RE: [FreeBSD] IPFW-NAT-FWD
Huzeyfe bey, Sozunuzu tutup PF kurdum nat ve transparan squid gayet guzel calismakta RDR yonlendirme calismiyor lutfen yardim. pfctl sa kismi sonucu asagidaki gibidir.. nat on fxp0 inet from 192.0.0.0/8 to any - (fxp0) round-robin rdr on fxp0 inet proto tcp from any to x.x.x.x port = smtp - 192.168.1.2 port 25 rdr on fxp0 inet proto tcp from any to x.x.x.x port = pop3 - 192.168.1.2 port 110 rdr on rl0 inet proto tcp from 192.168.1.0/24 to any port = http - 127.0.0.1 port 3128 FILTER RULES: pass in on rl0 inet proto tcp from any to 127.0.0.1 port = 3128 keep state pass out on fxp0 inet proto tcp from any to any port = http keep state pass in on fxp0 inet proto tcp from any to any port = smtp keep state pass in on fxp0 proto tcp from any to foo port = http keep state pass in on fxp0 proto udp from any to foo port = http keep state From: Huzeyfe Onal [mailto:[EMAIL PROTECTED] Sent: Wednesday, February 08, 2006 10:31 AM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, bence bu kadar ugrasi yerin bir adet PF(Packet Filter ) kurun, hem siz rahat edin hem FreeBSD makineniz rahat etsin ;-). Kurallarini yazmak da bu kadar karmasik ve uzun surmez 2006/2/7, Abdullah OZTURK [EMAIL PROTECTED]: Arkadaslar frebsd gonuldaslari mail server a yonlendirme isini bir turlu cozemedim 4.3 de normal calisan conf 6.0 da yukledim calismadi nat ve ipfwde conf larindan baska bir ayar mi var acaba Rc.conf .. firewall_enable=YES firewall_type=/etc/ipfw/ipfw.conf #firewall_script=/etc/rc.firewall firewall_quiet=NO firewall_logging_enable=YES natd_enable=YES natd_interface=fxp0 natd_flags=-f /etc/ipfw/natd.conf .. ipfw.conf add 00020 divert 8668 ip from any to any via fxp0 add 00021 pipe 1 ip from any to 192.168.1.128/25 out via rl0 pipe 1 config bw 200kbit/s add 00022 fwd 192.168.1.2,25 tcp from any to any 25 in recv fxp0 add 00023 fwd 192.168.1.2,110 tcp from any to any 110 in recv fxp0 .. .. natd.conf use_sockets same_ports interface fxp0 redirect_port tcp 192.168.1.2:25 25 redirect_port tcp 192.168.1.2:110 110 dynamic -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/
[FreeBSD] maildrop
Merhaba,
qmailrocks yönlendirmeli qmail kurdum. Maildrop ayarlamalarını yaptım. Fakat, [EMAIL PROTECTED] a email attığım zaman,mailler kaybolmaya başladı. Maildrop u kaldırdığım zaman herşey düzgün çalışıyor. Kurduğum zaman çalışmıyor.
/var/log/qmail/qmail-send/current dosyasında şu şekilde bir hata iletisi alıyorum
@400043fd949e1831717c delivery 31: deferral: This_account_is_currently_not_available./
Bunun ne anlama geldiği hakkında herhangi bir fikrim yok. Bu konuda yardımcı olabilecek arkadaşlara teşekkür ederim. Dosyalar ile ilgili bilgiler aşağıdadır
Saygılar.
### dosyaların özellikleri
-rw--- 1 vpopmail vchkpw 34 Feb 21 21:01 .dir-control-rw--- 1 vpopmail vchkpw 82 Feb 22 01:30 .qmail-default-rw--- 1 vpopmail vchkpw 0 Feb 21 16:53 .qmailadmin-limits-rw--- 1 vpopmail vchkpw 0 Feb 21 21:02 .vpasswd.lock
drwx-- 3 vpopmail vchkpw 512 Feb 21 21:01 deneme-rw--- 1 vpopmail vchkpw 612 Feb 23 11:53 mailfilterdrwx-- 3 vpopmail vchkpw 512 Feb 21 16:21 postmaster-rw--- 1 vpopmail vchkpw 384 Feb 21 21:02 vpasswd
-rw--- 1 vpopmail vchkpw 2498 Feb 21 21:02 vpasswd.cdb
### /usr/home/vpopmail/domains/supermail.com/.qmail-default dosyasının içeriği ###| /usr/local/bin/maildrop /usr/home/vpopmail/domains/supermail.com/mailfilter
### /usr/home/vpopmail/domains/supermail.com/mailfilter dosyasının içeriği ##VPOP=| /var/qmail/vpopmail/bin/vdelivermail '' bounce-no-mailboxVHOME=`/var/qmail/vpopmail/bin/vuserinfo -d [EMAIL PROTECTED]
if ( $SIZE 262144 ){exception {xfilter /usr/local/bin/spamc -f -u [EMAIL PROTECTED]}}if (/^X-Spam-Flag: *YES/){# try filtering it using user-defined rules
exception {include $VHOME/Maildir/.mailfilter}# then try delivering it to a Spam folderexception {# to $VPOPto $VHOME/Maildir/.Spam/}
# ah well, I guess they'll just have to live with disappointmentexception {to $VPOP}}else{exception {include $VHOME/Maildir/.mailfilter
}exception {to $VPOP}}
