squid transparent + mpd + pf

*tyler*

Guest

Это нравится:0 Да/0 Нет

22.08.2011 16:36:26

Добрый день.
Есть локалка 192.168.0.0/24 и vpn сеть 192.168.5.0/24
Пользователи впн сети ходят в нет без ограничений через nat.
Захотелось пустить веб трафик впн пользователей через squid с целью сбора статистики.
Не получается завернуть трафик.
Если руками вбить в настройках браузера пашет.
Вот конфиги
squid.conf

Код

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.0.0/24
acl localnet2 src 192.168.5.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localnet2
http_access allow localhost
http_access deny all

http_port 3128 transparent

pf.conf

Код

localnet1_if="rl1" #локалка 192.168.0.1/24
localnet2_if="rl2" #впн сеть  192.168.5.1/24
rdr pass on { $localnet1_if, $localnet2_if } proto tcp from any to any port 80 -> 127.0.0.1 port 3128
nat on $provayder_if 192.168.5.1/24 to any -> ($provayder_if)

Пользователи из локальной сети 0/24 прозрачно проксируются а из впн нет

TeckLord

Guest

Это нравится:0 Да/0 Нет

22.08.2011 16:42:44

Цитата
tyler пишет: rdr pass on { $localnet1_if, $localnet2_if } proto tcp from any to any port 80 -> 127.0.0.1 port 3128 nat on $provayder_if 192.168.5.1/24 to any -> ($provayder_if)

Поскольку вы используете конструкцию "rdr pass on" а не "rdr pass quick on", пользователи $localnet2_if не попадают в это правило, для них применятеся только последнее правило с NATом.

*tyler*

Guest

Это нравится:0 Да/0 Нет

22.08.2011 17:25:22

Такая конструкция вызывает ошибку.

Код
rdr pass quick on

Цитата
/etc/pf.conf:95: syntax error

Немного ошибся с названием интерфейса не

Код
localnet2_if="rl2"

Код
localnet2_if="ng8"

интерфейс на котором весит подключенный впн пользователь
Пакеты где-то застревают и сайты не грузятся.
Пробовал с закоментированным правилом

Код
block in

Изменено: *tyler* - 22.08.2011 17:30:10

*tyler*

Guest

Это нравится:0 Да/0 Нет

23.08.2011 11:45:08

Я попробовал завернуть vpn пользователей не на squid а на локальный веб сервер. Аналогично не пустило.
Вот похожая тема но ответа не увидел http://www.opennet.ru/openforum/vsluhforumID12/5454.html
Шифрование в mpd отключено.

Изменено: *tyler* - 23.08.2011 11:46:10

°°°Trojan°°°™

Guest

Это нравится:0 Да/0 Нет

23.08.2011 12:09:25

Уже два года не работал на фрее, но
1/ я после всех pass & block добавлял quick
2/ у ПФ есть мощный логгинг aka pflog. Поставьте log после block и идите курить http://openbsd.org/faq/pf/logging.html . Через tcpdump всё будет ясно кто блокирует.
3/ А почему 5.1/24 а не 5.0/24 ???

Цитата
tyler пишет: nat on $provayder_if 192.168.5.1/24 to any -> ($provayder_if)

*tyler*

Guest

Это нравится:0 Да/0 Нет

23.08.2011 17:38:27

В логах block log all ничего нету относящегося к редиректу.
Поставил log в сам редирект выдает

Цитата
rdr pass log on ng4 inet proto tcp from any to any port 80 -> 127.0.0.1 port 80

Код

/home/tyler/>tcpdump -eni pflog0
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
16:31:20.383412 rule 0/0(match): rdr in on ng4: 192.168.5.2.1967 > 127.0.0.1.80: [|tcp]
16:31:20.429049 rule 0/0(match): rdr in on ng4: 192.168.5.2.1968 > 127.0.0.1.80:  tcp 28 [bad hdr length 0 - too short, < 20]
16:31:31.242771 rule 0/0(match): rdr in on ng4: 192.168.5.2.2046 > 127.0.0.1.80: [|tcp]
16:31:52.162418 rule 0/0(match): rdr in on ng4: 192.168.5.2.2195 > 127.0.0.1.80: [|tcp]

Ответ не приходит.
На lo0 пакеты не приходят.
На время проверок коментировал block

Цитата
3/ А почему 5.1/24 а не 5.0/24 ???

это я из ip калькулятора какого-то вставлял.

Изменено: *tyler* - 23.08.2011 17:40:45

*tyler*

Guest

Это нравится:0 Да/0 Нет

26.08.2011 12:02:55

Разобрался.
Нужно было указать отправителя пакетов после from. Пакеты наверно зацикливались.

Код
rdr pass log on ng4 inet proto tcp from 192.168.5.0/24 to any port 3128 -> 127.0.0.1 port 3128

P.S. Сегодня поржал. Прихошло письмо проверки на секюрность от системы security run output
В ней было такое

Код

server.gt login failures:
Aug 25 00:32:05 server sshd[69467]: Failed password for invalid user root from 211.154.215.174 port 35546 ssh2
Aug 25 00:32:08 server sshd[69469]: Failed password for invalid user news from 211.154.215.174 port 35662 ssh2
Aug 25 00:32:11 server sshd[69471]: Failed password for invalid user root from 211.154.215.174 port 35771 ssh2
Aug 25 17:51:35 server sshd[93838]: Failed password for invalid user root from 79.135.152.9 port 50474 ssh2
Aug 25 17:51:36 server sshd[93840]: Failed password for invalid user root from 79.135.152.9 port 50582 ssh2
Aug 25 17:51:39 server sshd[93842]: Failed password for invalid user root from 79.135.152.9 port 50770 ssh2

SSH у меня из вне закрыт. Начал смотреть в конце лога нету ничего такого.
Потом дошло что это с прошлого года. Пришлось сделать ротацию.

Изменено: *tyler* - 26.08.2011 12:11:06

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?