Войти

Показать полную графическую версию : FreeBSD 9.1 Squid 3.3.9 transprent ipfw pf


Andreytest
15-10-2013, 18:04
Здравствуйте.. Прошу помощи. Второй день не могу настроить связку FreeBSD 9.1 Squid 3.3.9 transprent ipfw pf на тестовом сервере. PF использую только для перенаправления на proxy. В pf.conf только 1 правило
rdr pass inet proto tcp from 172.25.10.0/24 to any port 80 -> 127.0.0.1 port 3130

ipfw.conf
add allow all from 172.25.10.0/24 to any 80 in via em1
nat 1 config if em0
add nat 1 all from any to any via em0
add allow all from any to any

В squid.conf все по умолчанию кроме
http_port 3128
http_port 127.0.0.1:3130 intercept

Squid собран с поддержкою transparent для pf.
Если задать в браузере настройки прокси то все работает а в прозрачном режиме не хочет работать.
Благодарю.

Andreytest
15-10-2013, 18:12
В браузере на клиентской машине пишет Доступ запрещен.

Andreytest
15-10-2013, 19:50
В cache.log пишет
2013/10/14 23:51:34 kid1| WARNING: Forwarding loop detected for:
GET /favicon.ico HTTP/1.1
Host: mail.ru
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.69 Safari/537.36
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: mrcu=43DB51F21D45212B1FD33820CF52; p=Y1MAAAjxTwAA; searchuid=1338299371374821732; c=puRcUgAAAIakAAAiAQAAZgA
AAQAA; b=eD4WAFCbaAQA1Ixx0DnTAjH2G4Dk0eAwvApEBDc8YiujLoQIFxbMCAAAwo5bMso+ltAQp4SzDyCkvCKhcFMRtyFHOEl0RjiaEi ZBgNCRWY
RpDyAYHoUt4OCQI5jakCOYogpE9BE8Z5hocCX0Ricg+BnOIpziCCQA; VID=0qkKTR2ocBn9; s=s_vp=(1920/875)
Via: 1.1 testpf.lan.modul (squid/3.3.9)
X-Forwarded-For: 172.25.10.100
Cache-Control: max-age=259200
Connection: keep-alive

Тоесть петля я так понимаю. Но где и как это исправить?

pashos_nix
22-10-2013, 20:02
а что мешает настроить связку squid+pf?

Andreytest
23-10-2013, 00:17
Банально не знаю PF. Времени пока на изучение PF и переписывание правил с IPFW + Dummynet на PF + ALTQ пока нету. Да и ALTQ вроде как не работает без компиляции в ядро FreeBSD, а ядро компилировать не желательно. Можно настроить все это без перекомпиляции ядра?

pashos_nix
01-11-2013, 19:11
Andreytest,
без перекомпиляции нет не получится, думаю могу помочь если поставить связку (squid+pf) опишите сеть и приготовим конфинги для pf

Andreytest
16-11-2013, 14:01
Благодарю за ответ, но как раз планировал все это cделать без перекомпиляции. С перекомпиляцией тестировал на ipfw і все прекрасно работало. Загостка в том, что после перекомпиляции ядра ОС бинарно не обновляется, а что делать если сервер физически не доступен? как тогда обновить ОС?

pashos_nix
20-11-2013, 23:02
если физический не доступен тогда можно через ssh если включена, странно что после перекомпиляции не обновлялся

Andreytest
26-11-2013, 13:32
Насколько я знаю, только бинарно можно оновится через ssh, если оновлять систему через исходники то только с консоли, или я не прав?
Постле перекомпиляции ядра система бинарно не оновляется, или я делаю не так как надо?

pashos_nix
18-12-2013, 22:42
как вы обновляете ядро опишите шаги

Andreytest
25-12-2013, 12:13
Freebsd-update fetch && Freebsd-update install

pashos_nix
29-12-2013, 15:20
это обновление портов, как насчет пересборка ядра?

Andreytest
21-01-2014, 11:30
FreeBSD включает программу с простым названием freebsd-update. Эта программа предоставляет две различные функции. Во-первых, она позволяет применить к базовой системе FreeBSD обновления безопасности и критические исправления в двоичном виде, без необходимости сборки и установки. Во-вторых, программа поддерживает обновление системы со сменой старшего или младшего номера версии.
Ознакомьтесь, FreeBSD можно обновлять и без пересборки ядра, но если ядро не было модифицировано. Так гораздо проще.
https://www.freebsd.org/doc/ru/books/handbook/updating-upgrading-freebsdupdate.html

Обновление портов - это утилита portsnap fetch && portsnap update. Можно и через CVS обновлять порты, но так попроще.

sajor2006
25-03-2014, 14:51
драсте, а вы как то решили вашу проблему? у меня похожая проблема только система другая
http://forum.oszone.net/thread-279735.html
буду очень рад за ответ. спасибо.




© OSzone.net 2001-2012