж, извините, за прямоту, но у вас каша, в голове.. )) Зачем указываете me ? me это ведь значит на всех/(для всех) интервейсах. Зачем вам это? Потом, что, вы совсем не используете nat ? И squid, вроде как, для заворота http трафика в основном используется, причём здесь другие порты? Вообще, что хотите получить в сухом остатке? Локальную сеть вывести в интернет, узнать кто и куда ходил, squid для логирования, кэширования использовать ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ipfw - squid"	+/–
	Сообщение от _John_ (ok) on 09-Авг-12, 09:08
	>[оверквотинг удален] > Вы уж, извините, за прямоту, но у вас каша, в голове.. )) > Зачем указываете me ? > me это ведь значит на всех/(для всех) интервейсах. > Зачем вам это? > Потом, что, вы совсем не используете nat ? > И squid, вроде как, для заворота http трафика в основном используется, > причём здесь другие порты? > Вообще, что хотите получить в сухом остатке? > Локальную сеть вывести в интернет, узнать > кто и куда ходил, squid для логирования, кэширования использовать ? Чтобы сквиду были доступны и другие порты (кроме 80), например https://site.ru:2835?. На данный момент сквид может получить только данные по 80-му порту, при запросе на отличные от 80-го порты выдает ошибку о загрузке страницы. К сожалению не могу сейчас скинуть правила ipfw, буду на работе только через пару недель. С me спасибо, учел. Правила: Из локалки: add 1 allow all from ${LocalNet} to ${InternalInterfaceIP} 3128 add 2 allow all from ${InternalInterfaceIP} 3128 to ${LocalNet} Из интернет: add 3 allow all from ${ExternalInterfaceIP} 3128 to any via ${Out} add 4 allow all from any to ${ExternalInterfaceIP} 3128 via ${Out} established add 5 deny all from any to any
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ipfw - squid"	+/–
	Сообщение от reader (ok) on 09-Авг-12, 11:26
	>[оверквотинг удален] > через пару недель. > С me спасибо, учел. > Правила: > Из локалки: > add 1 allow all from ${LocalNet} to ${InternalInterfaceIP} 3128 > add 2 allow all from ${InternalInterfaceIP} 3128 to ${LocalNet} > Из интернет: > add 3 allow all from ${ExternalInterfaceIP} 3128 to any via ${Out} > add 4 allow all from any to ${ExternalInterfaceIP} 3128 via ${Out} established > add 5 deny all from any to any для хождения в инет squid-ом будут использоваться любые порты выше 1023 разрешенные системой, а не только 3128
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "ipfw - squid"	+/–
	Сообщение от Pahanivo (ok) on 09-Авг-12, 13:46
	очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и толку тоже ...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "ipfw - squid"	+/–
	Сообщение от _John_ (ok) on 09-Авг-12, 17:59
	> очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и > толку тоже ... Еще один великий гуру ... не, пахан сетевых технологий, судя по нику.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "ipfw - squid"	+/–
	Сообщение от user (??) on 09-Авг-12, 22:34
	>> очередной школьник просто прочитал хауту - но знания матчасти нет, соответственно и >> толку тоже ... > Еще один великий гуру ... не, пахан сетевых технологий, судя по нику. Да вы что. )) Какой там гуру, пахан... Это известный глупыш и невежа на просторах опеннета :-))
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "ipfw - squid"	+/–
	Сообщение от Pahanivo (ok) on 15-Авг-12, 10:09
	> Да вы что. )) Какой там гуру, пахан... > Это известный глупыш и невежа на просторах опеннета :-)) толсто хохо
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	7. "ipfw - squid"	+/–
	Сообщение от gardener (ok) on 15-Авг-12, 03:08
	>> add 1 allow all from ${LocalNet} to me 3128 >> add 2 allow all from me 3128 to ${LocalNet} >> Из интернет: >> add 3 allow all from me 3128 to any via ${Out} >> add 4 allow all from any to me 3128 via ${Out} established > Зачем указываете me ? > me это ведь значит на всех/(для всех) интервейсах. ME это не совсем интерфейсы, это скорее IP - уровень L3 модели OSI. То есть, если приписать направление и интерфейс (что всегда желательно) то очень даже можно: add 1 allow all dst-ip me dst-port 3128 in recv _имя_внутреннего_интерфейса_ Из интернет: add 3 allow all src-ip me src-port 3128 out xmit ${Out}
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема