Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - Настройка Прокси (SQUID) с PF + DHCP relay (FreeBSD 8.1)

Ответить
Настройки темы
FreeBSD - Настройка Прокси (SQUID) с PF + DHCP relay (FreeBSD 8.1)

Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


Изменения
Автор: ilka
Дата: 04-12-2010
Доброй ночи, коллеги.
Уже неделю бьюсь и совсем запутался(

Ситуация следующего характера:

Имеется кусок сети, в которой интернет раздает Cisco (VPN+DNS+DHCP). Она же является одним из нескольких звеньев территориально-распределенной сети офисов.
В обсуждаемом офисе у кого-то из сотрудников возник мозговой коллапс и сударь принялся качать дикое кол-во инет трафика (оплата по счетам за интернет выросла аж в 15-20 раз.) Было принято решение поднять SQUID+PF+SAMS с NCSA аутентификацией.
Т.к. данный прокси встанет в разрыв сети (между Cisco и клиентами), то возникает проблема в получении клиентами ip-адреса от цисковского DHCP (это критично!). Тут было решено воспользоваться пакетом из портов "dhcprelay".



Итак получил две проблемы:
1. Настройка PF.
Поскольку никакая безопасность не требуется (Cisco хватает), PF должен быть просто открыт для исходящих и входящих пакетиков.
Но возникает вопрос... а правильно ли настроен PF?...

Код: Выделить весь код
BSDproxy# cat /etc/pf.conf

ext_if="sk0"
int_if="rl0"
internal_net="10.1.1.0/24"
proxy_if="lo0"
proxy_port="3128"

rdr on $int_if proto tcp from $internal_net to any port www -> 127.0.0.1 port 3128
nat on $ext_if from $ext_if to any -> ($ext_if)
nat on $ext_if from $int_if to any -> ($ext_if)
nat on $ext_if from $int_if:network to any -> ($ext_if)
nat on $int_if from $ext_if to any -> ($int_if)
nat on $int_if from $ext_if:network to any -> ($int_if)

pass in all keep state
pass out all keep state
2. Если же с PF все ок.....в чем не уверен...
Не отрабатывает DHCPrelay
.....в упор нигде не нашел нормального описания как сие чудо настроить ....man dhcprelay - нет такого.
Единственное о чем говорится - это при установке в /etc/rc.conf нужно добавить три строки: привожу вывод rc.conf

Код: Выделить весь код
BSDproxy# cat /etc/rc.conf

gateway_enable="YES"
defaultrouter="10.1.1.1"
hostname="BSDproxy"
ifconfig_sk0="DHCP"
ifconfig_rl0="inet 10.1.1.241 netmask 255.255.255.0"
sshd_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
dhcprelay_enable="YES"
dhcprelay_server="10.1.1.1"
dhcprelay_ifaces="sk0"
Заранее большое спасибо за любую помощь или совет (ссылку)!!!

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 02:42, 04-12-2010

 

Пользователь


Сообщения: 85
Благодарности: 2

Профиль | Отправить PM | Цитировать


может Я чего то не понял....
Возможно стоило бы использовать ipfw нарезав каналы (pipe) ограничивающие траффик для каждого юзара данного офиса, без аутентификации и без всяких проксей. А для получения ip адресов клиентам можно поднять локал DHCP сервер на той же машине где установится ipfw, там явно по привязывать mac адреса каждой машины к определённому ip и нарезать этим ip определённый pipe.

ps:pf не юзал, потому ничего про него не скажу.

Отправлено: 12:17, 04-12-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


Да там нужно только www-трафик считать и ограничить доступ для узкого круга лиц
(учетки для тех кому надо, а остальные лесом топают)
...почитаю про данное предложение. Спасибо Flainth, !

З.Ы.: Вопрос всё еще актуален!

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 12:24, 04-12-2010 | #3


Пользователь


Сообщения: 85
Благодарности: 2

Профиль | Отправить PM | Цитировать


стесняюсь спросить... а dhcprelay установлен? Если нет, то лучше сделать всё по хэндбуку

хттп://www.freebsd.org/doc/ru/books/handbook/network-dhcp.html

там в конце есь ссылка на ман dhcprelay

хттп://www.freebsd.org/cgi/man.cgi?query=dhcrelay&sektion=8&manpath=FreeBSD+8.1-RELEASE+and+Ports

Последний раз редактировалось Flainth, 04-12-2010 в 15:37.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:20, 04-12-2010 | #4


Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


ога, dhcprelay установлен...там насколько я понимаю написано про то.......но не то)

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 15:37, 04-12-2010 | #5


Пользователь


Сообщения: 85
Благодарности: 2

Профиль | Отправить PM | Цитировать


загляните на эти ссылки

хттп://www.freebsd.org/doc/ru/books/handbook/network-dhcp.html

там в конце есь ссылка на ман dhcprelay

хттп://www.freebsd.org/cgi/man.cgi?query=dhcrelay&sektion=8&manpath=FreeBSD+8.1-RELEASE+and+Ports

Я подправил свой предидущий пост.

Отправлено: 15:40, 04-12-2010 | #6


Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


Спасибо! Это уже читал... но на работе релея это к сожалению никак не отразилось..... может затык в правилах PF? .... может кто подскажет.....пока буду читать-пробовать дальше.

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 15:46, 04-12-2010 | #7


Пользователь


Сообщения: 85
Благодарности: 2

Профиль | Отправить PM | Цитировать


мне кажутся сомнительными последние две строки конфига pf, если судить по логике которая мне известна , то правилам keep-state должно предшествовать правило setup, или хотя бы в том же правиле дописать setup, тоесть примерно так:
pass in all setup keep state.
Попробуйте

и хорошо бы логи посмотреть...

Отправлено: 15:56, 04-12-2010 | #8


Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


ничего не выходит(( ....Гуру PF....помогите... совсем беда((((

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 03:07, 05-12-2010 | #9


Аватара для ilka

Новый участник


Сообщения: 43
Благодарности: 4

Профиль | Отправить PM | Цитировать


Господа форумчане... рабочий ли такой вариант pf.conf?
Помогите совладать с PF!

Код: Выделить весь код
BSDproxy# cat /etc/pf.conf
ext_if="sk0"
int_if="rl0"
internal_net="10.1.1.0/24"

rdr on $int_if proto tcp from $internal_net to any port 80 -> 127.0.0.1 port 3128
nat on $ext_if from $ext_if to any -> ($ext_if)
nat on $ext_if from $int_if to any -> ($ext_if)
nat on $ext_if from $int_if:network to any -> ($ext_if)

pass in all
pass out all keep state

-------
...пользуясь моментом...хочу передать привет друзьям...которые тоже пользуются ...моментом)))


Отправлено: 22:50, 05-12-2010 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » FreeBSD - Настройка Прокси (SQUID) с PF + DHCP relay (FreeBSD 8.1)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Redhat/Fedora - ошибка в прозрачном прокси squid kozyr76 Общий по Linux 3 06-12-2012 13:04
FreeBSD - Авторизация в AD на прокси squid EndErr Общий по FreeBSD 0 17-07-2010 18:10
Cisco - Помогите настроить DHCP-relay Gudy Сетевое оборудование 0 28-03-2008 16:08
FreeBSD - Установка FreeBSD и настройка SQUID ForGroin Общий по FreeBSD 3 28-01-2008 00:02
проблема squid/dhcp freeBSD Borro Общий по FreeBSD 6 12-09-2005 16:42




 
Переход