forum.opennet.ru - "Squid, nat, firewall" (15)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Squid, nat, firewall"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Squid, nat, firewall"
Сообщение от karen on 28-Авг-02, 16:50 (MSK)
Есть Фря 4.6.1 Сквид, файрволл и нат. Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как в rc.firewall уже прописаны строки про нат (divert). т.е. все должно работать , ан нет. После включения нат'а, пытаюсь зайти на какую нить страницу и все говорят "В соединении отказано". Где копать помогите. Мозг уже кипит.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Squid, nat, firewall, LinaS, 16:57 , 28-Авг-02, (1)
- RE: Squid, nat, firewall, karen, 17:09 , 28-Авг-02, (2)
  - RE: Squid, nat, firewall, LinaS, 17:16 , 28-Авг-02, (3)
    - RE: Squid, nat, firewall, karen, 17:50 , 28-Авг-02, (4)
      - RE: Squid, nat, firewall, LinaS, 18:01 , 28-Авг-02, (5)
      - RE: Squid, nat, firewall, LinaS, 18:16 , 28-Авг-02, (6)
        
        RE: Squid, nat, firewall, karen, 18:25 , 28-Авг-02, (7)
        
        RE: Squid, nat, firewall, karen, 18:29 , 28-Авг-02, (8)
        
        RE: Squid, nat, firewall, LinaS, 18:43 , 28-Авг-02, (9)
        
        RE: Squid, nat, firewall, karen, 09:10 , 29-Авг-02, (10)
        
        RE: Squid, nat, firewall, LinaS, 09:56 , 29-Авг-02, (14)
  - RE: Squid, nat, firewall, Max, 09:35 , 29-Авг-02, (11)
    - RE: Squid, nat, firewall, Max, 09:37 , 29-Авг-02, (12)
      - RE: Squid, nat, firewall, karen, 10:26 , 29-Авг-02, (15)
    - RE: Squid, nat, firewall, LinaS, 09:46 , 29-Авг-02, (13)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Squid, nat, firewall"

Сообщение от LinaS on 28-Авг-02, 16:57  (MSK)

>Есть Фря 4.6.1 Сквид, файрволл и нат.
>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как
>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно
>работать , ан нет. После включения нат'а, пытаюсь зайти на какую
>нить страницу и все говорят "В соединении отказано".  Где копать
>помогите. Мозг уже кипит.
natd запущен?
ipfw show?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Squid, nat, firewall"

Сообщение от karen on 28-Авг-02, 17:09  (MSK)

>>Есть Фря 4.6.1 Сквид, файрволл и нат.
>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как
>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно
>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую
>>нить страницу и все говорят "В соединении отказано".  Где копать
>>помогите. Мозг уже кипит.
>
>natd запущен?
>ipfw show?
Запущен:)
В rc.conf
natd_enable="YES"
natd_program="/sbin/natd"
natd_interface="xl1" xl1- сетевуха с внешним ИП.
#ipfw show
00050   4   514 divert 8668 ip from any to any via xl1
00100   0     0 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
65000 222 19756 allow ip from any to any
65535   0     0 deny ip from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Squid, nat, firewall"

Сообщение от LinaS on 28-Авг-02, 17:16  (MSK)

>>>Есть Фря 4.6.1 Сквид, файрволл и нат.
>>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как
>>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно
>>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую
>>>нить страницу и все говорят "В соединении отказано".  Где копать
>>>помогите. Мозг уже кипит.
>>
>>natd запущен?
>>ipfw show?
>Запущен:)
>В rc.conf
>natd_enable="YES"
>natd_program="/sbin/natd"
>natd_interface="xl1" xl1- сетевуха с внешним ИП.
>
>#ipfw show
>
>00050   4   514 divert 8668 ip from any
>to any via xl1
>00100   0     0 allow ip from
>any to any via lo0
>00200   0     0 deny ip from
>any to 127.0.0.0/8
>00300   0     0 deny ip from
>127.0.0.0/8 to any
>65000 222 19756 allow ip from any to any
>65535   0     0 deny ip from
>any to any
>
>
вообще-то все нормально вроде...
у меня:
natd_flags="-unregistered_only -dynamic"
но наверное дело не в этом...
если tcpdump -n -i xl1 port 3128 (или какой там)
запустить, и попробовать открыть страницу - какие пакеты видны? в плане адресов источника и назначения
и кстати, а почта, например, работает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Squid, nat, firewall"

