https://www.opennet.ru/openforum/vsluhforumID12/5059.html Доброго времени суток, господа.<br>Имеется:<br>FreeBSD 6.2-RELEASE<br>Squid 2.6<br>rl0 - локальная сеть<br>tun0 - подключение по pptp<br><br>Следует сделать прозрачную проксю, чтобы:<br>клиенты, подключенные к rl0 могли не прописывая проксю(это работает) в браузере выходить в интет, прописав только в качестве шлюза IP машины на FreeBSD.<br><br>Манов на эту тему много и большинство сводится к:<br><br>1) Добавление в rc.local<br>#gateway_enable="YES"<br>+<br>2)Перенаправление всех запросов 80 порта на squid:<br>ipfw add 1110 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 # Сетка 192.168.0.1-255<br>+нет проблем<br>3)Добавление в squid.conf<br>httpd_accel_host virtual<br>httpd_accel_port 80<br>httpd_accel_with_proxy on<br>httpd_accel_uses_host_header on<br><br>Однако в ветке 2.6 http://www.opennet.ru/opennews/art.shtml?num=7824 пишут:<br>Директивы httpd_accel_* объявлены устаревшими, на смену им пришли ключи "accelerated" и "transparent" для директив задающих номер прослушиваемого сетевого порта (http_port);<br><br>Подскажите,пожалуйста, что надо сделать.<br>И в https://www.opennet.ru/openforum/vsluhforumID12/5059.html#5 Tue, 23 Jun 2009 11:33:17 GMT &gt;[оверквотинг удален]<br>&gt;прокси может определить к какому хосту соединяться: <br>&gt;<br>&gt;CONNECT mail.google.com:443 HTTP/1.1 <br>&gt;User-Agent: Mozilla/5.0 <br>&gt;Proxy-Connection: keep-alive <br>&gt;Host: mail.google.com <br>&gt;<br>&gt;&lt;дальше идёт SSL&gt;<br>&gt;<br>&gt;проверьте при помощи tcpdump <br><br>Так как всё таки решить проблему https, squid and transparent ?<br> https://www.opennet.ru/openforum/vsluhforumID12/5059.html#4 Mon, 13 Aug 2007 15:04:30 GMT На 443-й порт соединение устанавливается сразу завёрнутое в SSL и полностью зашифрованное, там нет никаких текстовых заголовков -- соответственно, Squid не может распознать, к какому хосту обращается браузер.<br><br>В случае соединения через настроенный прокси браузер делает приблизительно такой запрос и прокси может определить к какому хосту соединяться:<br><br>CONNECT mail.google.com:443 HTTP/1.1<br>User-Agent: Mozilla/5.0<br>Proxy-Connection: keep-alive<br>Host: mail.google.com<br><br>&lt;дальше идёт SSL&gt;<br><br>проверьте при помощи tcpdump<br> https://www.opennet.ru/openforum/vsluhforumID12/5059.html#3 Mon, 13 Aug 2007 14:50:46 GMT acl src lnet 192.168.0.0/24<br>http_access allow lnet all<br> https://www.opennet.ru/openforum/vsluhforumID12/5059.html#2 Mon, 13 Aug 2007 14:07:24 GMT &gt;Я не спец по сквиду, но возможно: <br>&gt;http_port 3128 transparent <br><br>Большое спасибо, заработало!<br><br>Итак, прозрачная прокся:<br><br>1) Добавление в rc.local<br>#gateway_enable="YES"<br>2) Перенаправление всех запросов 80 порта на squid:<br>ipfw add 1110 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 # Сетка 192.168.0.1-255<br>3) добавление в squid.conf<br>http_port 3128 transparent<br><br><br>&gt;Squid сможет обработать только http и ftp запросы. Можно разрешить метод <br>&gt;CONNECT, тогда станет возможным https и вообще любые TCP-соединения. Пинг <br>&gt;идёт не через TCP, а через ICMP. <br><br>Ок, теперь по поводу https.<br><br>1) squid.conf:<br>acl all src 0.0.0.0/0.0.0.0<br>acl manager proto cache_object<br>acl localhost src 127.0.0.1/255.255.255.255<br>acl to_localhost dst 127.0.0.0/8<br>acl SSL_ports port 443 563<br>acl Safe_ports port 80 # http<br>acl Safe_ports port 21 # ftp<br>acl Safe_ports port 443 563 # https, snews <br>acl Safe_ports port 70 # gopher<br>acl Safe_ports port 210 # wais<br>acl Safe_ports port 1025- https://www.opennet.ru/openforum/vsluhforumID12/5059.html#1 Mon, 13 Aug 2007 00:01:03 GMT &gt;Однако в ветке 2.6 http://www.opennet.ru/opennews/art.shtml?num=7824 пишут: <br>&gt;Директивы httpd_accel_* объявлены устаревшими, на смену им пришли ключи "accelerated" и "" <br>&gt;для директив задающих номер прослушиваемого сетевого порта (http_port); <br><br>Я не спец по сквиду, но возможно:<br>http_port 3128 transparent<br><br>&gt;Соответственно будет идти только траффик по 80 порту. А можно ли сделать, <br>&gt;чтобы пользователь мог пинговать и прочее. По моему смутному представлению этим <br>&gt;может заниматься только natd. <br><br>Squid сможет обработать только http и ftp запросы. Можно разрешить метод CONNECT, тогда станет возможным https и вообще любые TCP-соединения. Пинг идёт не через TCP, а через ICMP.<br><br>