Хочу сделать прозрачное проксирование для ВПН-клиентов выходящих в и-нет через билинг. Все сделал, но при запросе сиранички из и-нета сам скуид ругаеться что мол "Аксес Динайн". А на "локальный ВВВ сервер"(где стоит АПАЧ) доступ идет прекрасно. В чем может быть грабля?
Система: Фрии 4.9
Билинг: ФРИИНИБС(ВПН-клиенты через МПД-сервер)
правила IPFW:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80 # Для моего АПАЧА на котором крутиться статистика билинга и форум
add 2 fwd 127.0.0.1,3128 tcp from any to any 80 # НЕ для моего АПАЧА но через МОЙ СКУИД!
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any
10.1.4.1/24 - сеть с ВПН клинтами.
dc0 - внешний интерфейс к и-нету
192.168.0.100 - адрес сервера в локальной сети
ВОТ ЧТО В ЛОГАХ СКУИДА:
1140391322.513 4 10.10.6.67 TCP_DENIED/403 1411 GET https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi? - NONE/- text/html
1140391322.517 11 10.1.4.2 TCP_MISS/403 1443 GET https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi? - DIRECT/82.137.161.90 text/html
10.1.4.2 - адрес ВПН клиента.
10.10.6.67 - адрес на карточке dc0 ( та что смотрит в и-нет).
КОНФИГ СКУИДА:
http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin/?
no_cache deny QUERY
cache_mem 56 MB
logfile_rotate 10
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SMTP port 25
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
============================================================
=====================================================================
================================================================
Спустя некоторое время обсуждений тут : https://www.opennet.ru/openforum/vsluhforumID1/64272.html
Вобщем так:
Сам сквид поставился и работает нормально(проверенно несколькими сквидами).
Правила IPFW такие:
add 1 fwd 127.0.0.1,80 tcp from any to 192.168.0.100 80
add 2 fwd 10.1.4.1,3128 tcp from any to any 80
add 110 divert natd all from 10.1.4.1/24 to any out xmit dc0
add 210 divert natd all from not 10.1.4.1/24 to any in recv dc0
add 65000 allow all from any to any
Настройки Сквида:
http_port 3128
icp_port 0
acl QUERY urlpath_regex cgi-bin/?
no_cache deny QUERY
cache_mem 32 MB
logfile_rotate 10
ftp_user anonymous@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
acl server src 192.168.0.100/255.255.255.255
acl clients src 10.1.4.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl SMTP port 25
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow server
http_access allow clients
http_access deny !Safe_ports
http_access deny SMTP
http_access deny all
icp_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Если работать с такими правилами и настройками, то в браузере видно только "Аксес Динайн". Это очень плохо. Если же отключить правило в IPFW
"add 2 fwd 10.1.4.1,3128 tcp from any to any 80", то хттп запросы начинаю замечательно НАТиться и в браузере идет страница из и-нета, НО МИМО СКВИДА! это тоже не хорошо.
Если же выключить ВПН соединение и оставить одну только сеть, прописать в браузере явным способом ПРОКСИ и ПОРТ(те которые стоят на сервере) и добавить соответствующие разрешения acl в конфиг Сквида, - то все начинает работать через Сквид и странички грузятся.(при выключеном правиле IPFW, при включеном же правиле форварда, опять таже картина - "Аксесс Динайн")
Вот что в ЛОГ файле Сквида при попытке зайти на страницу(включено правило в фаере):
1140707023.737 835 10.1.4.2 TCP_NEGATIVE_HIT/403 1453 GET https://www.opennet.ru/openforum/vsluhforumID1/63498.html - NONE/- text/html
1140707038.287 5 10.10.6.67 TCP_DENIED/403 1365 GET http://btg.btgrab.com/a/Drk.syn? - NONE/- text/html
1140707038.292 248 10.1.4.2 TCP_MISS/403 1392 GET http://btg.btgrab.com/a/Drk.syn? - DIRECT/204.16.123.10 text/html
Вариант для распечатки
Настройка Squid и других прокси серверов (Public)
(??) on 25-Фев-06, 13:02 
