[FUG-BR] Squid 2.6 + PF
Alessandro de Souza Rocha
etherlinkii em gmail.com
Segunda Janeiro 28 17:50:59 BRST 2008
Em 28/01/08, multnick<multfree em gmail.com> escreveu:
> Ola Alessandro,
>
> Provavelmente deve estar faltando algo entao, na compilacao do Kernel ou do
> proprio squid.
> Apos colocar a opcao vhost na linha que voce citou.
> http_port 3128 transparent vhost
>
> Veja o erro:
>
> cat /var/log/messages
>
> squid[939]: Bungled squid.conf line 935: http_port 3128 transparent vhost
>
> Quando tento startar.
>
> FIREWALL# /usr/local/etc/rc.d/squid start
> Starting squid.
> 2008/01/28 16:33:57| Can't be both a transparent proxy and web server
> accelerator on the same port
> FATAL: Bungled squid.conf line 935: http_port 3128 transparent vhost
> Squid Cache (Version 2.6.STABLE18): Terminated abnormally.
> FIREWALL#
>
>
> Abracos.
>
> ----- Original Message -----
> From: "Alessandro de Souza Rocha" <etherlinkii em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Monday, January 28, 2008 4:33 PM
> Subject: Re: [FUG-BR] Squid 2.6 + PF
>
>
> Em 28/01/08, multnick<multfree em gmail.com> escreveu:
> > Ola Welkson,
> >
> > Sim, eu seto os DNS da BrTelecom, primario/secundario.
> > Quando tento navegar o browser simplesmente nao navega, e tambem nao
> > aparece
> > o erro do squid.
> > O erro que da a "pagina nao foi encontrada", como se nao tivesse net.
> > Dai eu coloco o IP no browser, e pronto, navegacao 100%.
> > Por ser transparente, meu terminal, nao deveria pingar fora tambem ?
> > Se sim, nao esta pingando.
> >
> > Abracos.
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, January 28, 2008 3:28 PM
> > Subject: Re: [FUG-BR] Squid 2.6 + PF
> >
> >
> > Opa Multnick!
> >
> >
> > Só uma dúvida... no XP você setou o DNS?
> >
> > Outra coisa... quando tenta navegar dar algum erro de squid? (tipo negado
> > ou
> > algo do tipo).
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "multnick" <multfree em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, January 28, 2008 12:07 PM
> > Subject: Re: [FUG-BR] Squid 2.6 + PF
> >
> >
> > Ola Welkson,
> >
> > Segue abaixo a config, que fiz.
> >
> > Kernel:
> > -------
> > device pf
> > device pflog
> > device pfsync
> >
> > # Squid
> > options SYSVMSG
> > options MSGMNB=16384
> > options MSGMNI=41
> > options MSGSEG=2049
> > options MSGSSZ=64
> > options MSGTQL=512
> > options SHMSEG=16
> > options SHMMNI=32
> > options SHMMAX=2097152
> > options SHMALL=3096
> >
> > pf.conf:
> > --------
> > rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
> >
> > Squid:
> > ------
> > http_port 3128 transparent
> > acl redeinterna src 10.0.0.0/24
> > http_access allow all
> > http_access deny all
> > always_direct allow all
> >
> > rc.conf:
> > --------
> > ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0"
> > ifconfig_xl1="inet 10.0.0.1 netmask 255.0.0.0"
> > defaultrouter="192.168.1.254"
> > hostname="FIREWALL"
> > gateway_enable="YES"
> > squid_enable="YES"
> > pf_enable="YES"
> > pf_rules="/etc/pf.conf"
> > pf_flags=""
> > pflog_enable="YES"
> > pflog_logfile="/var/log/pflog"
> > pflog_flags=""
> >
> > Setei o always_direct e mesmo assim, o transparent continua nao querendo
> > funcionar. ;/
> >
> > No windows, seto ip 10.0.0.2/255.0.0.0 gateway 10.0.0.1.
> >
> >
> > Abracos.
> >
> >
> > ----- Original Message -----
> > From: "Welkson Renny de Medeiros" <welkson em focusautomacao.com.br>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, January 28, 2008 10:45 AM
> > Subject: Re: [FUG-BR] Squid 2.6 + PF
> >
> >
> > Bom dia Multnick!
> >
> > Inclui "always_direct allow all" e nos avisa se funcionou.
> >
> > Abraço,
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> > Powered by ....
> >
> > (__)
> > \\\'',)
> > \/ \ ^
> > .\._/_)
> >
> > www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "multnick" <multfree em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, January 28, 2008 8:32 AM
> > Subject: Re: [FUG-BR] Squid 2.6 + PF
> >
> >
> > Ola Wesley,
> >
> > Sobre o http_access all, e' apenas para testar mesmo a parte do
> > transparent.
> > Na realidade como voce mesmo disse, posso colocar apenas para liberar a
> > redeinterna.
> > Mas como ainda e' um teste, nao me preocupei muito em alterar nao.
> > Apos fazer funcionar o transparent, que eu vou fazer as alteracoes que
> > preciso no squid.conf, como bloqueio de paginas e MSN.
> >
> > Thiago J. Ruiz, eu tinha esquecido de colocar o /24 no email anterior.
> > Mas ja estava com /24 da forma que voce colocou no seu email.
> > Porem, mesmo assim, nao funciona, apenas quando coloco o IP no browser.
> > Eu tinha feito com ipfw, mas vi que varios emails na lista, deu
> > preferencia
> > para o pf.
> > Mas mesmo assim, nao funcionou.