Re: [FreeBSD] IPFW-NAT-FWD
Merhaba,kurallariniz gayet normal, gerci hicbir istek bloklanmamis ama beklediginiz calismanin olmasi gerekiyor. Acaba bu firewallun onunde baska filtreleme yapan bir cihaz var mi? Firewall'in dis bacagini dinlediginizde(tcpdump) SMTP vs isteklerini gorebiliyor musunuz? 2006/2/23, Abdullah OZTURK [EMAIL PROTECTED]: Pf ornek configurasyondan duzenlemey calistim foo degistirmeyi unutmusum oyle kalmis… configurasyonu da ekte gonderiyorum.. From: Huzeyfe Onal [mailto:[EMAIL PROTECTED]] Sent: Thursday, February 23, 2006 2:23 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, pass in on fxp0 proto tcp from any to foo port = http keep state pass in on fxp0 proto udp from any to foo port = http keep state kurallarindaki foo'lar nedir? tum kural aileniz bu mu? ek olarak pass/block li kurallara mutlaka log ekeyin ki problem ciktiginde hangi kuraldan dolayi cikiyor gorebiliriz. 2006/2/23, Abdullah OZTURK [EMAIL PROTECTED]: Huzeyfe bey, Sozunuzu tutup PF kurdum nat ve transparan squid gayet guzel calismakta RDR yonlendirme calismiyor… lutfen yardim…. pfctl –sa kismi sonucu asagidaki gibidir.. nat on fxp0 inet from 192.0.0.0/8 to any - (fxp0) round-robin rdr on fxp0 inet proto tcp from any to x.x.x.x port = smtp - 192.168.1.2 port 25 rdr on fxp0 inet proto tcp from any to x.x.x.x port = pop3 - 192.168.1.2 port 110 rdr on rl0 inet proto tcp from 192.168.1.0/24 to any port = http - 127.0.0.1 port 3128 FILTER RULES: pass in on rl0 inet proto tcp from any to 127.0.0.1 port = 3128 keep state pass out on fxp0 inet proto tcp from any to any port = http keep state pass in on fxp0 inet proto tcp from any to any port = smtp keep state pass in on fxp0 proto tcp from any to foo port = http keep state pass in on fxp0 proto udp from any to foo port = http keep state From: Huzeyfe Onal [mailto: [EMAIL PROTECTED]] Sent: Wednesday, February 08, 2006 10:31 AM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, bence bu kadar ugrasi yerin bir adet PF(Packet Filter ) kurun, hem siz rahat edin hem FreeBSD makineniz rahat etsin ;-). Kurallarini yazmak da bu kadar karmasik ve uzun surmez 2006/2/7, Abdullah OZTURK [EMAIL PROTECTED]: Arkadaslar frebsd gonuldaslari mail server a yonlendirme isini bir turlu cozemedim 4.3 de normal calisan conf 6.0 da yukledim calismadi nat ve ipfwde conf larindan baska bir ayar mi var acaba Rc.conf ….. firewall_enable=YES firewall_type=/etc/ipfw/ipfw.conf #firewall_script=/etc/rc.firewall firewall_quiet=NO firewall_logging_enable=YES natd_enable=YES natd_interface=fxp0 natd_flags=-f /etc/ipfw/natd.conf ….. ipfw.conf add 00020 divert 8668 ip from any to any via fxp0 add 00021 pipe 1 ip from any to 192.168.1.128/25 out via rl0 pipe 1 config bw 200kbit/s add 00022 fwd 192.168.1.2,25 tcp from any to any 25 in recv fxp0 add 00023 fwd 192.168.1.2,110 tcp from any to any 110 in recv fxp0 ….. ….. natd.conf use_sockets same_ports interface fxp0 redirect_port tcp 192.168.1.2:25 25 redirect_port tcp 192.168.1.2:110 110 dynamic -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/ -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/ -Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php-- Huzeyfe ÖNAL---First Turkish Qmail book is out! Go check it.Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/
Re: [FreeBSD] Re: apachede neden thread onerilmiyor?
merhaba önce ayırdığınız zaman için teşekkür ederim.http://httpd.apache.org/docs/2.2/mpm.html bu linkdede apachenin mpmdeki öntanımlı değerleri yazmışlar, işletim sistemine göre. evet dediğiniz gibi php INSTALL dosyasında apache derlemede thread önerilmiyor php için. ama apache INSTALL dosyasında bunu sadece freebsd için yazdıklarından vede freebsd kullanmayı başlamayı düşündüğümden merak etmiştim. sanırım bu sadece php ile ilgili değil apache deki notun nedeni, çekirdeklerlede alakalı. ben php ile kullanıyorum apacheyi ondan ben hangi işletim sistemi olursa olsun threadsiz kullanıcam o belli oldu. teşekkürler, iyi çalışmalar.
Re: [FreeBSD] Skype port
Merhabalar,Ýþin garip tarafý bende IPFW kullanýyorum :=)) PF kullanmadým hiç. Bu yüzden IPFW üzerinden çözmenin yollarýna bakýyorum.Ama herhangi somut bir uygulama Baþarmýþ deðilim. sadece skype nin 443 nolu portu nu kestim ama yinede baþka portlarý kullanýyor sanýrým. Eðer skype yi IPFW üzerinde uygulamayý yapan arkadaþlardan yardým bekliyorum iyi çalýþmalar Bedreddin ÞAHBAZ [EMAIL PROTECTED] wrote: Merhabalar,Listede su anda da yazisiyor arkadaslar. Bence PF gibibir yazilim varken ve 5 serisinden itibaren FreeBSDkaynak koduna PF eklenmisken IPFW kullanmak bence pekde sik durmaz :)Ben PF kullaniyorum. Ag yapim su sekilde;Ýnternet - ADSL Modem --- disa_bakan_NIC -FreeBSD-ice_bakan_NIC -- Ic_AgBu yapida squid i transparan calistiriyorum. Tumtrafik internete cikmadan once FreeBSD uzerindengecmek zorunda kaliyor. Yani ic agdaki bilgisayarlarinADSL modeme fiziksel baglantisi yok. FreeBSD uzerindenADSL modeme gidebiliyor paketler.Saygilarimla..--- Ömer Koyun <[EMAIL PROTECTED]>wrote: Merhaba Bedreddin bey IPFW ile de denedim fakat yinede skype baðlatý saðladý. bende Squid tarafýna yönelmiþtim. Peki IPFW üzerinde nasýl bir uygulama yapabilriz? TeþekkürlerBedreddin ÞAHBAZ <[EMAIL PROTECTED]>wrote: Merhabalar, Konuya sonradan dahil oluyorum ama bence bu tip isler icin bir firewall uygulamasi kullanmak sanirim daha iyi olacaktir. Ben bir ara firewall ile skype yi durdurdum. Bahsedilen porttan gerceklesen trafigi bloklamak yeterli oldu. Squid ile bu tip isler biraz zor sanirim. Saygilarimla..--- Ömer Koyun wrote: Merhaba Ascara Bey, Dediðiniz gibi squid.conf'a girdim.webmin üzerinde ekteki dosyadaki gibi yapýyorum fakat bu seferde aþaðýdaki hatayý alýyorum. Acaba kural sýralamasýndamý hata yapýyorum? Failed to reconfigure squid : 2006/02/23 13:31:17| ACL name 'numeric_IPs' not defined! FATAL: Bungled squid.conf line 1900: http_access deny numeric_IPs Squid Cache (Version 2.5.STABLE11): Terminated abnormally. - Yahoo! Mail Use Photomail to share photos without annoying attachments.- Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php __ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php - Brings words and photos together (easily) with PhotoMail - it's free and works with Yahoo! Mail.__Do You Yahoo!?Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com -Cikmak icin, e-mail: [EMAIL PROTECTED]Liste arsivi: http://lists.enderunix.orgTurkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php Yahoo! Autos. Looking for a sweet ride? Get pricing, reviews, & more on new and used cars.
[FreeBSD] squid ve transparency
firewall dan tüm port 80 isteklerini clientlar ile aynı ipye sahip bir server a yönlendirdim. server üzerinde squid kuruluı ve çalışıyor. clientlar ın proxy ayarlarını elle yaptığımda proxy den yararlanarak internete çıkıyorlar. ama elle ayarlamadan firewall dan yönlendirdiğim de istekler geliyor ama proxy internete çıkış yapmadan hemen cevap gönderiyor. neden anlayamadım. squid üzerinde ipfw yüklü ve herhangi bir engelmeme yok. port yönlendirme de yok çünkü port zaten başka bir firewall tarafından yönlendiriliyor. tüm istekler squid in dinlediği porta geliyor. kernel dosyası içeriğinin son satırları: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARDoptions IPDIVERToptions DUMMYNEToptions IPSTEALTHoptions IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #bandwith icin.#pseudo-device vlan 3 # IEEE 802.1Q VLAN Support options SYSVMSGoptions MSGMNB=8192 # max # of bytes in a queueoptions MSGMNI=40 # number of message queue identifiersoptions MSGSEG=512 # number of message segments per queueoptions MSGSSZ=64 # size of a message segmentoptions MSGTQL=2048 # max messages in systemoptions SYSVSHMoptions SHMSEG=16 # max shared mem id's per processoptions SHMMNI=32 # max shared mem id's per systemoptions SHMMAX=2097152 # max shared memory segment size (bytes)options SHMALL=4096 # max amount of shared squid.conf dosyası: http_port 3128visible_hostname proxy.mydomain.comhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 128 MBmaximum_object_size 512 KBipcache_size 2048fqdncache_size 2048cache_dir ufs /usr/local/squid/cache 3072 60 312read_timeout 5 minutesrequest_timeout 30 secondshalf_closed_clients offforwarded_for offauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursrefresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320acl all src 0.0.0.0/0.0.0.0acl internet src 172.16.0.0/21acl nodownload urlpath_regex -i "/usr/local/etc/squid/nodownload" http_access deny nodownload acl DENYPAGE urlpath_regex Servletacl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECTno_cache deny DENYPAGEhttp_access allow internethttp_access allow manager localhosthttp_access deny managerhttp_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow localhosthttp_reply_access