Сообщение от karen on 28-Авг-02, 17:50  (MSK)

>>>>Есть Фря 4.6.1 Сквид, файрволл и нат.
>>>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как
>>>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно
>>>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую
>>>>нить страницу и все говорят "В соединении отказано".  Где копать
>>>>помогите. Мозг уже кипит.
>>>
>>>natd запущен?
>>>ipfw show?
>>Запущен:)
>>В rc.conf
>>natd_enable="YES"
>>natd_program="/sbin/natd"
>>natd_interface="xl1" xl1- сетевуха с внешним ИП.
>>
>>#ipfw show
>>
>>00050   4   514 divert 8668 ip from any
>>to any via xl1
>>00100   0     0 allow ip from
>>any to any via lo0
>>00200   0     0 deny ip from
>>any to 127.0.0.0/8
>>00300   0     0 deny ip from
>>127.0.0.0/8 to any
>>65000 222 19756 allow ip from any to any
>>65535   0     0 deny ip from
>>any to any
>>
>>
>
>вообще-то все нормально вроде...
>у меня:
>natd_flags="-unregistered_only -dynamic"
>но наверное дело не в этом...
>если tcpdump -n -i xl1 port 3128 (или какой там)
>запустить, и попробовать открыть страницу - какие пакеты видны? в плане адресов
>источника и назначения
>
>и кстати, а почта, например, работает?
почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве пакеты на вэб-сервер уходят так же с 3128? Т.е.
клиент-> squid:3128->???->webserver:80
что на месте ????

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Squid, nat, firewall"

Сообщение от LinaS on 28-Авг-02, 18:01  (MSK)

>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>клиент-> squid:3128->???->webserver:80
>
>что на месте ????
Естесственно там не 3128, пардон.
Имелось в виду на внешнем послушать 80 порт, на внутреннем 3128.
Еще раз пардон - конец рабочего дня...
На месте ??? любой клиентский порт (выше 1023). Для web-сервера сквид выступает обычным клиентом.
Так что видно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Squid, nat, firewall"

Сообщение от LinaS on 28-Авг-02, 18:16  (MSK)

>>и кстати, а почта, например, работает?
>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>клиент-> squid:3128->???->webserver:80
>
>что на месте ????
Кстати, раз почта работает, то, может, проблема не в нате?
Я правильно понимаю, что не работает только http?
В логах сквида что?
acl у сквида?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Squid, nat, firewall"

Сообщение от karen on 28-Авг-02, 18:25  (MSK)

>>>и кстати, а почта, например, работает?
>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>>клиент-> squid:3128->???->webserver:80
>>
>>что на месте ????
>
>Кстати, раз почта работает, то, может, проблема не в нате?
>Я правильно понимаю, что не работает только http?
>В логах сквида что?
>acl у сквида?
но если нат не запущен то сквид пашет нормально, а кады запускаешь нат то не работает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Squid, nat, firewall"

Сообщение от karen on 28-Авг-02, 18:29  (MSK)

>>>>и кстати, а почта, например, работает?
>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>>>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>>>клиент-> squid:3128->???->webserver:80
>>>
>>>что на месте ????
>>
>>Кстати, раз почта работает, то, может, проблема не в нате?
>>Я правильно понимаю, что не работает только http?
>>В логах сквида что?
>>acl у сквида?
>но если нат не запущен то сквид пашет нормально, а кады запускаешь
>нат то не работает.
Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а шлюз по умолчанию поставил внутр. ип машины с натом и все нормально ходит. как только пускаешь через прокси страницы не ходят:)


Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Squid, nat, firewall"

Сообщение от LinaS on 28-Авг-02, 18:43  (MSK)

>>>>>и кстати, а почта, например, работает?
>>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>>>>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>>>>клиент-> squid:3128->???->webserver:80
>>>>
>>>>что на месте ????
>>>
>>>Кстати, раз почта работает, то, может, проблема не в нате?
>>>Я правильно понимаю, что не работает только http?
>>>В логах сквида что?
>>>acl у сквида?
>>но если нат не запущен то сквид пашет нормально, а кады запускаешь
>>нат то не работает.
>
>Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а
>шлюз по умолчанию поставил внутр. ип машины с натом и все
>нормально ходит. как только пускаешь через прокси страницы не ходят:)
>

Ну вот видишь, дело не в нате
Покажи лог сквида, плз.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Squid, nat, firewall"

Сообщение от karen on 29-Авг-02, 09:10  (MSK)

>>>>>>и кстати, а почта, например, работает?
>>>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>>>>>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>>>>>клиент-> squid:3128->???->webserver:80
>>>>>
>>>>>что на месте ????
>>>>
>>>>Кстати, раз почта работает, то, может, проблема не в нате?
>>>>Я правильно понимаю, что не работает только http?
>>>>В логах сквида что?
>>>>acl у сквида?
>>>но если нат не запущен то сквид пашет нормально, а кады запускаешь
>>>нат то не работает.
>>
>>Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а
>>шлюз по умолчанию поставил внутр. ип машины с натом и все
>>нормально ходит. как только пускаешь через прокси страницы не ходят:)
>>
>
>
>Ну вот видишь, дело не в нате
>Покажи лог сквида, плз.
Покажу. А ты мне вот на какой вопрос ответь, может сквид откомпилить как транспарент-прокси?

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Squid, nat, firewall"

Сообщение от LinaS on 29-Авг-02, 09:56  (MSK)

>>>>>>>и кстати, а почта, например, работает?
>>>>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве
>>>>>>пакеты на вэб-сервер уходят так же с 3128? Т.е.
>>>>>>клиент-> squid:3128->???->webserver:80
>>>>>>
>>>>>>что на месте ????
>>>>>
>>>>>Кстати, раз почта работает, то, может, проблема не в нате?
>>>>>Я правильно понимаю, что не работает только http?
>>>>>В логах сквида что?
>>>>>acl у сквида?
>>>>но если нат не запущен то сквид пашет нормально, а кады запускаешь
>>>>нат то не работает.
>>>
>>>Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а
>>>шлюз по умолчанию поставил внутр. ип машины с натом и все
>>>нормально ходит. как только пускаешь через прокси страницы не ходят:)
>>>
>>
>>
>>Ну вот видишь, дело не в нате
>>Покажи лог сквида, плз.
>
>Покажу. А ты мне вот на какой вопрос ответь, может сквид откомпилить
>как транспарент-прокси?

Его для этого и компилить не надо :)
http://neva.vlink.ru/~dsh/squid.html
и настроек минимум :)
а где лог?

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Squid, nat, firewall"

Сообщение от Max on 29-Авг-02, 09:35  (MSK)

>>>Есть Фря 4.6.1 Сквид, файрволл и нат.
>>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как
>>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно
>>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую
>>>нить страницу и все говорят "В соединении отказано".  Где копать
>>>помогите. Мозг уже кипит.
>>
>>natd запущен?
>>ipfw show?
>Запущен:)
>В rc.conf
>natd_enable="YES"
>natd_program="/sbin/natd"
>natd_interface="xl1" xl1- сетевуха с внешним ИП.
>
>#ipfw show
>
>00050   4   514 divert 8668 ip from any to any via xl1
>00100   0     0 allow ip from
>any to any via lo0
>00200   0     0 deny ip from
>any to 127.0.0.0/8
>00300   0     0 deny ip from
>127.0.0.0/8 to any
>65000 222 19756 allow ip from any to any
>65535   0     0 deny ip from
>any to any
>
>

Советую почитать еще раз что-то про NAT.
Строка 00050  4  divert 8668 ip from any to any via xl1
Заведомо неправильно работает.
Надо делать так -
ipfw add 50 divert 8668 ip from <локальные адреса, которые надо натить> to any via rl1
ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1
Тогда все будет работать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Squid, nat, firewall"

Сообщение от Max on 29-Авг-02, 09:37  (MSK)

>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1
Немного ошибся
ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> via rl1

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Squid, nat, firewall"

Сообщение от karen on 29-Авг-02, 10:26  (MSK)

