https://www.opennet.ru/openforum/vsluhforumID12/7020.html Добрый день Всем.<br>Прошу помощи у сообщества, так как не удется настроить прозрачный прокси сервер.<br>Конфигурация следующая: FreeBSD 9.1, Squid 3.3.8<br>Ситуация такова: в обычном режиме все работает без проблем. Когда меняю конфиги на прозрачный режим, перестают грузится сайты, но скайп и остальное работают, то есть такое впечатление, что 80 порт не редиректиться правильно.<br>Ниже предоставляю конфиги:<br>squid.conf<br><br>acl localnet src 10.0.0.0/8 # RFC1918 possible internal network<br>acl localnet src 172.16.0.0/12 # RFC1918 possible internal network<br>acl localnet src 192.168.0.0/16 # RFC1918 possible internal network<br>acl localnet src fc00::/7 # RFC 4193 local private network range<br>acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines<br><br>acl my_network src 192.168.50.0/24<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80 # http<br>acl Safe_ports port 21 # ftp<br>acl Safe_ports port 443 # https<br>acl Safe_ports port 70 # gopher<br>acl Safe_ports po https://www.opennet.ru/openforum/vsluhforumID12/7020.html#13 Thu, 18 Sep 2014 09:30:43 GMT &gt;[оверквотинг удален]<br>&gt; Давайте от простого к сложному.<br>&gt; Загрузите минимальный набор правил.<br>&gt; После, добавляйте/усложняйте по вкусу.<br>&gt; add 50 divert natd all from any to any via bge1 <br>&gt; add 100 allow all from any to any via lo0 <br>&gt; add 200 deny all from any to 127.0.0.0/8 <br>&gt; add 300 deny all from 127.0.0.0/8 to any <br>&gt; add 400 fwd 127.0.0.1,3128 tcp from any to any 80 in recv <br>&gt; bge0 <br>&gt; add 500 allow all from any to any <br><br>Попробовал сделать по вашему рецепту. Первая же строка нафик обрубает подключение по ssl и пропадают пинги. Это нормально? <br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#12 Mon, 19 Aug 2013 11:46:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; После этого <br>&gt;&gt; cd /usr/src/ <br>&gt;&gt; make buildkernel KERNCONF=mykernel <br>&gt;&gt; make installkernel KERNCONF=mykernel <br>&gt;&gt; Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки <br>&gt;&gt; ipfw_load="YES" <br>&gt;&gt; ipdivert_load="YES" <br>&gt;&gt; P.S. Рекомендую вместо natd использовать kernel nat <br>&gt; Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту. <br>&gt; Буду пробовать. Об результатах обязательно сообщу.<br><br>Добрый день. После перекомпиляции ядра все пошло. Спасибо большое за советы!<br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#11 Tue, 13 Aug 2013 13:32:04 GMT &gt;[оверквотинг удален]<br>&gt; на <br>&gt; ident mykernel <br>&gt; После этого <br>&gt; cd /usr/src/ <br>&gt; make buildkernel KERNCONF=mykernel <br>&gt; make installkernel KERNCONF=mykernel <br>&gt; Отключить в loader.conf загрузку ipdivert закомментировав или удалив строки <br>&gt; ipfw_load="YES" <br>&gt; ipdivert_load="YES" <br>&gt; P.S. Рекомендую вместо natd использовать kernel nat <br><br>Спасибо большое за совет. Чесно говоря я тоже склонялся к этому варианту.<br>Буду пробовать. Об результатах обязательно сообщу.<br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#10 Tue, 13 Aug 2013 09:55:09 GMT &gt; Я не не делал перекомпиляции ядра.<br><br>Для включения fwd пересобирать ядро всё же необходимо.<br>Вот кусок man ipfw который чётко об этом говорит.<br><br>To enable fwd a custom kernel needs to be compiled with the<br>option options IPFIREWALL_FORWARD.<br><br>А вот для включения divert можно использовать два варианта.<br><br>man divert<br><br>To enable support for divert sockets, place the following lines in the<br>kernel configuration file:<br><br> options IPFIREWALL<br> options IPDIVERT<br><br>Alternatively, to load divert as a module at boot time, add the following<br>lines into the loader.conf(5) file:<br><br> ipfw_load="YES"<br> ipdivert_load="YES"<br><br>Если будете компилировать ядро включите туда и divert<br>то есть добавьте следующее.