allow allhttp_access deny allicp_access allow allhttpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header oncoredump_dir /usr/local/squid /error_directory /usr/local/etc/squid/errors/Turkishclient_db off#redirect_program /usr/local/bin/squidGuard#redirect_children 10cache_effective_user squid cache_effective_group squidaccess_log /usr/local/squid/logs/access.log squid --- [EMAIL PROTECTED]# ipfw show65535 240969 28785602 allow ip from any to any [EMAIL PROTECTED]# egrep squid rc.conf squid_enable="YES"[EMAIL PROTECTED]# sockstat -l | grep squidsquid squid 903 5 udp4 *:58934 *:*squid squid 903 12 tcp4 *:3128 *:*squid squid 903 13 udp4 *:3130 *:*squid squid 903 14 udp4 *:4827 *:*[EMAIL PROTECTED]# ps auxww | grep squidsquid 552 0.0 0.1 1660 1116 ?? Ss 1:33PM 0:00.15 (pinger) (pinger)squid 709 0.0 0.1 1660 1104 ?? Ss 2:17PM 0:00.13 (pinger) (pinger)squid 711 0.0 0.1 1660 1104 ?? Ss 2:17PM 0:00.13 (pinger) (pinger)squid 746 0.0 0.1 1660 1116 ?? Ss 2:18PM 0:00.16 (pinger) (pinger)squid 901 0.0 0.3 5552 2804 ?? Is 3:09PM 0:00.01 /usr/local/sbin/squid -Dsquid 903 0.0 1.0 11472 9932 ?? S 3:09PM 0:02.01 (squid) -D (squid)squid 904 0.0 0.1 1272 596 ?? Is 3:09PM 0:00.04 (unlinkd) (unlinkd)squid 905 0.0 0.1 1660 1116 ?? Ss 3:09PM 0:00.11 (pinger) (pinger)root 1094 0.0 0.1 1316 688 p0 I 4:27PM 0:00.01 tail -f /usr/local/squid/logs/access.logroot 1222 0.0 0.1 1588 968 p2 S+ 5:06PM 0:00.01 grep squid[EMAIL PROTECTED]# ls -l /var/db/pkg/ | grep squiddrwxr-xr-x 2 root wheel 512 Feb 17 18:07 squid-2.5.12_4[EMAIL PROTECTED]# rc.conf içerisinde ipfw ile ilgili bir satır yok. iyi çalışmalar
Re: [FreeBSD] squid ve transparency
bu arada ekleme yapmak istiyorum firewall dan yaptığım hedef port 80 olanları proxy in 3128 ine yönlendir komutuna proxy den gelen istekler dahil değildir. belirtmeyi unutmuşum. bunun yanında messages çıktısını da eklemek istiyorum.. [EMAIL PROTECTED]# tail /var/log/messagesFeb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052 bunlar nedir bilmiyorum.. - Original Message - From: Mesut GÜLNAZ To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 5:08 PM Subject: [FreeBSD] squid ve transparency firewall dan tüm port 80 isteklerini clientlar ile aynı ipye sahip bir server a yönlendirdim. server üzerinde squid kuruluı ve çalışıyor. clientlar ın proxy ayarlarını elle yaptığımda proxy den yararlanarak internete çıkıyorlar. ama elle ayarlamadan firewall dan yönlendirdiğim de istekler geliyor ama proxy internete çıkış yapmadan hemen cevap gönderiyor. neden anlayamadım. squid üzerinde ipfw yüklü ve herhangi bir engelmeme yok. port yönlendirme de yok çünkü port zaten başka bir firewall tarafından yönlendiriliyor. tüm istekler squid in dinlediği porta geliyor. kernel dosyası içeriğinin son satırları: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARDoptions IPDIVERToptions DUMMYNEToptions IPSTEALTHoptions IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #bandwith icin.#pseudo-device vlan 3 # IEEE 802.1Q VLAN Support options SYSVMSGoptions MSGMNB=8192 # max # of bytes in a queueoptions MSGMNI=40 # number of message queue identifiersoptions MSGSEG=512 # number of message segments per queueoptions MSGSSZ=64 # size of a message segmentoptions MSGTQL=2048 # max messages in systemoptions SYSVSHMoptions SHMSEG=16 # max shared mem id's per processoptions SHMMNI=32 # max shared mem id's per systemoptions SHMMAX=2097152 # max shared memory segment size (bytes)options SHMALL=4096 # max amount of shared squid.conf dosyası: http_port 3128visible_hostname proxy.mydomain.comhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 128 MBmaximum_object_size 512 KBipcache_size 2048fqdncache_size 2048cache_dir ufs /usr/local/squid/cache 3072 60 312read_timeout 5 minutesrequest_timeout 30 secondshalf_closed_clients offforwarded_for offauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursrefresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320acl all src 0.0.0.0/0.0.0.0acl internet src 172.16.0.0/21acl nodownload urlpath_regex -i "/usr/local/etc/squid/nodownload" http_access deny nodownload acl DENYPAGE urlpath_regex Servletacl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECTno_cache deny DENYPAGEhttp_access allow internethttp_access allow manager localhosthttp_access deny managerhttp_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow localhosthttp_reply_access allow allhttp_access deny allicp_access allow allhttpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header oncoredump_dir /usr/local/squid /error_directory /usr/local/etc/squid/errors/Turkishclient_db off#redirect_program /usr/local/bin/squidGuard#redirect_children 10cache_effective_user squid cache_effective_group squidaccess_log /usr/local/squid/logs/access.log squid
RE: [FreeBSD] IPFW-NAT-FWD