>>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1
>
>Немного ошибся
>
>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> via rl1
Я и так пробовал.
Проблема решилась последнее что делал это заменил в файле squid.conf
debug_options ALL,5 (5 сам выставил раньше) на
debug_options ALL,1 (которое по умолчанию).
Вроде сейчас работает. проверяют. Ходит и сквид и нат вроде работает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Squid, nat, firewall"

Сообщение от LinaS on 29-Авг-02, 09:46  (MSK)

>Строка 00050  4  divert 8668 ip from any to any
>via xl1
>Заведомо неправильно работает.
>
>Надо делать так -
>
>ipfw add 50 divert 8668 ip from <локальные адреса, которые надо натить> to any via rl1
>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1
>
>Тогда все будет работать.
ipfw add 2000 divert 8668 ip from any to any via fxp0
все работает
тем более, что почта то у него ходит и без сквида http ходит :))

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Squid, nat, firewall"
Сообщение от LinaS on 28-Авг-02, 16:57 (MSK)
>Есть Фря 4.6.1 Сквид, файрволл и нат. >Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как >в rc.firewall уже прописаны строки про нат (divert). т.е. все должно >работать , ан нет. После включения нат'а, пытаюсь зайти на какую >нить страницу и все говорят "В соединении отказано". Где копать >помогите. Мозг уже кипит. natd запущен? ipfw show?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Squid, nat, firewall"
	Сообщение от karen on 28-Авг-02, 17:09 (MSK)
	>>Есть Фря 4.6.1 Сквид, файрволл и нат. >>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как >>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно >>работать , ан нет. После включения нат'а, пытаюсь зайти на какую >>нить страницу и все говорят "В соединении отказано". Где копать >>помогите. Мозг уже кипит. > >natd запущен? >ipfw show? Запущен:) В rc.conf natd_enable="YES" natd_program="/sbin/natd" natd_interface="xl1" xl1- сетевуха с внешним ИП. #ipfw show 00050 4 514 divert 8668 ip from any to any via xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 222 19756 allow ip from any to any 65535 0 0 deny ip from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 28-Авг-02, 17:16 (MSK)
	>>>Есть Фря 4.6.1 Сквид, файрволл и нат. >>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как >>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно >>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую >>>нить страницу и все говорят "В соединении отказано". Где копать >>>помогите. Мозг уже кипит. >> >>natd запущен? >>ipfw show? >Запущен:) >В rc.conf >natd_enable="YES" >natd_program="/sbin/natd" >natd_interface="xl1" xl1- сетевуха с внешним ИП. > >#ipfw show > >00050 4 514 divert 8668 ip from any >to any via xl1 >00100 0 0 allow ip from >any to any via lo0 >00200 0 0 deny ip from >any to 127.0.0.0/8 >00300 0 0 deny ip from >127.0.0.0/8 to any >65000 222 19756 allow ip from any to any >65535 0 0 deny ip from >any to any > > вообще-то все нормально вроде... у меня: natd_flags="-unregistered_only -dynamic" но наверное дело не в этом... если tcpdump -n -i xl1 port 3128 (или какой там) запустить, и попробовать открыть страницу - какие пакеты видны? в плане адресов источника и назначения и кстати, а почта, например, работает?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Squid, nat, firewall"
	Сообщение от karen on 28-Авг-02, 17:50 (MSK)
	>>>>Есть Фря 4.6.1 Сквид, файрволл и нат. >>>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как >>>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно >>>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую >>>>нить страницу и все говорят "В соединении отказано". Где копать >>>>помогите. Мозг уже кипит. >>> >>>natd запущен? >>>ipfw show? >>Запущен:) >>В rc.conf >>natd_enable="YES" >>natd_program="/sbin/natd" >>natd_interface="xl1" xl1- сетевуха с внешним ИП. >> >>#ipfw show >> >>00050 4 514 divert 8668 ip from any >>to any via xl1 >>00100 0 0 allow ip from >>any to any via lo0 >>00200 0 0 deny ip from >>any to 127.0.0.0/8 >>00300 0 0 deny ip from >>127.0.0.0/8 to any >>65000 222 19756 allow ip from any to any >>65535 0 0 deny ip from >>any to any >> >> > >вообще-то все нормально вроде... >у меня: >natd_flags="-unregistered_only -dynamic" >но наверное дело не в этом... >если tcpdump -n -i xl1 port 3128 (или какой там) >запустить, и попробовать открыть страницу - какие пакеты видны? в плане адресов >источника и назначения > >и кстати, а почта, например, работает? почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве пакеты на вэб-сервер уходят так же с 3128? Т.е. клиент-> squid:3128->???->webserver:80 что на месте ????
