https://opennet.me/openforum/vsluhforumID12/6523.html Здравствуйте.<br>Есть довольно тривиальная задача - настроить проксю и nat для пользователей. Осложняется все тем, что у сервера с проксей один сетевой интерфейс, а последней милей является циска - на нее разрешаю доступ только с серверов. И пользователи, и сервера, и циска живут в одной подсети. Раньше пока на шлюзе(FreeBSD) был только сквид все нормально работало. Начал прикручивать туда же нат - хочу разрешать на него доступ определенным компам работающим с кривыми программами считающими, что интенет начинается сразу на выходе с сетевой карты :) . Так вот начал я прикручивать нат и понял что работает или он или сквид(при одновременной работе как я понимаю ответы сквиду от внешних ресурсов попадают на тот самый нат и начинается форменный ужас). <br>Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну карточку сетевую на сервере, но она опять же будет в той же подсети(дополнительную подсеть по политическим причинам выделить уже не могу - да и переделывать тогда довольно много придется... https://opennet.me/openforum/vsluhforumID12/6523.html#11 Tue, 12 Oct 2010 06:14:27 GMT по поводу VLAN-поддерживаю: лучше порт, куда воткнут сервак затранковать и настроить VLAN на сервере. <br>На сколько я понял NAT должен работать в рамках одной подсети. Думаю в данных случаях без указания статических маршрутов на рабочих станциях не обойтись<br> https://opennet.me/openforum/vsluhforumID12/6523.html#10 Mon, 11 Oct 2010 05:00:34 GMT &gt; Схема примерно такая.<br>&gt; вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252<br><br>Больше кажется, что сработает установка доп.сетевой с тем же ip и выделение одной только под циску, а второй только под не циску...<br> https://opennet.me/openforum/vsluhforumID12/6523.html#9 Mon, 11 Oct 2010 04:25:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; в инет - если не попадают говорят до свиданья. Или там<br>&gt;&gt; банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после<br>&gt;&gt; перезагрузки компа надо сначала сокс выключать у него в настройках, а<br>&gt;&gt; потом включать - иначе не работает(хз почему). Ну и примеров есть<br>&gt;&gt; еще - случаи все довольно специфичные и как раз проще тут<br>&gt;&gt; натить все - редирект портов и тот не всегда спасает...<br>&gt; Программе не обязательно уметь работать через сокс, просто запускайте ее из<br>&gt; под сокс-клиента.<br>&gt; Про NAT и SQUID на одном интерфейсе пока не думал, не было<br>&gt; времени и желания, на досуге может подумаю.<br><br>Схема примерно такая.<br>вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252<br>172.16.5.1 - циска<br>172.16.5.2 - фря<br>на циске NAT-ите фрю с адреса 172.16.5.2 <br>на фре NAT-ите нужные айпи сети 192.168, в том числе 192.168.1.20, выпуская их через этот интерфейс 172.16.5.0/255.255.255.252.<br>на фре делаете прозрачное проксирование, заворачивая https://opennet.me/openforum/vsluhforumID12/6523.html#8 Fri, 08 Oct 2010 13:28:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; :)<br>&gt;&gt; Может не нат, а в сторону сокс?<br>&gt; Сокс уже стоит, и при возможности его пользую, но есть программы у<br>&gt; пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель<br>&gt; в инет - если не попадают говорят до свиданья. Или там<br>&gt; банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после<br>&gt; перезагрузки компа надо сначала сокс выключать у него в настройках, а<br>&gt; потом включать - иначе не работает(хз почему). Ну и примеров есть<br>&gt; еще - случаи все довольно специфичные и как раз проще тут<br>&gt; натить все - редирект портов и тот не всегда спасает...<br><br>Программе не обязательно уметь работать через сокс, просто запускайте ее из под сокс-клиента. <br>Про NAT и SQUID на одном интерфейсе пока не думал, не было времени и желания, на досуге может подумаю. <br><br><br> https://opennet.me/openforum/vsluhforumID12/6523.html#7 Fri, 08 Oct 2010 09:27:27 GMT &gt;&gt; Циску трогать не хочу - пусть живет как жила - хотелось бы<br>&gt;&gt; все потоки разрулить на FreeBSD, поэтому говорю в основном про нее<br>&gt;&gt; :)<br>&gt; Может не нат, а в сторону сокс?<br><br>Сокс уже стоит, и при возможности его пользую, но есть программы у пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель в инет - если не попадают говорят до свиданья. Или там банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после перезагрузки компа надо сначала сокс выключать у него в настройках, а потом включать - иначе не работает(хз почему). Ну и примеров есть еще - случаи все довольно специфичные и как раз проще тут натить все - редирект портов и тот не всегда спасает... <br> https://opennet.me/openforum/vsluhforumID12/6523.html#6 Fri, 08 Oct 2010 06:55:39 GMT &gt; Циску трогать не хочу - пусть живет как жила - хотелось бы<br>&gt; все потоки разрулить на FreeBSD, поэтому говорю в основном про нее<br>&gt; :)<br><br>Может не нат, а в сторону сокс?<br> https://opennet.me/openforum/vsluhforumID12/6523.html#5 Thu, 07 Oct 2010 08:22:28 GMT &gt; Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет?<br>&gt; PPPOE? ADSL модем? Что? И свич у вас 3-го уровня?<br>&gt; IP сеть пров какую дает? Физически циска и фря рядом или<br>&gt; удалены?<br><br>Фря и циска рядом. В циску приходит можно сказать обычный ethernet(там дальше оптика, но это уже не мой кусок)... На самой циске нат. На цисковский интерфейс с адресом 192.168.1.20 доступ открыт условно только с FreeBSD. <br>Свичи через которые все это объединено тоже cisco, но протокол построения дерева на них отключен(spanning-tree portfast)... <br>Циску трогать не хочу - пусть живет как жила - хотелось бы все потоки разрулить на FreeBSD, поэтому говорю в основном про нее :) <br> https://opennet.me/openforum/vsluhforumID12/6523.html#4 Thu, 07 Oct 2010 08:06:33 GMT &gt;[оверквотинг удален]<br>&gt; циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200)<br>&gt; для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется<br>&gt; туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20)<br>&gt; По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру,<br>&gt; 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а<br>&gt; прокси прозрачный... Хотя тогда можно не поднимать на ней нат и<br>&gt; может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только<br>&gt; с ipfw напутать - там ведь закрывать и форвардить как-то все<br>&gt; надо наверное... В общем буду очень признателен если так возможно за<br>&gt; примерчик или ссылочку... :)<br><br>Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет? PPPOE? ADSL модем? Что? И свич у вас 3-го уровня? IP сеть пров какую дает? Физически циска и фря рядом или удалены?<br> https://opennet.me/openforum/vsluhforumID12/6523.html#3 Thu, 07 Oct 2010 06:35:39 GMT &gt; До конца не понял вашу структура подключения к инету. Лучше бы обрисовали<br>&gt; подробнее с ip сетями. Как я понял инет приходит в свич<br>&gt; в циску и в него все воткнуты? Так? Как вариант можно<br>&gt; навесить дополнительный алиасный ip ( их можно много навешать) из той<br>&gt; же сети и сказать сквиду слушать только на нем и этот<br>&gt; айпи не натить. Лучше конечно иметь вторую сетевую карту. Но<br>&gt; схема не понятна, потому пока гадать не буду. Решение всегда найдется,<br>&gt; вопрос в корректности, правильности, безопасности.<br><br>Ну условно есть несколько объединенных циско-свичей подсети 192.168.1.0/24. В них воткнута циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200) для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20)<br>По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру, 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а прокси прозрачный... Хотя тогда можно не по