Huzeyfe bey, cok tesekkurler elinize kolunuza saglik ,sizin sayenizde sorun cozuldu mail server in baska bir (GW) adresi ile disariya cikmasindan kaynaklaniyormus geri donus gostermedigi icin port yonlendirmesi olmamis gibi gozukiyordu. Selamlar Abdullah From: Huzeyfe Onal [mailto:[EMAIL PROTECTED] Sent: Thursday, February 23, 2006 3:07 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, kurallariniz gayet normal, gerci hicbir istek bloklanmamis ama beklediginiz calismanin olmasi gerekiyor. Acaba bu firewallun onunde baska filtreleme yapan bir cihaz var mi? Firewall'in dis bacagini dinlediginizde(tcpdump) SMTP vs isteklerini gorebiliyor musunuz? 2006/2/23, Abdullah OZTURK [EMAIL PROTECTED]: Pf ornek configurasyondan duzenlemey calistim foo degistirmeyi unutmusum oyle kalmis configurasyonu da ekte gonderiyorum.. From: Huzeyfe Onal [mailto:[EMAIL PROTECTED]] Sent: Thursday, February 23, 2006 2:23 PM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, pass in on fxp0 proto tcp from any to foo port = http keep state pass in on fxp0 proto udp from any to foo port = http keep state kurallarindaki foo'lar nedir? tum kural aileniz bu mu? ek olarak pass/block li kurallara mutlaka log ekeyin ki problem ciktiginde hangi kuraldan dolayi cikiyor gorebiliriz. 2006/2/23, Abdullah OZTURK [EMAIL PROTECTED]: Huzeyfe bey, Sozunuzu tutup PF kurdum nat ve transparan squid gayet guzel calismakta RDR yonlendirme calismiyor lutfen yardim. pfctl sa kismi sonucu asagidaki gibidir.. nat on fxp0 inet from 192.0.0.0/8 to any - (fxp0) round-robin rdr on fxp0 inet proto tcp from any to x.x.x.x port = smtp - 192.168.1.2 port 25 rdr on fxp0 inet proto tcp from any to x.x.x.x port = pop3 - 192.168.1.2 port 110 rdr on rl0 inet proto tcp from 192.168.1.0/24 to any port = http - 127.0.0.1 port 3128 FILTER RULES: pass in on rl0 inet proto tcp from any to 127.0.0.1 port = 3128 keep state pass out on fxp0 inet proto tcp from any to any port = http keep state pass in on fxp0 inet proto tcp from any to any port = smtp keep state pass in on fxp0 proto tcp from any to foo port = http keep state pass in on fxp0 proto udp from any to foo port = http keep state From: Huzeyfe Onal [mailto: [EMAIL PROTECTED]] Sent: Wednesday, February 08, 2006 10:31 AM To: freebsd@lists.enderunix.org Subject: Re: [FreeBSD] IPFW-NAT-FWD Merhaba, bence bu kadar ugrasi yerin bir adet PF(Packet Filter ) kurun, hem siz rahat edin hem FreeBSD makineniz rahat etsin ;-). Kurallarini yazmak da bu kadar karmasik ve uzun surmez 2006/2/7, Abdullah OZTURK [EMAIL PROTECTED]: Arkadaslar frebsd gonuldaslari mail server a yonlendirme isini bir turlu cozemedim 4.3 de normal calisan conf 6.0 da yukledim calismadi nat ve ipfwde conf larindan baska bir ayar mi var acaba Rc.conf .. firewall_enable=YES firewall_type=/etc/ipfw/ipfw.conf #firewall_script=/etc/rc.firewall firewall_quiet=NO firewall_logging_enable=YES natd_enable=YES natd_interface=fxp0 natd_flags=-f /etc/ipfw/natd.conf .. ipfw.conf add 00020 divert 8668 ip from any to any via fxp0 add 00021 pipe 1 ip from any to 192.168.1.128/25 out via rl0 pipe 1 config bw 200kbit/s add 00022 fwd 192.168.1.2,25 tcp from any to any 25 in recv fxp0 add 00023 fwd 192.168.1.2,110 tcp from any to any 110 in recv fxp0 .. .. natd.conf use_sockets same_ports interface fxp0 redirect_port tcp 192.168.1.2:25 25 redirect_port tcp 192.168.1.2:110 110 dynamic -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/ -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/ - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/
Re: [FreeBSD] squid ve transparency
Merhaba,firewall yonlendirme yaptiginda Squid makineye istek geliyor, Squid gidip internetten sayfayi aliyor geri gonderecegi zaman firewall uzerinden degil de direkt ic agdaki makineye yolluyor, icerideki makinede boyle bir cevap beklemedigi icin paket kabul edilmiyor. Squid'i WCCP destegi ile kurarak calistirirsaniz sistem umdugunuz gibi calisacaktir..23.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: bu arada ekleme yapmak istiyorum firewall dan yaptığım hedef port 80 olanları proxy in 3128 ine yönlendir komutuna proxy den gelen istekler dahil değildir. belirtmeyi unutmuşum. bunun yanında messages çıktısını da eklemek istiyorum.. [EMAIL PROTECTED]# tail /var/log/messagesFeb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052 bunlar nedir bilmiyorum.. - Original Message - From: Mesut GÜLNAZ To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 5:08 PM Subject: [FreeBSD] squid ve transparency firewall dan tüm port 80 isteklerini clientlar ile aynı ipye sahip bir server a yönlendirdim. server üzerinde squid kuruluı ve çalışıyor. clientlar ın proxy ayarlarını elle yaptığımda proxy den yararlanarak internete çıkıyorlar. ama elle ayarlamadan firewall dan yönlendirdiğim de istekler geliyor ama proxy internete çıkış yapmadan hemen cevap gönderiyor. neden anlayamadım. squid üzerinde ipfw yüklü ve herhangi bir engelmeme yok. port yönlendirme de yok çünkü port zaten başka bir firewall tarafından yönlendiriliyor. tüm istekler squid in dinlediği porta geliyor. kernel dosyası içeriğinin son satırları: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARDoptions IPDIVERToptions DUMMYNEToptions IPSTEALTHoptions IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #bandwith icin.