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 28-Авг-02, 18:01 (MSK)
	>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >пакеты на вэб-сервер уходят так же с 3128? Т.е. >клиент-> squid:3128->???->webserver:80 > >что на месте ???? Естесственно там не 3128, пардон. Имелось в виду на внешнем послушать 80 порт, на внутреннем 3128. Еще раз пардон - конец рабочего дня... На месте ??? любой клиентский порт (выше 1023). Для web-сервера сквид выступает обычным клиентом. Так что видно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 28-Авг-02, 18:16 (MSK)
	>>и кстати, а почта, например, работает? >почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >пакеты на вэб-сервер уходят так же с 3128? Т.е. >клиент-> squid:3128->???->webserver:80 > >что на месте ???? Кстати, раз почта работает, то, может, проблема не в нате? Я правильно понимаю, что не работает только http? В логах сквида что? acl у сквида?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Squid, nat, firewall"
	Сообщение от karen on 28-Авг-02, 18:25 (MSK)
	>>>и кстати, а почта, например, работает? >>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >>пакеты на вэб-сервер уходят так же с 3128? Т.е. >>клиент-> squid:3128->???->webserver:80 >> >>что на месте ???? > >Кстати, раз почта работает, то, может, проблема не в нате? >Я правильно понимаю, что не работает только http? >В логах сквида что? >acl у сквида? но если нат не запущен то сквид пашет нормально, а кады запускаешь нат то не работает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Squid, nat, firewall"
	Сообщение от karen on 28-Авг-02, 18:29 (MSK)
	>>>>и кстати, а почта, например, работает? >>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >>>пакеты на вэб-сервер уходят так же с 3128? Т.е. >>>клиент-> squid:3128->???->webserver:80 >>> >>>что на месте ???? >> >>Кстати, раз почта работает, то, может, проблема не в нате? >>Я правильно понимаю, что не работает только http? >>В логах сквида что? >>acl у сквида? >но если нат не запущен то сквид пашет нормально, а кады запускаешь >нат то не работает. Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а шлюз по умолчанию поставил внутр. ип машины с натом и все нормально ходит. как только пускаешь через прокси страницы не ходят:)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 28-Авг-02, 18:43 (MSK)
	>>>>>и кстати, а почта, например, работает? >>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >>>>пакеты на вэб-сервер уходят так же с 3128? Т.е. >>>>клиент-> squid:3128->???->webserver:80 >>>> >>>>что на месте ???? >>> >>>Кстати, раз почта работает, то, может, проблема не в нате? >>>Я правильно понимаю, что не работает только http? >>>В логах сквида что? >>>acl у сквида? >>но если нат не запущен то сквид пашет нормально, а кады запускаешь >>нат то не работает. > >Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а >шлюз по умолчанию поставил внутр. ип машины с натом и все >нормально ходит. как только пускаешь через прокси страницы не ходят:) > Ну вот видишь, дело не в нате Покажи лог сквида, плз.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Squid, nat, firewall"
	Сообщение от karen on 29-Авг-02, 09:10 (MSK)
