Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - Помощь в настройке FreeBSD++Squid+SAMS

Ответить
Настройки темы
FreeBSD - Помощь в настройке FreeBSD++Squid+SAMS

Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: Antipiratik
Дата: 03-02-2011
Имеем:
Локальную сеть (~60 компов) со статическими ip-адресами 192.168.x.y с роутером CISCO с ip 192.168.1.2 (в локалку) и 10.0.0.1 (провайдер).
Необходимо:
Организовать прозрачный прокси сервер(без дополнительных настроек у пользователей), без роутинга!!! (роутер циско, его трогать нельзя) Считать ВЕСЬ внешний трафик (внутри сети 192.168.х.у не считать), разделить на 2 группы (по ip) привелегированые (разрешить всё) и остальные с запретом по ip, http, протоколу.

Сделано:
Установил FreeBSD 8.1
Установил и настроил Squid, apache, MySQL, php, sams по мануалу до Rejika (т.к. итак не работает)

Настройки FreeBSD:
- ifconfig_bge0="inet 192.168.1.3 netmask 255.255.255.0"
defaultrouter="192.168.1.2" (смотрит в локалку на роутер с ip 192.168.1.2)
- ifconfig_xl0="inet 192.168.1.2 netmask 255.255.255.0" (соединён кабелем с компом 192.168.1.4 для теста)
Добавил пользователя в SAMS с ip 192.168.1.4/255.255.255.255, у него в настройках "Авторизация по NCSA"
инет на компе .1.4 не работает, статистику не считает.
Если комп с FreeBSD вообще отдельно, пробовал убрать из локальных адресов всё в сасмсе, добавить пользователя с 192.168.1.3 и покачать с фтп, тоже не считает.

Что делаю не так?
Куда потом поставить прокси (между чем и чем)?!
Будет ли прокси сервер прослушивать если его поставить не между роутером и локалкой, а параллельно указав "прослушивать ip роутера"?
Какую авторизацию необходимо применять в данном случае NCSA или по ip?
Спасибо.

P.S. почему SAMS, потому что не особо силён в никсах, а у него добрая/удобная/функциональная вебморда. Почему NCSA, не нашёл подробных настроек SQUID по ip.

Отправлено: 11:28, 03-02-2011

 

Аватара для dmitryst

Ветеран


Сообщения: 5686
Благодарности: 635

Профиль | Отправить PM | Цитировать


Цитата Antipiratik:
Организовать прозрачный прокси сервер без роутинга!!! »
Цитата Antipiratik:
Что делаю не так? »
то, что подчеркнуто. разнесите сети в разные диапазоны (192,168,1,х и 10,0,0,х к слову), сделайте gateway_enable="YES", natd_enable="YES", циска ваша пусть отстается как есть, всех юзеров сажаете во вторую подсеть (10,х,х,х которая), в настройках фаерволла прописываете

#### forward SQUID traffics
ipfw -q add 100 fwd 127.0.0.1,3128 all from 10.0.0.0/8 to any 80,81,88,808,3128,3129,8080,8085,9415 via rl0
###(rl0 - это карта, которая смотрит в локалку)

#### ADD NAT from local network
ipfw -q add 700 divert 8668 ip4 from any to any via dc0()
####(dc0 - это карта, которая смотрит к циске)

PS. Забыл. У юзеров ваш проксик прописываете как default gateway (ну, разумеется, тот адрес, который присвоен карте из 10.0.0.0 подсети)

-------
Осваиваю FreeBSD

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:38, 03-02-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


По порядку, сеть итак разделена на 192.168. и 10.0. между ними циска, у всех пользователей настроен шлюз 192.168.1.2 в свойствах сетевого подключения.
Т.е. получится что все будут ходить в инет через фрибсд, минуя циско?! так ест-но нельзя. Возможно поменять ip адресса, т.е. у циски в локалку смотрящий сделать 192.168.1.5, а у фрибсд 1.6 и 1.2 в локалку.

Добавить в настройки фаерволла....
Получается его надо установить... разберёмся установим.

Отправлено: 13:56, 03-02-2011 | #3


Аватара для dmitryst

Ветеран


Сообщения: 5686
Благодарности: 635

Профиль | Отправить PM | Цитировать


Цитата Antipiratik:
Т.е. получится что все будут ходить в инет через фрибсд, минуя циско?! так ест-но нельзя »
нет, не так

(циска 192.168.1.1) <-> (192.168.1.2 FreeBSD Proxy 10.0.1.1) <-> (свитч ) <-> (локалка 10.0.1.2-254 / 10.0.254.2-254)

PS. фаерволл включается из ядра, про это есть и в хендбуке, и у лисяры, с опциями и рекомендациями (касательно ipfw, другие я как-то не люблю )

-------
Осваиваю FreeBSD

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:30, 04-02-2011 | #4


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всё понятно, по поводу раскидать по сеткам...
Про фаервол да, почитал, он заворачивает трафик на squid.
Буду пробовать.

Пока такой вопрос возник, к нам из внехи подключаются по тунелю (впн), с этим проблем не возникнет?! И squid нормально пропустит через себя специфические программы типа банковских клиентов, Lotus и т.д. ???