#pseudo-device vlan 3 # IEEE 802.1Q VLAN Support options SYSVMSGoptions MSGMNB=8192 # max # of bytes in a queueoptions MSGMNI=40 # number of message queue identifiersoptions MSGSEG=512 # number of message segments per queueoptions MSGSSZ=64 # size of a message segmentoptions MSGTQL=2048 # max messages in systemoptions SYSVSHMoptions SHMSEG=16 # max shared mem id's per processoptions SHMMNI=32 # max shared mem id's per systemoptions SHMMAX=2097152 # max shared memory segment size (bytes)options SHMALL=4096 # max amount of shared squid.conf dosyası: http_port 3128visible_hostname proxy.mydomain.comhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 128 MBmaximum_object_size 512 KBipcache_size 2048fqdncache_size 2048cache_dir ufs /usr/local/squid/cache 3072 60 312read_timeout 5 minutesrequest_timeout 30 secondshalf_closed_clients offforwarded_for offauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursrefresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320acl all src 0.0.0.0/0.0.0.0acl internet src 172.16.0.0/21acl nodownload urlpath_regex -i /usr/local/etc/squid/nodownload http_access deny nodownload acl DENYPAGE urlpath_regex Servletacl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECTno_cache deny DENYPAGEhttp_access allow internethttp_access allow manager localhosthttp_access deny managerhttp_access deny !Safe_portshttp_access deny CONNECT !SSL_portshttp_access allow localhosthttp_reply_access allow allhttp_access deny
Re: [FreeBSD] squid ve transparency
söz konusu squid kurulumunu [X] SQUID_WCCP Enable Web Cache Coordination Protocol desteği ile gerçekleştirmiştim. belirtmek istediğim bir şey varki o da squid in access.log dosyasına firewall dan port 80yönlendirmesi yaptığımda herhangi bir giriş olmuyor. lakin dediğim gibi manuel olarak ayarladığımda access.log a kayıt girişi olmaktadır. iyi çalışmalar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 9:00 PM Subject: Re: [FreeBSD] squid ve transparency Merhaba,firewall yonlendirme yaptiginda Squid makineye istek geliyor, Squid gidip internetten sayfayi aliyor geri gonderecegi zaman firewall uzerinden degil de direkt ic agdaki makineye yolluyor, icerideki makinede boyle bir cevap beklemedigi icin paket kabul edilmiyor. Squid'i WCCP destegi ile kurarak calistirirsaniz sistem umdugunuz gibi calisacaktir.. 23.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: bu arada ekleme yapmak istiyorum firewall dan yaptığım hedef port 80 olanları proxy in 3128 ine yönlendir komutuna proxy den gelen istekler dahil değildir. belirtmeyi unutmuşum. bunun yanında messages çıktısını da eklemek istiyorum.. [EMAIL PROTECTED]# tail /var/log/messagesFeb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052 bunlar nedir bilmiyorum.. - Original Message - From: Mesut GÜLNAZ To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 5:08 PM Subject: [FreeBSD] squid ve transparency firewall dan tüm port 80 isteklerini clientlar ile aynı ipye sahip bir server a yönlendirdim. server üzerinde squid kuruluı ve çalışıyor. clientlar ın proxy ayarlarını elle yaptığımda proxy den yararlanarak internete çıkıyorlar. ama elle ayarlamadan firewall dan yönlendirdiğim de istekler geliyor ama proxy internete çıkış yapmadan hemen cevap gönderiyor. neden anlayamadım. squid üzerinde ipfw yüklü ve herhangi bir engelmeme yok. port yönlendirme de yok çünkü port zaten başka bir firewall tarafından yönlendiriliyor. tüm istekler squid in dinlediği porta geliyor. kernel dosyası içeriğinin son satırları: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARDoptions IPDIVERToptions DUMMYNEToptions IPSTEALTHoptions IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #bandwith icin.#pseudo-device vlan 3 # IEEE 802.1Q VLAN Support options SYSVMSGoptions MSGMNB=8192 # max # of bytes in a queueoptions MSGMNI=40 # number of message queue identifiersoptions MSGSEG=512 # number of message segments per queueoptions MSGSSZ=64 # size of a message segmentoptions MSGTQL=2048 # max messages in systemoptions SYSVSHMoptions SHMSEG=16 # max shared mem id's per processoptions SHMMNI=32 # max shared mem id's per systemoptions SHMMAX=2097152 # max shared memory segment size (bytes)options SHMALL=4096 # max amount of shared squid.conf dosyası: http_port 3128visible_hostname proxy.mydomain.comhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 128 MBmaximum_object_size 512 KBipcache_size 2048fqdncache_size 2048cache_dir ufs /usr/local/squid/cache 3072 60 312read_timeout 5 minutesrequest_timeout 30 secondshalf_closed_clients offforwarded_for offauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hoursrefresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320acl all src 0.0.0.0/0.0.0.0acl internet src 172.16.0.0/21acl
