FreeBSD: Достучаться до Internetа!

[Vadim_C]

Братья! Помогите, а то уже крыша едет - много другой работы, а здесь как то застрял и никак не могу найти выхода.
Надо подключить локальну сеть к выделинку с инетом. Пока просто подключить, без всяких настроек.
Имеется машина с 2 сетевухами - одна в инет, другая в локалку. Установил FreeBSD 6.0, в rc.conf установил вроде все настройки, поставил squid (squid.conf менять не стал - там по умолчанию вроде все разрешено).
Клиент (виндовый сервер) без проблем пиндует оба адреса машины с FreeBSD: и внешний(Internet), и внутренний (local) и даже шлюз провайдера, а вот браузер, или какую другую прогу (TotalCmd) не могу в инет вывести. Столько уже литературы из сети прочитал, а вот все равно туплю. У кого работает, мне бы примерное содержание настроек, у кого как работает, а то шеф скоро из меня котлету будет делать, ему плевать, что у мне еще 35 подчиненных организаций надо на новую конфу перевести!

[bcspm3]

Цитата: Сообщение от Vadim_C поставил squid (squid.conf менять не стал

А какой там порт стоит? 3128? Браузер на тот же порт настроен?

[Vadim_C]

Цитата: Сообщение от bcspm3 А какой там порт стоит? 3128? Браузер на тот же порт настроен?

Да, этот порт.

[haos912]

а соединение с инетом устанавливается?
какой протокол, случаем не РРРоЕ?

А SQUID запустился нармально
У меня нармально работаль на linux и на FreeBSD NetBSD
Вот так пробовал еше squid -z
а потом так squid -Y -D -f $conf_file
вот тебе рабочий conf
http_port 3128
https_port 3128
icp_port 0
#htcp_port 0
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
icp_query_timeout 0
maximum_icp_query_timeout 2000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache_mem 96 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
cache_dir ufs /var/squid/cache 26624 16 256
cache_access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log /var/squid/logs/store.log
emulate_httpd_log off
log_ip_on_direct on
mime_table /usr/pkg/etc/squid/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
log_fqdn off
client_netmask 255.255.255.255
ftp_user [email protected]
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
hosts_file /etc/hosts
diskd_program /usr/pkg/libexec/diskd
unlinkd_program /usr/pkg/libexec/unlinkd
pinger_program /usr/pkg/libexec/pinger
#redirect_rewrites_host_header on
#auth_param basic program <uncomment and complete this line>
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
wais_relay_port 0
request_header_max_size 20 KB
request_body_max_size 0 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 5 minute
positive_dns_ttl 6 hour
negative_dns_ttl 1 minute
range_offset_limit 0 KB
forward_timeout 4 minutes
connect_timeout 1 minute
peer_connect_timeout 30 seconds
read_timeout 15 minute
request_timeout 5 minute
persistent_request_timeout 1 minute
client_lifetime 1 day
pconn_timeout 120 second
ident_timeout 10 seconds
shutdown_lifetime 30 second
########
#httpd_accel_port 80
#httpd_accel_single_host off
#httpd_accel_with_proxy off
#httpd_accel_uses_host_header off
#httpd_accel_no_pmtu_disc off
###########
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/24
no_cache deny QUERY un_cache

###########
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports

http_access allow our_networks
http_access deny all

http_reply_access allow all
icp_access allow all
###########

reply_header_max_size 20 KB
reply_body_max_size 0 allow all
cache_mgr [email protected]
mail_program [email protected]
cache_effective_user squid
cache_effective_group squid
visible_hostname mx.yourdomain.com
unique_hostname mx.yourdomain.com
announce_period 0 hour
logfile_rotate 10
memory_pools on
memory_pools_limit 50 MB
forwarded_for on
log_icp_queries on
error_directory /usr/pkg/share/squid/errors/Russian-1251
maximum_single_addr_tries 1
retry_on_error off
snmp_port 3401
snmp_access deny all
snmp_incoming_address 0.0.0.0
snmp_outgoing_address 255.255.255.255

[Shardin]

Ну осталось только логи сюда выложить /var/squid/log/acess.log

ЗЫ только весь не надо ;)

[itprokhor]

Цитата: Сообщение от Shardin Ну осталось только логи сюда выложить /var/squid/log/acess.log ЗЫ только весь не надо ;)

И настройки клиентских машин: сеть, маска, DNS, gateway, настройки броузера и т.д., в общем подробней опиши проблему.