<br><br>options IPFIREWALL # firewall<br>options IPFIREWALL_VERBOSE # enable logging to syslogd(8)<br>options IPFIREWALL_VERBOSE_LIMIT=10 # limit verbosity<br>options IPFIREWALL_DEFAULT_TO_ACCEPT # allow everything by default<br>options IPFIREWA https://www.opennet.ru/openforum/vsluhforumID12/7020.html#9 Tue, 13 Aug 2013 08:50:42 GMT &gt;&gt; Загрузил правила, согласно вашим рекомендациям. Выхлоп: <br>&gt;&gt; 00050 702 475601 divert 8668 ip from any to any via bge1 <br>&gt;&gt; 00100 0 0 allow ip from any to any via lo0 <br>&gt;&gt; 00200 0 0 deny ip from any to 127.0.0.0/8 <br>&gt;&gt; 00300 0 0 deny ip from 127.0.0.0/8 to any <br>&gt;&gt; 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0 <br>&gt; Форвардится только ОДИН IP ?????<br><br>Это моя машина, делаю так, чтобы не трогать пользователей.<br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#8 Tue, 13 Aug 2013 08:39:59 GMT &gt; Загрузил правила, согласно вашим рекомендациям. Выхлоп: <br>&gt; 00050 702 475601 divert 8668 ip from any to any via bge1 <br>&gt; 00100 0 0 allow ip from any to any via lo0 <br>&gt; 00200 0 0 deny ip from any to 127.0.0.0/8 <br>&gt; 00300 0 0 deny ip from 127.0.0.0/8 to any <br>&gt; 00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0 <br><br>Форвардится только ОДИН IP ?????<br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#7 Tue, 13 Aug 2013 08:32:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 2013/08/13 12:14:00 kid1&#124; Accepting HTTP Socket connections at local=0.0.0.0:3129 <br>&gt;&gt; remote=[::] FD 12 flags=9 <br>&gt;&gt; Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted <br>&gt;&gt; : <br>&gt;&gt; tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges <br>&gt;&gt; 2013/08/12 12:32:25.779&#124; tools.cc(758) enter_suid: enter_suid: setresuid failed: <br>&gt;&gt; (1) Operation not permitted <br>&gt;&gt; Результат к сожалению тот же.<br>&gt; Покажите вывод <br>&gt; cat /usr/src/sys/`uname -m`/conf/`uname -i` &#124; grep IPFIREWALL <br><br>Вывод - пустая строка. <br>Я не не делал перекомпиляции ядра.<br>Вот вывод kldstat и sysctl<br><br> sysctl -a &#124; grep forward<br>kern.smp.forward_signal_enabled: 1<br>net.inet.ip.forwarding: 1<br>net.inet.ip.fastforwarding: 0<br>net.inet6.ip6.forwarding: 0<br>net.wlan.hwmp.replyforward: 1<br><br> kldstat<br>Id Refs Address Size Name<br> 1 12 0xffffffff80200000 1323408 kernel<br> 2 3 0xffffffff81612000 cf6e ipfw.ko<br> 3 1 0xffffffff8161f000 a07d https://www.opennet.ru/openforum/vsluhforumID12/7020.html#6 Tue, 13 Aug 2013 07:41:20 GMT &gt;[оверквотинг удален]<br>&gt; 2013/08/13 12:14:00 kid1&#124; Accepting NAT intercepted HTTP Socket connections at local=127.0.0.1:3128 <br>&gt; remote=[::] FD 11 flags=41 <br>&gt; 2013/08/13 12:14:00 kid1&#124; Accepting HTTP Socket connections at local=0.0.0.0:3129 <br>&gt; remote=[::] FD 12 flags=9 <br>&gt; Также включал дебаг по этому WARNING: no_suid: setuid(0): (1) Operation not permitted <br>&gt; : <br>&gt; tools.cc(755) enter_suid: enter_suid: PID 70354 taking root privileges <br>&gt; 2013/08/12 12:32:25.779&#124; tools.cc(758) enter_suid: enter_suid: setresuid failed: <br>&gt; (1) Operation not permitted <br>&gt; Результат к сожалению тот же.<br><br>Покажите вывод<br>cat /usr/src/sys/`uname -m`/conf/`uname -i` &#124; grep IPFIREWALL<br> https://www.opennet.ru/openforum/vsluhforumID12/7020.html#5 Tue, 13 Aug 2013 06:15:24 GMT &gt;[оверквотинг удален]<br>&gt; http_access allow localnet <br>&gt; заменить на <br>&gt; http_access allow my_network <br>&gt; Строку <br>&gt; http_port 3128 intercept <br>&gt; заменить на <br>&gt; http_port 127.0.0.1:3128 intercept <br>&gt; Убрать строку <br>&gt; http_port 3129 <br>&gt; Выхлоп ipfw show покажите.<br><br>Загрузил правила, согласно вашим рекомендациям. Выхлоп:<br><br>00050 702 475601 divert 8668 ip from any to any via bge1<br>00100 0 0 allow ip from any to any via lo0<br>00200 0 0 deny ip from any to 127.0.0.0/8<br>00300 0 0 deny ip from 127.0.0.0/8 to any<br>00400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.50.128 to any dst-port 80 in recv bge0<br>00500 1474 957392 allow ip from any to any<br>65535 9194 553357 allow ip from any to any<br><br>Также поправил конфиг сквида, но строку http_port 3129 если коментирую то сквид не ругается:<br>ERROR: No forward-proxy ports configured.<br>Согласно информации з гугла, для прозрачного прокси нужен еще один порт.<br><br>Вот конфиг сквида новый:<br>acl localhost src 127.0.0.1/32<br>acl my_network src 192.168.50