forum.opennet.ru - "Squid + PF" (4)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"Squid + PF"

Форум Настройка Squid и других прокси серверов (Squid)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Squid + PF"	+/–
Сообщение от kamerad (ok) on 07-Окт-16, 14:40
Есть стенд. Установил включил Squid. Он работает. Как только настраиваю и включаю PF, squid перестает работать и более не стартует. Настройки сквида дефолтные поправил только: # Squid normally listens to port 3128 http_port 3128 http_port 127.0.0.1:3128 intercept pf.conf ext_if = "hn0" # macro for external interface int_if = "hn1" # macro for internal interface nat on $ext_if from $int_if:network to any -> ($ext_if) #nat on $ext_if from !($ext_if)->($ext_if:0) rdr on $int_if inet proto tcp from any to any port www -> 127.0.0.1 port 3128 tcp_services = "{ ssh, smtp, domain, http, https, 821, 1723, nfsd, rpcbind }" ftp_ports = "{ ftp, ftp-data }" udp_services = "{ domain, ntp, rpcbind, 821, 1723, nfsd }" block in all pass quick inet proto gre to any keep state pass quick inet proto { tcp, udp } from any to any port $ftp_ports keep state pass quick inet proto { tcp, udp } from any to any port > 18000 keep state pass quick inet proto udp to any port $udp_services keep state pass quick inet proto tcp to any port $tcp_services keep state pass quick inet proto icmp from any to any pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state pass quick inet proto { tcp, udp } from any to port { nfsd, rpcbind } keep state # mountd -p 883 pass quick inet proto { tcp, udp } from any to port 883 keep state # rpc.lockd -p 884 pass quick inet proto { tcp, udp } from any to port 884 keep state # rpc.statd -p 885 pass quick inet proto { tcp, udp } from any to port 885 keep state block in log all rc.conf hostname="BSD" sshd_enable="YES" ntpd_enable="YES" ifconfig_hn0="inet 172.17.9.25 255.255.254.0" ifconfig_hn1="inet 192.168.0.1 255.255.255.0" # Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="AUTO" defaultrouter="172.17.8.1" inetd_enable="YES" ftpd_enable="YES" named_enable="YES" sendmail_enable="YES" dhcpd_enable="YES" dhcpd_ifaces="hn1" squid_enable="YES" pf_enable="YES" # Enable PF (load module if required) pf_rules="/etc/pf.conf" # rules definition file for pf pf_flags="" # additional flags for pfctl startup pflog_enable="YES" # start pflogd(8) pflog_logfile="/var/log/pflog" # where pflogd should store the logfile pflog_flags="" # additional flags for pflogd startup gateway_enable="YES" /etc/sysctl.conf sysctl -w net.inet.ip.forwarding=1 логи сквида: 2016/10/07 14:28:33 kid1\| Set Current Directory to /var/squid/cache 2016/10/07 14:28:33 kid1\| Starting Squid Cache version 3.5.20 for i386-portbld-freebsd10.1... 2016/10/07 14:28:33 kid1\| Service Name: squid 2016/10/07 14:28:33 kid1\| Process ID 1041 2016/10/07 14:28:33 kid1\| Process Roles: worker 2016/10/07 14:28:33 kid1\| With 113562 file descriptors available 2016/10/07 14:28:33 kid1\| Initializing IP Cache... 2016/10/07 14:28:33 kid1\| DNS Socket created at [::], FD 6 2016/10/07 14:28:33 kid1\| DNS Socket created at 0.0.0.0, FD 8 2016/10/07 14:28:33 kid1\| Adding nameserver 127.0.0.1 from /etc/resolv.conf 2016/10/07 14:28:33 kid1\| Adding domain test.dom from /etc/resolv.conf 2016/10/07 14:28:33 kid1\| Logfile: opening log daemon:/var/log/squid/access.log 2016/10/07 14:28:33 kid1\| Logfile Daemon: opening log /var/log/squid/access.log 2016/10/07 14:28:33 kid1\| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec 2016/10/07 14:28:33 kid1\| Store logging disabled 2016/10/07 14:28:33 kid1\| Swap maxSize 0 + 262144 KB, estimated 20164 objects 2016/10/07 14:28:33 kid1\| Target number of buckets: 1008 2016/10/07 14:28:33 kid1\| Using 8192 Store buckets 2016/10/07 14:28:33 kid1\| Max Mem size: 262144 KB 2016/10/07 14:28:33 kid1\| Max Swap size: 0 KB 2016/10/07 14:28:33 kid1\| Using Least Load store dir selection 2016/10/07 14:28:33 kid1\| Set Current Directory to /var/squid/cache 2016/10/07 14:28:33 kid1\| Finished loading MIME types and icons. 2016/10/07 14:28:33 kid1\| HTCP Disabled. 2016/10/07 14:28:33\| pinger: Initialising ICMP pinger ... 2016/10/07 14:28:33\| pinger: ICMP socket opened. 2016/10/07 14:28:33\| pinger: ICMPv6 socket opened
Ответить \| Правка \| Cообщить модератору

