IPFW + Squid + перенаправление трафика = ПОМОГИТЕ !

[Pukite]

Итак, имеем роутер с двумя интерфейсами: ПРОВАЙДЕР.207 (внешний) и 192.168.0.7 (внутренний), рутер является шлюзом для локальной сети. Для подсчета веб трафика поставили Squid, на который перенаправляются запросы для 80-го порта с локальной сетки. Имеем машину с адресом 192.168.0.109, на рутере пишем правило:

ipfw add 15 fwd ПРОВАЙДЕР.207,29 tcp from 192.168.0.109 to any 80

все работает как надо. Но, если его записать в виде:

ipfw add 15 fwd ПРОВАЙДЕР.207,29 tcp from 192.168.0.0/24 to any 80

то сквид ругается, что доступ запрещен. Что делаю не так? Строчки в конфиге сквида прописаны:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

ЧТО ДЕЛАТЬ?

[stoli]

Итак, имеем роутер с двумя интерфейсами: ПРОВАЙДЕР.207 (внешний) и 192.168.0.7 (внутренний), рутер является шлюзом для локальной сети. Для подсчета веб трафика поставили Squid, на который перенаправляются запросы для 80-го порта с локальной сетки. Имеем машину с адресом 192.168.0.109, на рутере пишем правило:

ipfw add 15 fwd ПРОВАЙДЕР.207,29 tcp from 192.168.0.109 to any 80

все работает как надо. Но, если его записать в виде:

ipfw add 15 fwd ПРОВАЙДЕР.207,29 tcp from 192.168.0.0/24 to any 80

то сквид ругается, что доступ запрещен. Что делаю не так? Строчки в конфиге сквида прописаны:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

ЧТО ДЕЛАТЬ?

По умолчанию в сквиде доступ клиентов стоит "deny all".
Я бы для начала попробовал добавить в squid.conf
acl yournetwork src 192.168.0.0/255.255.0.0
http_access allow yournetwork

[prozaik]

squid ругается на 192.168.0.109 ?
Интерфейс в правилах ipfw надо указывать?

[Pukite]

Все это стоит, но не работает именно тогда, если указываю подсеть, а не конкретную машину. Когда-то (на другом сервере) у меня такое дело работало, но не помню точно, какой должен быть конфиг.

[stoli]

Все это стоит, но не работает именно тогда, если указываю подсеть, а не конкретную машину. Когда-то (на другом сервере) у меня такое дело работало, но не помню точно, какой должен быть конфиг.

Я бы все равно смотрел туда - какие разрешены ports, точную маску сети и т.п. , перед тем как смотреть на IPFW...
Или попробуйте iptables

Сделайте в сквиде http_access allow all и посмотрите, что будет. Если то же самое, то это не сквид. Если будет работать - значит что-то там не то.

[Pukite]

Поставила allow all, но не помогает, в access.log все те же строчки:

1070229685.496 2 192.168.0.7 TCP_MISS/403 1341 GET http://www.privet.com/ - NONE/- text/html
1070229685.498 18 192.168.0.109 TCP_MISS/403 1364 GET http://www.privet.com/ - DIRECT/4.35.253.46 text/html

Я не думаю, что сквид виноват, запрос ведь с той же машины приходит. Вот, какие у меня ipfw rules:

00010 deny icmp from any to any
00015 fwd ПРОВАЙДЕР.207,29 tcp from 192.168.0.109 to any 80
00050 divert 8668 ip from any to any via lnc0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
09999 allow ip from any to any
65000 allow ip from any to any
65535 deny ip from any to any

[Pukite]

Проблема была со шлюзом, мой недосмотр. Потом расскажу. Спасибо за оперативную помощь!

[KYKAH]

it is always routing...