[FreeBSD] 10 years of The Complete FreeBSD (fwd)
Greg Lehey The Complete FreeBSD kitabini acti. Ilgilenenler indirebilir.. Ten years ago today, on 24 February 1996, I submitted for publication the final version of the first ever book on FreeBSD, Installing and Using FreeBSD. It was later renamed to The Complete FreeBSD. I have always retained full rights to the book, and for today I've decided to release it for download under the Creative Commons license. See more at http://www.lemis.com/grog/Documentation/CFBSD/. Greg -- See complete headers for address and phone numbers. pgpgJW4CFVR2Z.pgp Description: PGP signature - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] squid ve transparency
Merhabalar,zaten WCCP'yi IPFW ile yapamazsiniz, Cisco bir switch/router olmali. Orayi kacirmisim ben. Bu secenegi gecersek her uc sistemin ayni agda oldugu bu yapi icin asagidaki gibi bir duzenek gelistirilebilir; Internete giden 80 port istekleri ! proxy'den gelmiyorsa Proxy'ye 3128/TCP'ye yonlendir.Proxy'e giden paketleri Firewall'in ic bacagi ile NAT yap.Bu yapinin calismasi lazim, benzer bir yapiyi kullaniyorum tek farki, Proxy'yi farkli bir agda calistiriyorum. 24.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: söz konusu squid kurulumunu [X] SQUID_WCCP Enable Web Cache Coordination Protocol desteği ile gerçekleştirmiştim. belirtmek istediğim bir şey varki o da squid in access.log dosyasına firewall dan port 80yönlendirmesi yaptığımda herhangi bir giriş olmuyor. lakin dediğim gibi manuel olarak ayarladığımda access.log a kayıt girişi olmaktadır. iyi çalışmalar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 9:00 PM Subject: Re: [FreeBSD] squid ve transparency Merhaba,firewall yonlendirme yaptiginda Squid makineye istek geliyor, Squid gidip internetten sayfayi aliyor geri gonderecegi zaman firewall uzerinden degil de direkt ic agdaki makineye yolluyor, icerideki makinede boyle bir cevap beklemedigi icin paket kabul edilmiyor. Squid'i WCCP destegi ile kurarak calistirirsaniz sistem umdugunuz gibi calisacaktir.. 23.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: bu arada ekleme yapmak istiyorum firewall dan yaptığım hedef port 80 olanları proxy in 3128 ine yönlendir komutuna proxy den gelen istekler dahil değildir. belirtmeyi unutmuşum. bunun yanında messages çıktısını da eklemek istiyorum.. [EMAIL PROTECTED]# tail /var/log/messagesFeb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:18 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:28 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:38 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:62062 from 127.0.0.1:65002Feb 23 17:09:48 proxy kernel: Connection attempt to UDP 127.0.0.1:55408 from 127.0.0.1:59879Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:52211 from 127.0.0.1:63264Feb 23 17:09:58 proxy kernel: Connection attempt to UDP 127.0.0.1:55032 from 127.0.0.1:60052 bunlar nedir bilmiyorum.. - Original Message - From: Mesut GÜLNAZ To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 5:08 PM Subject: [FreeBSD] squid ve transparency firewall dan tüm port 80 isteklerini clientlar ile aynı ipye sahip bir server a yönlendirdim. server üzerinde squid kuruluı ve çalışıyor. clientlar ın proxy ayarlarını elle yaptığımda proxy den yararlanarak internete çıkıyorlar. ama elle ayarlamadan firewall dan yönlendirdiğim de istekler geliyor ama proxy internete çıkış yapmadan hemen cevap gönderiyor. neden anlayamadım. squid üzerinde ipfw yüklü ve herhangi bir engelmeme yok. port yönlendirme de yok çünkü port zaten başka bir firewall tarafından yönlendiriliyor. tüm istekler squid in dinlediği porta geliyor. kernel dosyası içeriğinin son satırları: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARDoptions IPDIVERToptions DUMMYNEToptions IPSTEALTHoptions IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET #bandwith icin.#pseudo-device vlan 3 # IEEE 802.1Q VLAN Support options SYSVMSGoptions MSGMNB=8192 # max # of bytes in a queueoptions MSGMNI=40 # number of message queue identifiersoptions MSGSEG=512 # number of message segments per queueoptions MSGSSZ=64 # size of a message segmentoptions MSGTQL=2048 # max messages in systemoptions SYSVSHMoptions SHMSEG=16 # max shared mem id's per processoptions SHMMNI=32 # max shared mem id's per systemoptions SHMMAX=2097152 # max shared memory segment size (bytes)options SHMALL=4096 # max amount of shared squid.conf dosyası: http_port 3128visible_hostname proxy.mydomain.comhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYcache_mem 128 MBmaximum_object_size 512 KBipcache_size