Оглавление

Squid + PF, Z, 14:44 , 10-Окт-16, (1)

Squid + PF, kamerad, 16:59 , 10-Окт-16, (2)

Squid + PF, Z, 08:59 , 11-Окт-16, (3)

Squid + PF, kamerad, 15:20 , 12-Окт-16, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Squid + PF" +/–

Сообщение от Z (??) on 10-Окт-16, 14:44

set skip on lo0 ?
Правила не очень хорошо написаны.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid + PF" +/–

Сообщение от kamerad (ok) on 10-Окт-16, 16:59

> set skip on lo0 ?
> Правила не очень хорошо написаны.
Какие?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Squid + PF" +/–

Сообщение от Z (??) on 11-Окт-16, 08:59

> Какие?
block in all
pass quick inet proto gre to any keep state
- у Bас включен какой-то транспорт, использующий GRE?
- было бы неплохо указывать в правилах интерфейс, на котором ожидаем пакеты и направление:
- pass in quick on $int_if inet proto ...
- опция keep state позволит получить ответы
pass quick inet proto { tcp, udp } from any to any port $ftp_ports keep state
pass quick inet proto { tcp, udp } from any to any port > 18000 keep state
- желательно указывать от каких адресов можно ходить на какие-то порты,
- в случае отсутствия правил трансляции вo вне могут уехать внутренние адреса
- как вариант можно использовать tag & tagged
pass quick inet proto udp to any port $udp_services keep state
pass quick inet proto tcp to any port $tcp_services keep state
- тоже самое по direction/interface/from any
pass quick inet proto icmp from any to any
- обычно ограничивают тип сообщений
- pass .... proto icmp from ... to ... icmp-type echoreq ...
...
аналогично
...
block in log all
- дублирование открывающего правила

рекомендую: http://calomel.org/ + http://dreamcatcher.ru/ + man pf =)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Squid + PF" +/–

Сообщение от kamerad (ok) on 12-Окт-16, 15:20

Спасибо! Сел и просто сам написал конфиг и все заработало, до этого брал некий стандартный и пытался привести его к своему виду.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid + PF"	+/–
Сообщение от Z (??) on 10-Окт-16, 14:44
set skip on lo0 ? Правила не очень хорошо написаны.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Squid + PF"	+/–
	Сообщение от kamerad (ok) on 10-Окт-16, 16:59
	> set skip on lo0 ? > Правила не очень хорошо написаны. Какие?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Squid + PF"	+/–
	Сообщение от Z (??) on 11-Окт-16, 08:59
	> Какие? block in all pass quick inet proto gre to any keep state - у Bас включен какой-то транспорт, использующий GRE? - было бы неплохо указывать в правилах интерфейс, на котором ожидаем пакеты и направление: - pass in quick on $int_if inet proto ... - опция keep state позволит получить ответы pass quick inet proto { tcp, udp } from any to any port $ftp_ports keep state pass quick inet proto { tcp, udp } from any to any port > 18000 keep state - желательно указывать от каких адресов можно ходить на какие-то порты, - в случае отсутствия правил трансляции вo вне могут уехать внутренние адреса - как вариант можно использовать tag & tagged pass quick inet proto udp to any port $udp_services keep state pass quick inet proto tcp to any port $tcp_services keep state - тоже самое по direction/interface/from any pass quick inet proto icmp from any to any - обычно ограничивают тип сообщений - pass .... proto icmp from ... to ... icmp-type echoreq ... ... аналогично ... block in log all - дублирование открывающего правила рекомендую: http://calomel.org/ + http://dreamcatcher.ru/ + man pf =)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Squid + PF"	+/–
	Сообщение от kamerad (ok) on 12-Окт-16, 15:20
	Спасибо! Сел и просто сам написал конфиг и все заработало, до этого брал некий стандартный и пытался привести его к своему виду.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору