>1. легче было спросить в спец. разделе по squid
>2. Открытый проксик не хорошо оставлять... (http_access allow all)
>3. при форварде пакеты, адрес-источник не меняется, а у вас не прописан
>acl на 10.1.4.0/24
>4. Форвард на прокси лучше не на 127.0.0.1 делать, а на 10.1.4.1
>(короче: из той сети, где VPN)
>5. Нужно посмотреть вывод squid -X
Вобщем так:
Сам сквид поставился и работает нормально(проверенно несколькими сквидами).
Правила IPFW такие:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80
add 2 fwd 10.1.4.1,3128 tcp from any to any 80
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any
Настройки Сквида:
http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin/?
no_cache deny QUERY
cache_mem 32 MB
logfile_rotate 10
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl server src 192.168.0.100/255.255.255.255
acl clients src 10.1.4.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SMTP port 25
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow server
http_access allow clients
http_access deny !Safe_ports
http_access deny SMTP
http_access deny all
icp_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Если работать с такими правилами и настройками, то в браузере видно только "Аксес Динайн". Это очень плохо. Если же отключить правило в IPFW
"add 2 fwd 10.1.4.1,3128 tcp from any to any 80", то хттп запросы начинаю замечательно НАТиться и в браузере идет страница из и-нета, НО МИМО СКВИДА! это тоже не хорошо.
Если же выключить ВПН соединение и оставить одну только сеть, прописать в браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном же правиле форварда, опять таже картина - "Аксесс Динайн")
Вот что в ЛОГ файле Сквида при попытке зайти на страницу(включено правило в фаере):
1140707023.737 835 10.1.4.2 TCP_NEGATIVE_HIT/403 1453 GET https://www.opennet.ru/openforum/vsluhforumID1/63498.html - NONE/- text/html
1140707038.287 5 10.10.6.67 TCP_DENIED/403 1365 GET http://btg.btgrab.com/a/Drk.syn? - NONE/- text/html
1140707038.292 248 10.1.4.2 TCP_MISS/403 1392 GET http://btg.btgrab.com/a/Drk.syn? - DIRECT/204.16.123.10 text/html