FreeBSD: Достучаться до Internetа!

Vadim_C · 17.05.2006, 18:24

Братья! Помогите, а то уже крыша едет - много другой работы, а здесь как то застрял и никак не могу найти выхода.
Надо подключить локальну сеть к выделинку с инетом. Пока просто подключить, без всяких настроек.
Имеется машина с 2 сетевухами - одна в инет, другая в локалку. Установил FreeBSD 6.0, в rc.conf установил вроде все настройки, поставил squid (squid.conf менять не стал - там по умолчанию вроде все разрешено).
Клиент (виндовый сервер) без проблем пиндует оба адреса машины с FreeBSD: и внешний(Internet), и внутренний (local) и даже шлюз провайдера, а вот браузер, или какую другую прогу (TotalCmd) не могу в инет вывести. Столько уже литературы из сети прочитал, а вот все равно туплю. У кого работает, мне бы примерное содержание настроек, у кого как работает, а то шеф скоро из меня котлету будет делать, ему плевать, что у мне еще 35 подчиненных организаций надо на новую конфу перевести!

bcspm3 · 17.05.2006, 18:35

Цитата:

Сообщение от Vadim_C


	поставил squid (squid.conf менять не стал

А какой там порт стоит? 3128? Браузер на тот же порт настроен?

Vadim_C · 17.05.2006, 18:40

Цитата:

Сообщение от bcspm3


	А какой там порт стоит? 3128? Браузер на тот же порт настроен?

Да, этот порт.

haos912 · 18.05.2006, 08:39

а соединение с инетом устанавливается?
какой протокол, случаем не РРРоЕ?

24.05.2006, 13:31

А SQUID запустился нармально
У меня нармально работаль на linux и на FreeBSD NetBSD
Вот так пробовал еше squid -z
а потом так squid -Y -D -f $conf_file
вот тебе рабочий conf
http_port 3128
https_port 3128
icp_port 0
#htcp_port 0
udp_incoming_address 0.0.0.0
udp_outgoing_address 255.255.255.255
icp_query_timeout 0
maximum_icp_query_timeout 2000
mcast_icp_query_timeout 2000
dead_peer_timeout 10 seconds
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache_mem 96 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024
cache_replacement_policy lru
cache_dir ufs /var/squid/cache 26624 16 256
cache_access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log /var/squid/logs/store.log
emulate_httpd_log off
log_ip_on_direct on
mime_table /usr/pkg/etc/squid/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid.pid
debug_options ALL,1
log_fqdn off
client_netmask 255.255.255.255
ftp_user IEUser@
ftp_list_width 32
ftp_passive on
ftp_sanitycheck on
ftp_telnet_protocol on
dns_retransmit_interval 5 seconds
dns_timeout 2 minutes
hosts_file /etc/hosts
diskd_program /usr/pkg/libexec/diskd
unlinkd_program /usr/pkg/libexec/unlinkd
pinger_program /usr/pkg/libexec/pinger
#redirect_rewrites_host_header on
#auth_param basic program <uncomment and complete this line>
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds
wais_relay_port 0
request_header_max_size 20 KB
request_body_max_size 0 KB
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
negative_ttl 5 minute
positive_dns_ttl 6 hour
negative_dns_ttl 1 minute
range_offset_limit 0 KB
forward_timeout 4 minutes
connect_timeout 1 minute
peer_connect_timeout 30 seconds
read_timeout 15 minute
request_timeout 5 minute
persistent_request_timeout 1 minute
client_lifetime 1 day
pconn_timeout 120 second
ident_timeout 10 seconds
shutdown_lifetime 30 second
########
#httpd_accel_port 80
#httpd_accel_single_host off
#httpd_accel_with_proxy off
#httpd_accel_uses_host_header off
#httpd_accel_no_pmtu_disc off
###########
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl our_networks src 192.168.0.0/24
no_cache deny QUERY un_cache

