Toon posts:

FreeBSD Transparant Proxy met Squid?

Pagina: 1
Acties:

zaterdag 9 november 2002 22:29

Acties:
  • Vaevictis_
  • Registratie: Maart 2000
  • Laatst online: 10:48

Vaevictis_

Topicstarter
Ik heb een probleempje met Squid, ik gebruik transparant proxying d.w.z. ik laat met natd/ipfw al het verkeer dat binnenkomt op poort 80 naar poort 3128 forwarden.

ipfw add 50 divert 8668 ip from any to any via xl0
ipfw add 100 fwd 127.0.0.1,3128 tcp from any to any 80

Nu werkt dit allemaal erg goed, maar ik krijg nu bij elke website die ik opvraag een Squid access denied error te zien :|

1036876829.423 13 10.0.0.3 TCP_DENIED/403 1349 GET http://frontpage.fok.nl/ - NONE/- text/html

Het probleem moet denk ik in de squid.conf ACL zitten hoewel deze toch echt goed staat

acl all src 0.0.0.0/0.0.0.0
acl lan src 10.0.0.0/8
acl lan2 src 172.16.0.0/255.255.255.0
http_access allow all lan lan2 manager localhost
http_access deny manager

Wie weet raad??

zaterdag 9 november 2002 22:58

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

neem in je squid.conf eens de volgende regels op:
code:
1
2
3
4

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on .

Sometimes you just have to sit back, relax, and let the train wreck itself

zaterdag 9 november 2002 22:58

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Ik heb het hier met squid en linux als volgt gedaan:
- 3128 voor eth0 dicht met firewall
- ACL uitzetten, allow from all
- alle inkomende verkeer op poort 80 van eth1 doorsturen naar poort 3128

Werkt perfect hier, en omdat 3128 toch gefirewalled is voor vanbuitenaf is het net zo veilig als al die hostnames van je netwerk in je ACL zetten.

zaterdag 9 november 2002 23:02

Acties:
  • Vaevictis_
  • Registratie: Maart 2000
  • Laatst online: 10:48

Vaevictis_

Topicstarter
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

staat er natuurlijk al in ...

zondag 10 november 2002 12:11

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 11:48

Predator

Suffers from split brain

Er staat duidelijk nog iets mis in de ACL.
Ik heb vroeger hetzelfde voorgehad maar ik weet helaas niet meer wat ik nu juist gedaan heb om dat op te lossen :/

Ik heb het werkend via squid maar ik ben overgeschakeld op:
http://www.transproxy.nlc.net.au/
(erg snel & klein, wel nog een beetje buggy)
Squid vond ik lichtjes vertragend en die nam te veel geheugen in op m'n BSD server.

Ik kan je m'n config file doormailen als je wilt ?
Ik forward wel naar de proxy van m'n provider (daar lag ook het probleem dacht ik)

Everybody lies | BFD rocks ! | PC-specs

zondag 10 november 2002 15:53

Acties:
  • Vaevictis_
  • Registratie: Maart 2000
  • Laatst online: 10:48

Vaevictis_

Topicstarter
Ehmmm nog steeds problemen... Ik heb die access denied melding niet meer maar ik krijg gewoon geen verbinding met een site...

Mijn ipfw rules:

00050 divert 8668 ip from any to any via xl0
00100 allow ip from any to any via lo0
01500 allow tcp from 10.0.0.3 to any 80
02000 fwd 10.0.0.1,3128 tcp from any to any 80
65000 allow ip from any to any
65535 deny ip from any to any

zondag 10 november 2002 18:00

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 11:48

Predator

Suffers from split brain

Ik had (ik gebruik nu ipf+ipnat)
code:
1
2

allow tcp from me to any 80
fwd 127.0.0.1,1080 tcp from any to any 80


Je krijgt geen foutmeldingen bij het zetten van jouw rules ? (en je hebt dus IPDIVERT als optie in je kernel gecompiled) ?

Als je een error kreeg van squid dan werkte je redirect, anders kreeg je een timeout.
Werkt je squid als je hem als gewone proxy insteld ?

Everybody lies | BFD rocks ! | PC-specs

zondag 10 november 2002 22:16

Acties:
  • EricV
  • Registratie: April 2000
  • Laatst online: 31-03-2024

EricV

Telematicus collosus

ipfw add 100 fwd 127.0.0.1,3128 tcp from any to any 80
Ik ben niet zo goed met ipfw, maar als ik het goed snap wordt al het verkeer over poort 80 naar 127.0.0.1 geleid.
Denk je is in: Jij vraagt op de client een pagina op, die gaat naar de gateway, wordt doorgesluisd naar de proxy server die de request oppikt. Alles leuk tot nu toe. Dan gaat Squid die pagina zoeken over... poort 80. Maar die wordt doorgestuurd naar 127.0.0.1 en je gaat een rondje.
Wat je dus waarschijnlijk moet doen is achter die regel je interne netwerkkaart toe te voegen, zodat je server nog wel kan ŽinternettenŽ.
Ik ben niet zo goed met ipfw, maar een handige test is om een bestand via fetch proberen binnen te halen (fetch http://www.tweakers.net/nieuws.dsp). Als dit ook niet werkt heb ik gelijk, anders ben ik een sukkel ;)
Pagina: 1
Reageer