У меня работает без сквида примерно так:
машина с FreeBSD с тремя картами - 1.провайдер, 2.локалка, 3.DMZ.
на машине установлен PF-firewall, и настроен тунель для dmz (внешний интерфейс и dmz из одной подсети, в dmz реальные интернет адреса)
в файервол добавлены правила NAT и всякие ограничения по портам для локальной сети, трафик локальных пользователей считаеться с помошью trafd (BPFT) и кладеться в mysql базу.
Если будут вопросы, обращайся, постараюсь помочь.

[fander]

Цитата: Сообщение от itprokhor У меня работает без сквида примерно так: машина с FreeBSD с тремя картами - 1.провайдер, 2.локалка, 3.DMZ. на машине установлен PF-firewall, и настроен тунель для dmz (внешний интерфейс и dmz из одной подсети, в dmz реальные интернет адреса) в файервол добавлены правила NAT и всякие ограничения по портам для локальной сети, трафик локальных пользователей считаеться с помошью trafd (BPFT) и кладеться в mysql базу. Если будут вопросы, обращайся, постараюсь помочь.

а какими скриптами в базу кидаешь???

А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

[ctkuoyf]

Копайте в сторону NATD

Цитата: Сообщение от Vadim_C Братья! Помогите, а то уже крыша едет - много другой работы, а здесь как то застрял и никак не могу найти выхода. Надо подключить локальну сеть к выделинку с инетом. Пока просто подключить, без всяких настроек. Имеется машина с 2 сетевухами - одна в инет, другая в локалку. Установил FreeBSD 6.0, в rc.conf установил вроде все настройки, поставил squid (squid.conf менять не стал - там по умолчанию вроде все разрешено). Клиент (виндовый сервер) без проблем пиндует оба адреса машины с FreeBSD: и внешний(Internet), и внутренний (local) и даже шлюз провайдера, а вот браузер, или какую другую прогу (TotalCmd) не могу в инет вывести. Столько уже литературы из сети прочитал, а вот все равно туплю. У кого работает, мне бы примерное содержание настроек, у кого как работает, а то шеф скоро из меня котлету будет делать, ему плевать, что у мне еще 35 подчиненных организаций надо на новую конфу перевести!

нужно включить в rc.conf natd на внешнем интерфейсе, настроить конфиг и сделать divert в ipfw

[qdmitry]

Если задачи учета пока не стоит, а сделать надо очень быстро, то лучше действительно использовать Nat, настроек там значительно меньше, один файл с 5-10 строчками. Правда нужен файрвол.
Пинги идут по другому порту и не имеют отношения к squid.
С клиента DNS работает?
Какую ошибку выдает браузер?
telnet-ом с клиента можно подсоедитьься к серверу к порту 3128?

Лучше используй ipnat, он работает на уровне ядра. natd уже в прошлом.
cat /etc/ipnat.rules
map EXT_IFACE 10.0.0.0/16 -> 111.111.111.111/32

,где 111.111.111.111 - внешний ip на внешнем интерфейсе.

Осталось прописать в rc.conf

ipnat_enable="YES" # Set to YES to enable ipnat functionality
ipnat_program="/sbin/ipnat" # where the ipnat program lives
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat

ядро пересобирать не надо, все подгрузится модулями.

[xilian]

Цитата: Сообщение от Poisonua map EXT_IFACE 10.0.0.0/16 -> 111.111.111.111/32

map fxp1 192.168.0.0/24 -> 81.81.81.81/32 portmap 40000:60000 -
это на 20000 соединений.

для ftp :
map fxp1 192.168.0.0/24 -> 81.81.81.81./32 proxy port ftp ftp/tcp

и в консоли сервака route add default 81.81.81.81
и в DHCP или на локальных станциях пропиши адрес сервака в GateWay.

Squid потом добьёшь. Он у тебя на какой IP кстати повесился?