###########
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow CONNECT !SSL_ports

http_access allow our_networks
http_access deny all

http_reply_access allow all
icp_access allow all
###########

reply_header_max_size 20 KB
reply_body_max_size 0 allow all
cache_mgr [email protected]
mail_program [email protected]
cache_effective_user squid
cache_effective_group squid
visible_hostname mx.yourdomain.com
unique_hostname mx.yourdomain.com
announce_period 0 hour
logfile_rotate 10
memory_pools on
memory_pools_limit 50 MB
forwarded_for on
log_icp_queries on
error_directory /usr/pkg/share/squid/errors/Russian-1251
maximum_single_addr_tries 1
retry_on_error off
snmp_port 3401
snmp_access deny all
snmp_incoming_address 0.0.0.0
snmp_outgoing_address 255.255.255.255

Shardin · 26.05.2006, 12:39

Ну осталось только логи сюда выложить /var/squid/log/acess.log

ЗЫ только весь не надо ;)

29.05.2006, 10:36

А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

29.05.2006, 10:40

А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

ctkuoyf · 29.05.2006, 22:36

Копайте в сторону NATD

itprokhor · 31.05.2006, 12:01

Цитата:

Сообщение от Shardin


	Ну осталось только логи сюда выложить /var/squid/log/acess.log ЗЫ только весь не надо ;)

И настройки клиентских машин: сеть, маска, DNS, gateway, настройки броузера и т.д., в общем подробней опиши проблему.

У меня работает без сквида примерно так:
машина с FreeBSD с тремя картами - 1.провайдер, 2.локалка, 3.DMZ.
на машине установлен PF-firewall, и настроен тунель для dmz (внешний интерфейс и dmz из одной подсети, в dmz реальные интернет адреса)
в файервол добавлены правила NAT и всякие ограничения по портам для локальной сети, трафик локальных пользователей считаеться с помошью trafd (BPFT) и кладеться в mysql базу.
Если будут вопросы, обращайся, постараюсь помочь.

03.07.2006, 20:39

Цитата:

Сообщение от Vadim_C


	Братья! Помогите, а то уже крыша едет - много другой работы, а здесь как то застрял и никак не могу найти выхода. Надо подключить локальну сеть к выделинку с инетом. Пока просто подключить, без всяких настроек. Имеется машина с 2 сетевухами - одна в инет, другая в локалку. Установил FreeBSD 6.0, в rc.conf установил вроде все настройки, поставил squid (squid.conf менять не стал - там по умолчанию вроде все разрешено). Клиент (виндовый сервер) без проблем пиндует оба адреса машины с FreeBSD: и внешний(Internet), и внутренний (local) и даже шлюз провайдера, а вот браузер, или какую другую прогу (TotalCmd) не могу в инет вывести. Столько уже литературы из сети прочитал, а вот все равно туплю. У кого работает, мне бы примерное содержание настроек, у кого как работает, а то шеф скоро из меня котлету будет делать, ему плевать, что у мне еще 35 подчиненных организаций надо на новую конфу перевести!

нужно включить в rc.conf natd на внешнем интерфейсе, настроить конфиг и сделать divert в ipfw

qdmitry · 10.07.2006, 06:32

Если задачи учета пока не стоит, а сделать надо очень быстро, то лучше действительно использовать Nat, настроек там значительно меньше, один файл с 5-10 строчками. Правда нужен файрвол.
Пинги идут по другому порту и не имеют отношения к squid.
С клиента DNS работает?
Какую ошибку выдает браузер?
telnet-ом с клиента можно подсоедитьься к серверу к порту 3128?

22.08.2006, 10:34

Лучше используй ipnat, он работает на уровне ядра. natd уже в прошлом.
cat /etc/ipnat.rules
map EXT_IFACE 10.0.0.0/16 -> 111.111.111.111/32

,где 111.111.111.111 - внешний ip на внешнем интерфейсе.

Осталось прописать в rc.conf

ipnat_enable="YES" # Set to YES to enable ipnat functionality
ipnat_program="/sbin/ipnat" # where the ipnat program lives
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat

ядро пересобирать не надо, все подгрузится модулями.

xilian · 22.08.2006, 16:28

Цитата:

Сообщение от Poisonua


	map EXT_IFACE 10.0.0.0/16 -> 111.111.111.111/32

map fxp1 192.168.0.0/24 -> 81.81.81.81/32 portmap 40000:60000 -
это на 20000 соединений.

для ftp :
map fxp1 192.168.0.0/24 -> 81.81.81.81./32 proxy port ftp ftp/tcp

и в консоли сервака route add default 81.81.81.81
и в DHCP или на локальных станциях пропиши адрес сервака в GateWay.

Squid потом добьёшь. Он у тебя на какой IP кстати повесился?

23.08.2006, 18:01

мона доки по настройке сервера для малого предприятия... почта+прокси+файрвол???

17.05.2006, 18:24	#1
Vadim_C Пользователь Пол: Регистрация: 05.11.2005 Адрес: из-за Урала Сообщений: 160 Репутация: 611	FreeBSD: Достучаться до Internetа! Братья! Помогите, а то уже крыша едет - много другой работы, а здесь как то застрял и никак не могу найти выхода. Надо подключить локальну сеть к выделинку с инетом. Пока просто подключить, без всяких настроек. Имеется машина с 2 сетевухами - одна в инет, другая в локалку. Установил FreeBSD 6.0, в rc.conf установил вроде все настройки, поставил squid (squid.conf менять не стал - там по умолчанию вроде все разрешено). Клиент (виндовый сервер) без проблем пиндует оба адреса машины с FreeBSD: и внешний(Internet), и внутренний (local) и даже шлюз провайдера, а вот браузер, или какую другую прогу (TotalCmd) не могу в инет вывести. Столько уже литературы из сети прочитал, а вот все равно туплю. У кого работает, мне бы примерное содержание настроек, у кого как работает, а то шеф скоро из меня котлету будет делать, ему плевать, что у мне еще 35 подчиненных организаций надо на новую конфу перевести!

18.05.2006, 08:39	#4
haos912 Постоялец Пол: Регистрация: 15.05.2005 Адрес: Русь Новгородская Сообщений: 282 Репутация: 19	Re: FreeBSD: Достучаться до Internetа! а соединение с инетом устанавливается? какой протокол, случаем не РРРоЕ? __________________ Думай как человек действия, действуй как человек мыслящий ~Генри Бергсон

24.05.2006, 13:31	#5
salimzhan Guest Сообщений: n/a	Re: FreeBSD: Достучаться до Internetа! А SQUID запустился нармально У меня нармально работаль на linux и на FreeBSD NetBSD Вот так пробовал еше squid -z а потом так squid -Y -D -f $conf_file вот тебе рабочий conf http_port 3128 https_port 3128 icp_port 0 #htcp_port 0 udp_incoming_address 0.0.0.0 udp_outgoing_address 255.255.255.255 icp_query_timeout 0 maximum_icp_query_timeout 2000 mcast_icp_query_timeout 2000 dead_peer_timeout 10 seconds hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache_mem 96 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB minimum_object_size 0 KB maximum_object_size_in_memory 8 KB ipcache_size 1024 ipcache_low 90 ipcache_high 95 fqdncache_size 1024 cache_replacement_policy lru cache_dir ufs /var/squid/cache 26624 16 256 cache_access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log /var/squid/logs/store.log emulate_httpd_log off log_ip_on_direct on mime_table /usr/pkg/etc/squid/mime.conf log_mime_hdrs off pid_filename /var/run/squid.pid debug_options ALL,1 log_fqdn off client_netmask 255.255.255.255 ftp_user IEUser@ ftp_list_width 32 ftp_passive on ftp_sanitycheck on ftp_telnet_protocol on dns_retransmit_interval 5 seconds dns_timeout 2 minutes hosts_file /etc/hosts diskd_program /usr/pkg/libexec/diskd unlinkd_program /usr/pkg/libexec/unlinkd pinger_program /usr/pkg/libexec/pinger #redirect_rewrites_host_header on #auth_param basic program <uncomment and complete this line> auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off authenticate_cache_garbage_interval 1 hour authenticate_ttl 1 hour authenticate_ip_ttl 0 seconds wais_relay_port 0 request_header_max_size 20 KB request_body_max_size 0 KB refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95 negative_ttl 5 minute positive_dns_ttl 6 hour negative_dns_ttl 1 minute range_offset_limit 0 KB forward_timeout 4 minutes connect_timeout 1 minute peer_connect_timeout 30 seconds read_timeout 15 minute request_timeout 5 minute persistent_request_timeout 1 minute client_lifetime 1 day pconn_timeout 120 second ident_timeout 10 seconds shutdown_lifetime 30 second ######## #httpd_accel_port 80 #httpd_accel_single_host off #httpd_accel_with_proxy off #httpd_accel_uses_host_header off #httpd_accel_no_pmtu_disc off ########### acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl our_networks src 192.168.0.0/24 no_cache deny QUERY un_cache ########### http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access allow CONNECT !SSL_ports http_access allow our_networks http_access deny all http_reply_access allow all icp_access allow all ########### reply_header_max_size 20 KB reply_body_max_size 0 allow all cache_mgr [email protected] mail_program [email protected] cache_effective_user squid cache_effective_group squid visible_hostname mx.yourdomain.com unique_hostname mx.yourdomain.com announce_period 0 hour logfile_rotate 10 memory_pools on memory_pools_limit 50 MB forwarded_for on log_icp_queries on error_directory /usr/pkg/share/squid/errors/Russian-1251 maximum_single_addr_tries 1 retry_on_error off snmp_port 3401 snmp_access deny all snmp_incoming_address 0.0.0.0 snmp_outgoing_address 255.255.255.255

26.05.2006, 12:39	#6
Shardin Постоялец Пол: Регистрация: 09.09.2005 Сообщений: 272 Репутация: 71	Re: FreeBSD: Достучаться до Internetа! Ну осталось только логи сюда выложить /var/squid/log/acess.log ЗЫ только весь не надо ;)

29.05.2006, 10:36	#7
ramov Guest Сообщений: n/a	Re: FreeBSD: Достучаться до Internetа! А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

29.05.2006, 10:40	#8
ramov Guest Сообщений: n/a	Re: FreeBSD: Достучаться до Internetа! А какой DNS-сервер используется? Локальный? И правильно ли настроены клиентские машины?

29.05.2006, 22:36	#9
ctkuoyf Новичок Пол: Регистрация: 24.09.2005 Сообщений: 10 Репутация: 2	Re: FreeBSD: Достучаться до Internetа! Копайте в сторону NATD

10.07.2006, 06:32	#12
qdmitry Новичок Пол: Регистрация: 08.04.2006 Сообщений: 16 Репутация: 6	Re: FreeBSD: Достучаться до Internetа! Если задачи учета пока не стоит, а сделать надо очень быстро, то лучше действительно использовать Nat, настроек там значительно меньше, один файл с 5-10 строчками. Правда нужен файрвол. Пинги идут по другому порту и не имеют отношения к squid. С клиента DNS работает? Какую ошибку выдает браузер? telnet-ом с клиента можно подсоедитьься к серверу к порту 3128?

22.08.2006, 10:34	#13
Poisonua Guest Сообщений: n/a	Re: FreeBSD: Достучаться до Internetа! Лучше используй ipnat, он работает на уровне ядра. natd уже в прошлом. cat /etc/ipnat.rules map EXT_IFACE 10.0.0.0/16 -> 111.111.111.111/32 ,где 111.111.111.111 - внешний ip на внешнем интерфейсе. Осталось прописать в rc.conf ipnat_enable="YES" # Set to YES to enable ipnat functionality ipnat_program="/sbin/ipnat" # where the ipnat program lives ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat ядро пересобирать не надо, все подгрузится модулями.

23.08.2006, 18:01	#15
rape Guest Сообщений: n/a	Re: FreeBSD: Достучаться до Internetа! мона доки по настройке сервера для малого предприятия... почта+прокси+файрвол???