> > Rodei nat no pf hoje, mas tambem nao tive sucesso, em relacao ao
> > transparent.
> >
> > Abracos.
> >
> >
> > ----- Original Message -----
> > From: "Wesley Miranda" <wesleymiranda2 em gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd em fug.com.br>
> > Sent: Monday, January 28, 2008 12:52 AM
> > Subject: Re: [FUG-BR] Squid 2.6 + PF
> >
> >
> > Tive problemas com o squid 2.6.x em um cliente fazendo a mesma coisa que
> > voce, a solução foi baixar pra versão 2.5.x, outro detale utilizei ipfw,
> > segue o squid.conf e a regra.
> >
> > squid.conf
> > ---------------------------------------------------
> > http_port 8181
> > icp_port 0
> >
> > acl QUERY urlpath_regex cgi-bin \?
> > no_cache deny QUERY
> >
> > cache_mem 32 MB
> > cache_swap_low 90
> > cache_swap_high 95
> > cache_effective_user squid
> > cache_effective_group squid
> > maximum_object_size 512 MB
> > minimum_object_size 0 KB
> > ipcache_size 1024
> > ipcache_low 90
> > ipcache_high 95
> > fqdncache_size 1024
> >
> > cache_dir diskd /usr/local/squid/cache 2048 16 256
> >
> > cache_access_log /usr/local/squid/logs/access.log
> > cache_log /usr/local/squid/logs/cache.log
> > cache_store_log none
> > cache_swap_log /usr/local/squid/logs/swap.log
> >
> > logfile_rotate 2
> > redirect_rewrites_host_header off
> > cache_replacement_policy GDSF
> >
> > emulate_httpd_log off
> > pid_filename /usr/local/squid/logs/squid.pid
> > debug_options ALL,1
> > log_fqdn on
> >
> > refresh_pattern ^ftp: 15 20% 2280
> > refresh_pattern ^gopher: 15 0% 2280
> > refresh_pattern . 15 20% 2280
> > acl all src 0.0.0.0/0.0.0.0
> > acl manager proto cache_object
> > acl localhost src 127.0.0.1/255.255.255.255
> > acl to_localhost dst 127.0.0.0/8
> > acl SSL_ports port 443 563
> > acl Safe_ports port 80 # http
> > acl Safe_ports port 21 # ftp
> > acl Safe_ports port 443 563 # https, snews
> > acl Safe_ports port 70 # gopher
> > acl Safe_ports port 210 # wais
> > acl Safe_ports port 1025-65535 # unregistered ports
> > acl Safe_ports port 280 # http-mgmt
> > acl Safe_ports port 488 # gss-http
> > acl Safe_ports port 591 # filemaker
> > acl Safe_ports port 777 # multiling http
> > acl CONNECT method CONNECT
> > acl localnet src 192.168.17.0/255.255.255.0
> > http_access allow manager localhost
> > http_access deny manager
> > http_access deny !Safe_ports
> > http_access deny CONNECT !SSL_ports
> > http_access allow localnet
> > http_access deny all
> >
> > httpd_accel_host virtual
> > httpd_accel_port 80
> > httpd_accel_with_proxy on
> > httpd_accel_uses_host_header on
> >
> > cache_mgr wesley em freebsdconsult.com.br
> > visible_hostname http://www.freebsdconsult.com.br
> > memory_pools on
> > forwarded_for on
> > log_icp_queries off
> > buffered_logs on
> > icon_directory /usr/local/etc/squid/icons
> > error_directory /usr/local/etc/squid/errors/Portuguese
> > mime_table /usr/local/etc/squid/mime.conf
> > --------------------------------------------------------
> > Regra ipfw
> > /sbin/ipfw add 500 allow tcp from me to any dst-port 80
> > /sbin/ipfw add 600 fwd 127.0.0.1,8181 tcp from 192.168.17.0/24 to any
> > dst-port 80
> >
> > OBS : http_access allow all > Voce pretende liberar sua proxy da rede
> > interna pra qualquer pessoa fora da rede utilizar ? O correto é Deny pra
> > não
> > terem acesso externo.
> >
> > Abraço.
> >
> > 2008/1/27, multnick <multfree em gmail.com>:
> > >
> > > Ola galera,
> > >
> > > Estou com pequeno problema para deixar o proxy transparent.
> > > Compilei kernel com suporte a pf.
> > > Compilei o squid via ports versao 2.6.18 com suporte a pf.
> > > No squid.conf setei:
> > >
> > > http_port 3128 transparent
> > >
> > > Criei acl para a rede interna:
> > >
> > > acl redeinterna src 10.0.0.1
> > >
> > > E liberei:
> > >
> > > http_access allow all
> > >
> > > No arquivo pf.conf setei.
> > > rdr pass on xl1 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
> > >
> > > Sendo que:
> > > xl0 = 192.168.1.1 -> saida modem DLS.
> > > xl1 = 10.0.0.1 -> rede interna.
> > >
> > > Maq. da rede interna com IP 10.0.0.2 Mask 255.0.0.0 Gateway 10.0.0.1.
> > >
> > > Essa config, nao esta navegando por transparent, porem se eu coloco o IP
> > > 10.0.0.1 no Navegador abre pagina normal.
> > >
> > > Desde ja' agradeco.
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> so configuracao do squid mesmo.
> coisa simples coloca o
> always_direct allow all
> http_port 3128 transparent vhost
> por aki funciona 100% transparent e bloqueio de
> acesso.
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> Freebsd-BR User #117
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
muitoa estranho ai porque uso o squid nao tenho problemas.
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
Mais detalhes sobre a lista de discussão freebsd