Категория: Компьютерное



Понадобилось мне запустить Squid под FreeBSD в полностью прозрачном режиме. Таком, когда запрос прокси сервера в мир выполняются от адреса клиента. Другими словами - производится спуфинг адреса, с которого прокси выполняет запросы к сайтам. При правильной настройке (вырубить Via и X-Forwarded-For) наличие прокси можно определить лишь случайно, если он отвалится или выдаст страницу ошибки.

Под линуксом такое решение известно давно. Попытка, с ходу, найти рабочее решение для текущей версии FreeBSD, зашла в тупик. Удалось найти лишь статью, посвящённую довольно старым версиям FreeBSD.

Как известно, во FreeBSD мы не можем спуфить адреса, запуская программу не из под пользователя root. С другой стороны - Squid ругается при запуске из под пользователя root:

if (geteuid() == 0) {
    debug(0, 0) ("Squid is not safe to run as root!  If you must\n");
    debug(0, 0) ("start Squid as root, then you must configure\n");
    debug(0, 0) ("it to run as a non-priveledged user with the\n");
    debug(0, 0) ("'cache_effective_user' option in the config file.\n");
    fatal("Don't run Squid as root, set 'cache_effective_user'!");
  }

Что вполне разумно, ибо такая ситуация является дырой в безопасности и потенциальная бомбой - проглючивший прокси способен снести всю систему. Некоторые авторы предлагают решить эту проблему "через задний проход" - убрать проверку uid root, чтобы можно было заставить работать Squid в режиме tproxy .

Нужно было решить две задачи:

• заставить Squid использовать в запросах адрес клиента
  
• сделать так, чтобы squid работал не от пользователя root
  

Первая задача решается просто - в портах есть форк Squid - Lusca Head:

/usr/ports/www/lusca-head

Пожалуй - это единственный на данный момент порт, поддерживающий работу в режиме tproxy "из коробки". При сборке не забудьте отметить соответствующую опцию.

Вторая задача не имела решения "в лоб". В конце концов, на одном из бразильских ресурсов был найден патч, подходящий к нашим условиям (блог на португальском языке, посвящён *BSD, для чтения можно использовать Google Translate). Патч даёт возможность спуфить адреса, имея права непривилегированного пользователя, что позволяет запустить из под него же прокси. Первоисточником такого решения является вот этот пост. После некоторых экспериментов и доработки напильником было получено рабочее решение:

1. Скачиваем патч, помещаем его в /usr/src, патчим сорцы и пересобираем ядро.

Добавлено 05.10.2013: в версии FreeBSD 9.2 немного поменялась структура каталогов сорцов ядра - для неё следует использовать обновлённый патч.

Устанавливаем новое ядро и перегружаемся.

2. Устанавливаем Lusca Head. В squid.conf указываем:

http_port 127.0.0.1:3128 transparent tproxy

Заворачиваем нужный трафик на прокси при помощи ipfw:

ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not me 80 in via em0

Заворачиваем на прокси ответные пакеты:

ipfw add fwd 127.0.0.1 tcp from any 80 to 192.168.0.0/24 in via fxp0

В данном случае - em0 смотрит в сеть с клиентами, fxp0 - в интернет.

Описанное решение будет работать и в режиме моста, возможные нюансы описаны здесь. Как по мне - лучше просто использовать редирект в конфиге Rejik на веб сайт, находящийся прямо на машине с прокси:

url 302:http://www-on-proxy-host/ban.html

И не заморачиваться с роутом трафика на / с прокси для веб сайта со страницами редиректов.

Добавлено 18.05.2015: lusca-head из портов удалён. Современная версия Squid 3.5.3 поддерживает режим tproxy прямо из коробки. Нужно только при установке выбрать используемый пакетный фильтр:

[ ] TP_IPF          Transparent proxying with IPFilter
[x] TP_IPFW         Transparent proxying with IPFW
[ ] TP_PF           Transparent proxying with PF

В squid.conf пишем:

http_port 127.0.0.1:3128
http_port 127.0.0.1:3129 tproxy

Проксируемый трафик заворачиваем на порт 3129.

Не забывайте пропатчить ядро ОС как указано выше.