	>>>>>>и кстати, а почта, например, работает? >>>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >>>>>пакеты на вэб-сервер уходят так же с 3128? Т.е. >>>>>клиент-> squid:3128->???->webserver:80 >>>>> >>>>>что на месте ???? >>>> >>>>Кстати, раз почта работает, то, может, проблема не в нате? >>>>Я правильно понимаю, что не работает только http? >>>>В логах сквида что? >>>>acl у сквида? >>>но если нат не запущен то сквид пашет нормально, а кады запускаешь >>>нат то не работает. >> >>Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а >>шлюз по умолчанию поставил внутр. ип машины с натом и все >>нормально ходит. как только пускаешь через прокси страницы не ходят:) >> > > >Ну вот видишь, дело не в нате >Покажи лог сквида, плз. Покажу. А ты мне вот на какой вопрос ответь, может сквид откомпилить как транспарент-прокси?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 29-Авг-02, 09:56 (MSK)
	>>>>>>>и кстати, а почта, например, работает? >>>>>>почта работает. но почему ты предлагаешь мне слушать внешний интерфейс (xl1)? Разве >>>>>>пакеты на вэб-сервер уходят так же с 3128? Т.е. >>>>>>клиент-> squid:3128->???->webserver:80 >>>>>> >>>>>>что на месте ???? >>>>> >>>>>Кстати, раз почта работает, то, может, проблема не в нате? >>>>>Я правильно понимаю, что не работает только http? >>>>>В логах сквида что? >>>>>acl у сквида? >>>>но если нат не запущен то сквид пашет нормально, а кады запускаешь >>>>нат то не работает. >>> >>>Кстати, вот сейчас я отключил в браузере " Ходить через прокси", а >>>шлюз по умолчанию поставил внутр. ип машины с натом и все >>>нормально ходит. как только пускаешь через прокси страницы не ходят:) >>> >> >> >>Ну вот видишь, дело не в нате >>Покажи лог сквида, плз. > >Покажу. А ты мне вот на какой вопрос ответь, может сквид откомпилить >как транспарент-прокси? Его для этого и компилить не надо :) http://neva.vlink.ru/~dsh/squid.html и настроек минимум :) а где лог?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Squid, nat, firewall"
	Сообщение от Max on 29-Авг-02, 09:35 (MSK)
	>>>Есть Фря 4.6.1 Сквид, файрволл и нат. >>>Файрволл ключаю как ОPEN настраиваю сквид все работает. Включаю нат. Вроде как >>>в rc.firewall уже прописаны строки про нат (divert). т.е. все должно >>>работать , ан нет. После включения нат'а, пытаюсь зайти на какую >>>нить страницу и все говорят "В соединении отказано". Где копать >>>помогите. Мозг уже кипит. >> >>natd запущен? >>ipfw show? >Запущен:) >В rc.conf >natd_enable="YES" >natd_program="/sbin/natd" >natd_interface="xl1" xl1- сетевуха с внешним ИП. > >#ipfw show > >00050 4 514 divert 8668 ip from any to any via xl1 >00100 0 0 allow ip from >any to any via lo0 >00200 0 0 deny ip from >any to 127.0.0.0/8 >00300 0 0 deny ip from >127.0.0.0/8 to any >65000 222 19756 allow ip from any to any >65535 0 0 deny ip from >any to any > > Советую почитать еще раз что-то про NAT. Строка 00050 4 divert 8668 ip from any to any via xl1 Заведомо неправильно работает. Надо делать так - ipfw add 50 divert 8668 ip from <локальные адреса, которые надо натить> to any via rl1 ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1 Тогда все будет работать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Squid, nat, firewall"
	Сообщение от Max on 29-Авг-02, 09:37 (MSK)
	>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1 Немного ошибся ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> via rl1
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "RE: Squid, nat, firewall"
	Сообщение от karen on 29-Авг-02, 10:26 (MSK)
	>>ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1 > >Немного ошибся > >ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> via rl1 Я и так пробовал. Проблема решилась последнее что делал это заменил в файле squid.conf debug_options ALL,5 (5 сам выставил раньше) на debug_options ALL,1 (которое по умолчанию). Вроде сейчас работает. проверяют. Ходит и сквид и нат вроде работает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: Squid, nat, firewall"
	Сообщение от LinaS on 29-Авг-02, 09:46 (MSK)
	>Строка 00050 4 divert 8668 ip from any to any >via xl1 >Заведомо неправильно работает. > >Надо делать так - > >ipfw add 50 divert 8668 ip from <локальные адреса, которые надо натить> to any via rl1 >ipfw add 51 divert 8668 ip from any to <адрес внешнего интерфейса> vie rl1 > >Тогда все будет работать. ipfw add 2000 divert 8668 ip from any to any via fxp0 все работает тем более, что почта то у него ходит и без сквида http ходит :))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх