[MASOCH-L] SQUID+IPFW, HELP

[Welkson Renny de Medeiros]

Boa tarde Rafael,


Minhas regras para proxy transparente foram todas transportadas para PF, não 
mais em IPFW... mas só uma pergunta, como está a configuração do NAT? 
(natd.conf)... outra coisa, está faltando a regra divert no seu firewall:

ipfw add 10 divert natd all from any to any via $ext_if
ipfw add 100 allow ip from any to any via $ext_if

Outra dica, já que o assunto é sobre BSD, a lista do FUG é mais indicada:
http://www.fug.com.br/historico/html/freebsd/

Abraço,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson at focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org




----- Original Message ----- 
From: "Rafael Barbosa da Silva" <rafaelbs at uol.com.br>
To: "Mail Aid and Succor,On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Monday, July 02, 2007 2:16 PM
Subject: [MASOCH-L] SQUID+IPFW, HELP


Olá Pessoal...

Estou com uma dificuldade, e ficaria muito grato se alguém pudesse me
ajudar...

Já compilei o kernel com os devidos parametros... Baixei a versao 2.5 do
squid, e configurei como os diveros tutoriais indicam na internet... O mesmo
já está funcionando, se configurado manualmente no browser...  quando
adiciono a regra de foward no IPFW e tento navegar, não obtenho resposta
nenhuma... nas estatisticas vejo que a regra de fwd deu match, porém não sei
onde o problema ficou: se no ipfw ou no squid...

estou desconfiado que o problema pode ser com o local onde estou interindo a
regras...

meu kernel foi compilado assim:
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=50
options         IPFIREWALL_FORWARD
options         IPDIVERT


meu squid assim:
visible_hostname nomedoseuservidor
http_port 3128
acl all src 0.0.0.0/0.0.0.0
acl blockedsites url_regex -i "/usr/local/squid/etc/sitesblock.txt"
acl unblockedsites url_regex -i "/usr/local/squid/etc/sitesunblock.txt"
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny blockedsites !unblockedsites
http_access allow all
cache_effective_user squid

as regras do IPFW mais ou menos assim:
#DEFINICAO DE GRUPOS
...
########TRAFEGO LIBERADO ENTRE REDES########
...
#########LIBERACOES ESPECIAIS para GRUPOS##########
....
#########LIBERACOES GERAIS##########
$cmd 100 fwd 127.0.0.1,3128 tcp from 192.168.5.0/24 to any 80
$cmd 101 allow tcp from 192.168.5.0/24 to any 80

#NEGACOES GERAIS
$cmd 200 deny log all from any to any in frag
$cmd 201 deny log ip from any to any

Obrigado.
Rafael

__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l