BSDPORTAL.RU
http://bsdportal.ru/

PF-FILTER + SQUID
http://bsdportal.ru/viewtopic.php?f=23&t=7483
Страница 1 из 1

Автор:  Pro [ Чт 24 ноя, 2005 3:42 pm ]
Заголовок сообщения:  PF-FILTER + SQUID

Привет всем,

у меня вопрос к спецам -не могу настроисть связку PF-FILTER + SQUID.

Есть два интерфейса tun0 и rl0:
tun0 - внешний (xxx.xxx.xxx.xxx)
rl0 - внутренний (100.100.1.5)

Хотелось бы чтобы пользователи сетки выходили прозрачно в аську, забирали почту прозрачно, получали бы ответ на DNS запросы прозрачно. А WWW - заворачивался на squid (3128)

Делаю так:
# less /etc/pf.conf

---------------------------------------------------
client_out = "{ www, auth }"
udp_services = "{ domain, ntp }"
ext_if="tun0"
int_if="rl0"
internal_net="100.100.1.0/24"

table <good_ssh_guys> { yyy.yyy.yyy.yyy, zzz.zzz.zzz.zzz }
table <ext_adr> { 100.100.1.102 }

scrub in all

nat on $ext_if from $internal_net to any -> ($ext_if)
#rdr on $ext_if proto tcp to any port { 80 } -> 100.100.1.5 port 3128
#rdr on $int_if proto tcp from $internal_net to $ext_if port { 80 3128 } -> 100.100.1.5 port 3128

block all

# BLOCK ICQ =)
block quick inet proto tcp from <ext_adr> to any port { 5190, 443 }

# SSH
pass in on $ext_if proto tcp from <good_ssh_guys> to $ext_if port 22 keep state
pass in on $int_if proto tcp from $internal_net to $int_if port 22 keep state

# DNS
pass inet proto { tcp, udp } to any port $udp_services keep state

# POST
pass inet proto tcp to any port { pop3, pop3s, smtp } keep state

# TRACEROUTE
pass inet proto udp to any port 33433 >< 33626 keep state

# PING
pass inet proto icmp to any icmp-type echoreq keep state

# ICQ
pass inet proto tcp to any port { 5190, 443 } keep state

# WWW-1
#pass inet proto tcp to any port { www } keep state

# OR WWW-2 [analog]
#pass out on $ext_if proto tcp from $ext_if to any port {www } keep state
#pass in on $int_if proto tcp from $internal_net to any port www keep state

Теперь о том, что в этом конфиге:

Обеспечиваю выполнение поставленной задачи, кроме ситуации с squid.
Если открыть WWW-1 или WWW-2 [analog] то www выходит тож прозрачно. Но мне нужно чтобы на squid port 3128 заворачивалось, а потом от squid уходило в нэт.

Пробовал играться с rdr, но ничерта не выходит. Просьба подсказать, как действовать в моей ситуации.

Спасибо,
Pro.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/