FreeBSD 5.2 + IPFIREWALL_FORWARD

Zira · Отправлено: **09:07, 22-06-2005** | #2

и без нее все должно работать. кажется она включена по умолчанию. у меня такой проблемы не возникало - все работает.

grat · Отправлено: **09:35, 22-06-2005** | #3

Должно работать, но не работает
При запросе URL получаю следующее:

ERROR
The requested URL could not be retrieved

While trying to process the request:
GET /products/firefox/central.html HTTP/1.1
Host: www.mozilla.org
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050518 Firefox/1.0.4
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
If-Modified-Since: Wed, 15 Jun 2005 18:18:26 GMT
If-None-Match: "3e8134-2bb4-c768a080"

The following error was encountered:
Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed
Your cache administrator is webmaster.

в access.log

10.0.0.2 -- [22/Jun/2005:13:17:02+0000] "GET error: pf_open_failed HTTP /0.0" 400 /707 TCP_DENIED:NONE

что бы это значило тогда и как это лечить?

FrIcE · Отправлено: **10:54, 22-06-2005** | #4

Во первых, squid пытается использовать pf для прозрачного проксирования, а не IPFW. Во вторых, для nat нужна опция IPFIREWALL_DIVERT

grat · Отправлено: **11:55, 22-06-2005** | #5

Связка IPFW+nat работает нормально, я компилил с IPDIVERT.
А вот про pf по подробней можно?

FrIcE · Отправлено: **06:36, 23-06-2005** | #6

А что про него подробней, подробней в мане написано

Ещё один файрвол во фре. И сквид пытается его использовать вместо divert sockets. Тут надо сквид перестраивать.

grat · Отправлено: **07:36, 23-06-2005** | #7

Перекомпилил ядро с опциями
option PFIL_HOOKS
option RANDOM_IP_ID
поставил из портов pf
изменил rc.conf и pf.conf
пересобрал squid с поддержкой pf
и все равно, нифига.
теперь ошибка в cache.log
PF open failed: (13) permission denied
в access.log тоже самое
10.0.0.2 -- [22/Jun/2005:13:17:02+0000] "GET error: pf_open_failed HTTP /0.0" 400 /707 TCP_DENIED:NONE

Zira · Отправлено: **09:09, 23-06-2005** | #8

дык права поставь на файлы
сквиду просто не доступны файлы для чтения/записи

grat · Отправлено: **12:51, 23-06-2005** | #9

на /dev/pf ?

FrIcE · Отправлено: **06:25, 24-06-2005** | #10

Сквиду нужно читать - писать в /dev/pf. Обычно рекомендутеся поменять группу на squid и права на 0660 для /dev/pf.
Чтоб не париться каждый раз, пишем в /etc/devfs.conf

Код:

own pf root:squid
perm pf 0660