Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Squid + Havp

    Russian
    2
    4
    2114
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      Michael Sh. last edited by

      PfS 2.0, прозрачный squid и havp родителем.
      делаем в терминале
      lynx localhost или
      lynx localhost.domain или
      lynx 127.0.0.1
      Получаем петли соединений и полную дальнейшую непроходимость HTTP.
      Пытаемся бороться.
      Это не отрабатывает как надо:

      
# Setup Squid proxy redirect
no rdr on bridge0 proto tcp from { 127.0.0.1, 192.168.7.1 } to any port 80
no rdr on lo0 proto tcp from { 127.0.0.1, 192.168.7.1 } to any port 80
no rdr on bridge0 proto tcp from any to { 127.0.0.1, localhost } port 80
no rdr on lo0 proto tcp from any to { 127.0.0.1, localhost } port 80
rdr on bridge0 proto tcp from any to !(bridge0) port 80 -> 127.0.0.1 port 80
rdr on lo0 proto tcp from any to !(lo0) port 80 -> 127.0.0.1 port 80

      т.к. сам squid слушает на localhost:80, если я правильно понимаю.
      Попытки загнать все вариации localhost в чёрные списки сквида не решают проблемы доступа по IP, да и работают как-то странно - то работают, то нет.
      Попытки заткнуть доступ с помощью havp-а тоже не совсем успешны. Можно заткнуть localhost.domain, но localhost входной контроль пакета за домен не считает, не говоря уже про IP адрес, хотя сам havp их прекрасно хавает. Вручную поправить раздел havp в конфиге не представляется возможным, т.к. на месте чёрного списка бред в виде хеша.
      Проблема встала из-за того, что некоторые говнодомены иногда прикидываются в DNS 127.0.0.1, что и приводит к затыкам.
      Вопрос в том, как правильно заткнуть петли, не правя код GUI?

      1 Reply Last reply Reply Quote 0
      • D
        dvserg last edited by

        Шокирован, но попробую догадаться - на бриджах существующие прозрачные режимы не работают.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • M
          Michael Sh. last edited by

          Вроде как не в редиректе дело. Что редиректим - попадаем на 127.0.0.1:80, что не редиректим. Запрашиваемый сервер всё равно 127.0.0.1:80, что при localhost, что при very.bad.domain, срезолвенным в 127.0.0.1. Вот и крутимся по цепочке localhost->squid->havp->localhost again :)
          Или я не прав?

          Edit:
          Это всё в случае запросов с самого PfSensa.
          Да, и ещё. Бридж тут езернета с wifi, а не сквозной.

          1 Reply Last reply Reply Quote 0
          • M
            Michael Sh. last edited by

            Пришлось таки пока добавить в squid.inc дополнительное правило

            
   $rules .= "# Setup squid pass rules for proxy\n";
+++$rules .= "block in quick on lo0 proto tcp from 127.0.0.1 to (lo0) port 80\n";
            1 Reply Last reply Reply Quote 0
            • First post
              Last post