Re: [FreeBSD] squid ve transparency
şu şekilde bir kural yapısında dediğinizi gerçekleştirmeye çalıştım 84 ipsi squid in ipsi. 80 ise bir client. firewall openbsd ve pf. root# pfctl -s all | grep 172.16.0.84 no rdr on sk1 inet proto tcp from 172.16.0.84 to any port = wwwrdr on sk1 inet proto tcp from 172.16.0.80 to any port = www - 172.16.0.84 port 3128pass in log quick on sk1 inet proto tcp from 172.16.0.84 to any port = www keep state label "2"self tcp 172.16.0.84:3128 - 66.102.9.104:80 - 172.16.0.80:1954 CLOSED:SYN_SENTself tcp 172.16.0.84:3128 - 65.54.168.250:80 - 172.16.0.80:1956 CLOSED:SYN_SENTself tcp 172.16.0.84:3128 - 65.54.168.250:80 - 172.16.0.80:1957 CLOSED:SYN_SENT squidden alınan ilgili tcpdump çıktıları ise şu şekilde: 00:09:6b:47:a8:64 00:90:27:3f:15:5d, ethertype IPv4 (0x0800), length 60: IP (tos 0x0, ttl 128, id 55165, offset 0, flags [none], length: 40) 172.16.0.80.1953 172.16.0.84.3128: R [tcp sum ok] 1849008494:1849008494(0) win 000:00:5a:9d:4a:78 00:90:27:3f:15:5d, ethertype IPv4 (0x0800), length 62: IP (tos 0x0, ttl 127, id 55167, offset 0, flags [none], length: 48) 172.16.0.80.1953 172.16.0.84.3128: S [tcp sum ok] 1849008493:1849008493(0) win 65535 mss 1460,nop,nop,sackOK00:90:27:3f:15:5d 00:09:6b:47:a8:64, ethertype IPv4 (0x0800), length 62: IP (tos 0x0, ttl 64, id 62114, offset 0, flags [DF], length: 48) 172.16.0.84.3128 172.16.0.80.1953: S [tcp sum ok] 1451729512:1451729512(0) ack 1849008494 win 65535 mss 1460,nop,nop,sackOK00:09:6b:47:a8:64 00:90:27:3f:15:5d, ethertype IPv4 (0x0800), length 60: IP (tos 0x0, ttl 128, id 55168, offset 0, flags [none], length: 40) 172.16.0.80.1953 172.16.0.84.3128: R [tcp sum ok] 1849008494:1849008494(0) win 000:00:5a:9d:4a:78 00:90:27:3f:15:5d, ethertype IPv4 (0x0800), length 62: IP (tos 0x0, ttl 127, id 55175, offset 0, flags [none], length: 48) 172.16.0.80.1953 172.16.0.84.3128: S [tcp sum ok] 1849008493:1849008493(0) win 65535 mss 1460,nop,nop,sackOK00:90:27:3f:15:5d 00:09:6b:47:a8:64, ethertype IPv4 (0x0800), length 62: IP (tos 0x0, ttl 64, id 62124, offset 0, flags [DF], length: 48) 172.16.0.84.3128 172.16.0.80.1953: S [tcp sum ok] 207399004:207399004(0) ack 1849008494 win 65535 mss 1460,nop,nop,sackOK00:09:6b:47:a8:64 00:90:27:3f:15:5d, ethertype IPv4 (0x0800), length 60: IP (tos 0x0, ttl 128, id 55176, offset 0, flags [none], length: 40) 172.16.0.80.1953 172.16.0.84.3128: R [tcp sum ok] 1849008494:1849008494(0) win 0 dediğiniz NAT işlemini gerçekleştirmeden bu bir fikir verebilir mi? bunun yanında squid den client ın yaptığı google a ulaşmak için herhangi bir istekin çıkmadığı dikkatimi çekiyor. yani 172.16.0.84 ip si google ulaşmak için herhangi bir istekte bulunmuyor. keep state kullandığım için pflog a da herhangi bir request düşmüyor. acaba nerde yanlış yapıyorum. kolay gelsin... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Friday, February 24, 2006 8:52 AM Subject: Re: [FreeBSD] squid ve transparency Merhabalar,zaten WCCP'yi IPFW ile yapamazsiniz, Cisco bir switch/router olmali. Orayi kacirmisim ben. Bu secenegi gecersek her uc sistemin ayni agda oldugu bu yapi icin asagidaki gibi bir duzenek gelistirilebilir; Internete giden 80 port istekleri ! proxy'den gelmiyorsa Proxy'ye 3128/TCP'ye yonlendir. Proxy'e giden paketleri Firewall'in ic bacagi ile NAT yap.Bu yapinin calismasi lazim, benzer bir yapiyi kullaniyorum tek farki, Proxy'yi farkli bir agda calistiriyorum. 24.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: söz konusu squid kurulumunu [X] SQUID_WCCP Enable Web Cache Coordination Protocol desteği ile gerçekleştirmiştim. belirtmek istediğim bir şey varki o da squid in access.log dosyasına firewall dan port 80yönlendirmesi yaptığımda herhangi bir giriş olmuyor. lakin dediğim gibi manuel olarak ayarladığımda access.log a kayıt girişi olmaktadır. iyi çalışmalar... - Original Message - From: Huzeyfe Onal To: freebsd@lists.enderunix.org Sent: Thursday, February 23, 2006 9:00 PM Subject: Re: [FreeBSD] squid ve transparency Merhaba,firewall yonlendirme yaptiginda Squid makineye istek geliyor, Squid gidip internetten sayfayi aliyor geri gonderecegi zaman firewall uzerinden degil de direkt ic agdaki makineye yolluyor, icerideki makinede boyle bir cevap beklemedigi icin paket kabul edilmiyor. Squid'i WCCP destegi ile kurarak calistirirsaniz sistem umdugunuz gibi calisacaktir.. 23.02.2006 tarihinde Mesut GÜLNAZ [EMAIL PROTECTED] yazmış: bu arada ekleme yapmak istiyorum firewall dan yaptığım hedef port 80 olanları proxy in 3128 ine yönlendir komutuna proxy den gelen istekler dahil değildir. belirtmeyi unutmuşum. bunun yanında messages çıktısını da
