IPFW a transparentni Squid

Stepan Chladek snappy at gyzamb.cz
Fri Jun 22 08:30:30 CEST 2001


  Zdravim!
  Mel bych dotaz ohledne toho jak udelat Squid transparentni.
  Potrebuju aby Squid delal transparentni proxy pro vnitrni sit, ktera
  je v IP rozsahu 192.168.1 a 192.168.2
  
  Stav meho serveru ... 4.2-RELEASE
  Kernel prekompilovany s options:
  options         IPFIREWALL
  options         IPFIREWALL_FORWARD
  options         IPDIVERT

  pouzivam NATD, ktery startuju s parametry:
  natd -n ed1 -u -s
  ed1 je vnejsi interface s realnou adresou
  ed0 je interface vnitrni site (IP 192.168.1.254)
  
  v /etc/rc.firewall mam:
  /sbin/ipfw -f flush
  /sbin/ipfw add divert natd all from any to any via ed1
  /sbin/ipfw add pass all from any to any

  takze pravidla vypadaji nasledovne:
  00100  50213 12357149 divert 8668 ip from any to any via ed1
  00200 118675 26307252 allow ip from any to any
  65535      0        0 deny ip from any to any

  Squid mi bezi na portu 3128.
  v jeho konfiguraci mam (vyber toho co se menilo oproti standardni
  konfiguraci):
  http_port 192.168.1.254:3128
  http_port 127.0.0.1:3128
  tcp_outgoing_address 195.146.107.130 (realna vnejsi IP)
  acl gyzamb src 192.168.1.254/255.255.0.0
  acl all src 0.0.0.0/0.0.0.0
  acl manager proto cache_object
  acl localhost src 127.0.0.1/255.255.255.255
  http_access allow manager localhost
  http_access deny manager
  http_access allow gyzamb localhost
  http_access allow all
  httpd_accel_host virtual
  httpd_accel_port 80
  httpd_accel_with_proxy on
  httpd_accel_uses_host_header on

  Nevylucuju ze muze byt zmatek i v te konfiguraci Squidu.
  Pokud ho pouzivam tak ze si ho nastavim v browseru jako proxy, tak
  je vsechno OK. Ale s temi doporucenymi pravidly (viz nize) to jako
  transparentni nefunguje.
  
  Dle dokumentace Squidu mam pouzit pravidla:
  ipfw add 49 allow tcp from 10.0.3.22 to any
  ipfw add 50 fwd 127.0.0.1,3128 tcp from any to any 80

  Pocitam ze IP v pravidlu 49 mam nahradit IP vnitrniho rozhrani ed0.

  Ale nefunguje mi to :-(
  I kdyz jsem v zoufalstvi jeste zkusil tu IP nahradit IP stroje, z
  nehoz jsem se zkousel pripojovat "transparentne" tak to nefungovalo.

  Asi mam proste zmatek a presne nerozumim ten pravidlum (jak se
  vykonavaji, co presne delaji atd)

  U me asi oproti standardni Squid FAQ situaci bude problem v tom, ze
  pouzivam to pravidlo s divert
  
  Nejak jsem z dokumentace nevycetl jestli Squid musim prekompilovat s
  nejakymi specialnimi nastavenimi. Neumi to Squid udelat nejak tak
  aby se nemuselo carovat s temi pravidly v ipfw??

  Jeste poznamka .. tu cache testuji ze stroje s IP 192.168.1.101
  

 Snad jsem problem srozumitelne popsal a sdelil vsechny potrebne
 informace.
  
 Pokud nekdo vite jak pomoct, prosim napiste.
 Uz zacinam byt pomalu trochu zoufaly :-)

 DEKUJI!!

            s pozdravem

                                      Stepan Ch.





More information about the Users-l mailing list