Отправлено: 08:48, 04-02-2011 | #5


Аватара для dmitryst

Ветеран


Сообщения: 5686
Благодарности: 635

Профиль | Отправить PM | Цитировать


Цитата Antipiratik:
к нам из внехи подключаются по тунелю (впн), с этим проблем не возникнет?! »
не должно. В фаере надо разрешить протокол GRE (allow gre from any to me) и открыть порт 1728. В конфигурацию natd добавить опцию same_ports.

Цитата Antipiratik:
И squid нормально пропустит через себя специфические программы типа банковских клиентов, Lotus и т.д. ??? »
нет. Это сквида не касается, https, vpn И прочее не кешируются

-------
Осваиваю FreeBSD

Это сообщение посчитали полезным следующие участники:

Отправлено: 19:57, 04-02-2011 | #6


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


После выходных, на свежую голову придумал другую схему реализации моих задач, а именно, сделать прокси сервер параллельно локалке, т.е. в локалке будет работать 2 шлюза, циска через который будут ходить сервера, привелегированные и наша фрибсд, и фрибсд, через которую будут ходить все кому надо ограничить трафик.

Ещё раз спасибо

Разбираюсь с pf чтобы заворачивать весь трафик на SQUID

Последний раз редактировалось Antipiratik, 08-02-2011 в 09:34.


Отправлено: 16:04, 07-02-2011 | #7


Аватара для dmitryst

Ветеран


Сообщения: 5686
Благодарности: 635

Профиль | Отправить PM | Цитировать


Цитата Antipiratik:
сделать прокси сервер параллельно локалке »
ну-ну

Цитата Antipiratik:
Разбираюсь с pf чтобы заворачивать весь трафик на SQUID »
зачем? Стандартного ipfw -q add 100 fwd 127.0.0.1,3128 all from 10.0.0.0/8 to any 80,81,88,808,3128,3129,8080,8085,9415 via rl0 (тут ваш интерфейс) не хватает?

-------
Осваиваю FreeBSD


Отправлено: 15:20, 08-02-2011 | #8


Новый участник


Сообщения: 8
Благодарности: 0

Профиль | Отправить PM | Цитировать


Итак, потихоньку движемся.

Сейчас всё работает параллельно локалке, путь трафика:
ПК - FreeBSD (http трафик проходит SQUID+sams)- Cisco - интернет

Сейчас хочу сделать следующее:
трафик с ПК - CISCO - >
- http-трафик через FreeBSD SQUID - CISCO - инет
- остальное Инет
Т.е. http-трафик с циски на сквид, затем обратно на циску и в инет.

Нашёл такой способ реализации:
На интерфейсе смотрящим в локальную сеть циски прописываем
ip policy route-map proxy-squid

создаём список
ip access-list extended httpUsers
permit ip 192.168.x.0 0.0.0.255 any eq www
permit any 192.168.x.0 0.0.0.255 eq www

далее используем route-map
route-map proxy-squid permit 10
match ip address httpUsers
set ip next-hop 192.168.x.y (ip фрибсд)

В общем вопрос в следующем, не зациклится ли трафик?! Т.к. с фрибсд будет идти тот же http трафик и циска может снова отправлять его на фрибсд...

Если "очень коряво" исполнение мною задумано, то как норм?) чтобы не менять настройки у пользователей, не особо ковыряться в циске.

Пока писал, пришла такая мысль, а что если FreeBSD поставить между циской и локалкой, одна сетевая карта с ip 192.168.1.2 (смотрящая в локалку) вторая 192.168.1.3 смотрящая на циску, и у циски 192.168.1.2 и в фрибсд заворачивать http трафик на сквид остальное прямиком на циску, она знает что кому можно или нельзя Проблем не будет с тем что и тут и там 192.168.1.2 и если указать фряхе 1.2 шлюз, то не будет ли она на свой интерфейс пакеты отправлять?!
Спасибо

Последний раз редактировалось Antipiratik, 16-02-2011 в 17:34.


Отправлено: 17:17, 16-02-2011 | #9


Аватара для dmitryst

Ветеран


Сообщения: 5686
Благодарности: 635

Профиль | Отправить PM | Цитировать


Цитата Antipiratik:
Сейчас хочу сделать следующее:
трафик с ПК - CISCO - >
- http-трафик через FreeBSD SQUID - CISCO - инет
- остальное Инет
Т.е. http-трафик с циски на сквид, затем обратно на циску и в инет. »
ничего не понял.

-------
Осваиваю FreeBSD


Отправлено: 23:14, 16-02-2011 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - Помощь в настройке FreeBSD++Squid+SAMS

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Lenny + SQUID + SAMS + VPN hilary_daff Общий по Linux 4 14-01-2011 02:34
Squid+SAMS+Rejik freemanlutsk Программное обеспечение Linux и FreeBSD 1 12-01-2011 16:01
Suse/OpenSuSE - Про squid+sams stavsys Общий по Linux 7 17-02-2009 16:29
FreeBSD - [решено] SQUID+SAMS c авторизацией по NTLM. Почему Opera требует авторизацию? BachiStil Общий по FreeBSD 2 04-02-2009 16:21
FreeBSD - Вопроси по настройке FreeBSD DruidWAR Общий по FreeBSD 2 28-02-2008 17:12




 
Переход