The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid, ident и forward"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid, ident и forward"
Сообщение от ptr emailИскать по авторуВ закладки on 29-Фев-04, 13:28  (MSK)
Доброго Вам времени суток!

Утомил меня этот паразит прошедшей ночью. Захотелось мне знать, куда дети лазают, причем главное кто из них. В итоге так и не смог решить несколько проблем:
1. Identd под W2000 (NT то бишь) нашел только один. Однако глюкавый безбожно. Постоянно падает, затыкается и глючит. Впрочем он, слава богу, с исходниками. Так что проблема, в принципе, решаема. Если никто не подскажет другой ident server, буду сам баги править.
2. Поставил форвард с 80 порта на лупбек с портом сквида в файрволле. В сквиде добавил http_port еще и с лупбека. Однако, по непонятным причинам, ident для запросов, приходящих сквиду форвардом не отрабатывает, хоть тресни. То есть, если броузер работат через порт 3128 - сквид честно посылает идент и определяет пользователя. Если же через 80 порт - фиг вам - запроса от сквида по иденту не приходит. Сквид 2.4. Может его на 2.5 проапгрейдить?
3. Для некоторых избранных адресов захотелось мне обходится без сквида. То есть выполнять skipto форварда не сквид. Ни фига не работает. Конфиг файрволла прилагается ниже (rl0 - внешний интерфейс, а xl0 - внутрений, ipfw2 в ядре не активирован):

fw="/sbin/ipfw"
$fw -f flush

$fw add 10 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
$fw add 20 deny ip from any to not me in recv rl0

$fw add 110 deny log ip from 192.168.1.0/24 to any in via rl0
$fw add 120 count ip from not 10.0.0.0/8 to me in recv rl0

$fw add 210 allow ip from any to any via lo0

# $fw add 310 skipto 500 allow tcp from 192.168.1.0/24 to 194.xx.xxx.xx,80

$fw add 410 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 keep-state

$fw add 510 divert natd ip from 192.168.1.0/24 to any out xmit rl0
$fw add 520 divert natd ip from any to me in recv rl0
$fw add 530 check-state
$fw add 540 deny log tcp from any to me established
$fw add 550 deny log tcp from any to any established

$fw add 1010 allow tcp from me to any keep-state
$fw add 1020 allow tcp from 192.168.1.0/24 to any keep-state
$fw add 1040 allow udp from me to any keep-state
$fw add 1050 allow udp from 192.168.1.0/24 to any keep-state
$fw add 1060 allow ip from me to any
$fw add 1070 allow ip from 192.168.1.0/24 to any

$fw add 2010 allow icmp from any to any

$fw add 30010 deny log ip from any to me
$fw add 30020 deny log ip from any to any

Желаю удачи, Вадим.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Squid, ident и forward"
Сообщение от ptr emailИскать по авторуВ закладки on 29-Фев-04, 20:38  (MSK)
>Доброго Вам времени суток!
>
C ident полностью разобрался. Как выяснилось, там было две проблемы:
1. Глюки cygwin, само собой. Слава богу он использовался только для работы с IP, так что пришось поправить только одну функцию.
2. На каждое обращение к ident этот демон лазил в реестр, чтобы узнать текущего юзера. Бррр. Сделал кеширование имени - все стало хорошо.

Так как источник был под GNU GPL, все мои модификации так же отношу туда же. Так что раздаю желающим в неограниченных количествах :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру