Re: [FreeBSD] Re: IPFW ve Squid ile transparan proxy

[Zafer BAHADIR]

FreeBSD üzerinde bu şekilde bir deneyimim hiç olmadı. :)
Örneğinizi denemek istiyorum, çalıştığından emin olduktan sonra izin 
verirseniz sitemizde yayınlamak isteriz çünkü bu değerli deneyimler 
kaybolmasın ve denemek isteyenler için kolayca erişilebilsin.

Cagri Ersen yazmış:
Tekrar merhaba,

Sorunu çözdüm, ileride belki başka arkadaşların da ihtiyacı olabilir;

IPFW'nin forward eden rule'u stateless olduğu için squid'in yaptığı 
istekler için dışarıdan gelen cevaplar kabul edilmiyordu.
kurala keep-state parametresini ekleyerek sorunu cozdum. Bu sekilde 
baglantinin durumu takip edildigi icin cevaben gelen paketler kabul 
ediliyor.

$cmd 00500 fwd 127.0.0.1 <http://127.0.0.1/>,3128 $log tcp from any to 
any 80 in recv $lanif keep-state

Kolay gelsin.



2008/11/23 Cagri Ersen <[EMAIL PROTECTED] 
<mailto:[EMAIL PROTECTED]>>

    Merhaba,

    IPFW+Squid ile transparan proxy yapılandırması ile uğraşıyorum.
    Bir FreeBSD 7.0 üzerinde IPFW'yi devreye aldım ve squid 2.7 kurdum.

    Squid'in conf dosyası aşağıdaki gibi:

        acl manager proto cache_object
        acl localhost src 127.0.0.1/32 <http://127.0.0.1/32>
        acl to_localhost dst 127.0.0.0/8 <http://127.0.0.0/8>
        acl all src all
        acl localnet src 192.168.12.0/24 <http://192.168.12.0/24>
        acl SSL_ports port 443
        acl Safe_ports port 80          # http
        acl Safe_ports port 21          # ftp
        acl Safe_ports port 443         # https
        acl Safe_ports port 70          # gopher
        acl Safe_ports port 210         # wais
        acl Safe_ports port 1025-65535  # unregistered ports
        acl Safe_ports port 280         # http-mgmt
        acl Safe_ports port 488         # gss-http
        acl Safe_ports port 591         # filemaker
        acl Safe_ports port 777         # multiling http
        acl CONNECT method CONNECT
        http_access allow manager localhost
        http_access deny manager
        http_access deny !Safe_ports
        http_access deny CONNECT !SSL_ports
        http_access allow localnet
        icp_access allow localnet
        icp_access deny all
        http_port 3128 transparent
        hierarchy_stoplist cgi-bin ?
        access_log /usr/local/squid/logs/access.log squid
        refresh_pattern ^ftp:           1440    20%     10080
        refresh_pattern ^gopher:        1440    0%      1440
        refresh_pattern (cgi-bin|\?)    0       0%      0
        refresh_pattern .               0       20%     4320
        icp_port 3130
        coredump_dir /usr/local/squid/cache


    IPFW'de, aşağıdaki örnek satırda görüldüğü gibi içeriden 80'e
    gelen istekleri 3128'e iletiyorum.

        $cmd 00500 fwd 127.0.0.1 <http://127.0.0.1>,3128 $log tcp from
        any to any 80 in recv $lanif       #PROXY

     
    Bu yapıda, eğer IPFW'de herşeyi allow edersem proxy transparan
    olarak çalışabiliyor ve iç networkteki bilgisayarlar
    Ancak firewall politikasini değiştirip herşeyi deny ettikten sonra
    izinli portlari vs. tanimlarsam sorun oluşuyor.

    Herşeyin deny edildiği örnek firewall rule'ları aşağıda.

        $cmd 00010 allow all from any to any via lo0      

     $cmd 00015 check-state                                  

        $cmd 00020 allow tcp from any to any established  
        $cmd 00021 deny all from any to any frag in via $adslif
        $cmd 00025 allow all from me to any keep-state
        $cmd 00050 allow tcp from "table()" to any keep-state

        $cmd 00500 fwd 127.0.0.1 <http://127.0.0.1>,3128 $log tcp from
        any to any 80 in recv $lanif       #PROXY

        #DNS
        $cmd 00600 allow all from $lan to any 53
        $cmd 00602 allow udp from any 53 to any out via $lanif
        keep-state  #Geri donus
        $cmd 00603 allow udp from any 53 to any in via $adslif
        keep-state  #Geri donus

        $cmd 01500 allow all from $lan to any 443,25,110 keep-state
        $cmd 02000 deny $log all from any to
        any                                #Geri kalan hersey yasakli


    Bu yapıda deneme yaptığımda ipfw loglarında geçen herhangi bir
    ters duruma rastlamadım. ( ya da yakalayamadım.) Aynı zamanda,
    squid'in access logunda herhangi bir işlem kaydı bulunmuyor. Yani
    sanki ipfw yönlendirme işini yapamıyor gibi. Muhtemelen gözümden
    bir şey kaçıyor ama henüz çözüm bulamadım.

    Daha önce benzer bir durumla karşışatınız mı acaba ?
    Şimdiden teşekkür ederim.

    Not: Network bir dsl modemim arkasında bulunuyor ve kullanulan ip
    networkü 192.168.12.0/24 <http://192.168.12.0/24>
    -- 
    Cagri Ersen




--
Cagri Ersen


FreeBSD 6 kitabi: http://www.acikakademi.com/catalog/freebsd6
---------------------------------------------------------------------
Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz.

Cikmak icin, e-mail: [EMAIL PROTECTED]
Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey