 Squid+NAT+один интерфейс,  Ger, 06-Окт-10, 16:47 [смотреть все]Здравствуйте.
Есть довольно тривиальная задача - настроить проксю и nat для пользователей. Осложняется все тем, что у сервера с проксей один сетевой интерфейс, а последней милей является циска - на нее разрешаю доступ только с серверов. И пользователи, и сервера, и циска живут в одной подсети. Раньше пока на шлюзе(FreeBSD) был только сквид все нормально работало. Начал прикручивать туда же нат - хочу разрешать на него доступ определенным компам работающим с кривыми программами считающими, что интенет начинается сразу на выходе с сетевой карты :) . Так вот начал я прикручивать нат и понял что работает или он или сквид(при одновременной работе как я понимаю ответы сквиду от внешних ресурсов попадают на тот самый нат и начинается форменный ужас).
Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну карточку сетевую на сервере, но она опять же будет в той же подсети(дополнительную подсеть по политическим причинам выделить уже не могу - да и переделывать тогда довольно много придется...)
|
- Squid+NAT+один интерфейс, ipmanyak, 09:25 , 07-Окт-10 (1)
- Squid+NAT+один интерфейс, DenSha, 10:01 , 07-Окт-10 (2)
- Squid+NAT+один интерфейс, Ger, 10:35 , 07-Окт-10 (3)
> До конца не понял вашу структура подключения к инету. Лучше бы обрисовали
> подробнее с ip сетями. Как я понял инет приходит в свич
> в циску и в него все воткнуты? Так? Как вариант можно
> навесить дополнительный алиасный ip ( их можно много навешать) из той
> же сети и сказать сквиду слушать только на нем и этот
> айпи не натить. Лучше конечно иметь вторую сетевую карту. Но
> схема не понятна, потому пока гадать не буду. Решение всегда найдется,
> вопрос в корректности, правильности, безопасности.Ну условно есть несколько объединенных циско-свичей подсети 192.168.1.0/24. В них воткнута циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200) для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20)
По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру, 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а прокси прозрачный... Хотя тогда можно не поднимать на ней нат и может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только с ipfw напутать - там ведь закрывать и форвардить как-то все надо наверное... В общем буду очень признателен если так возможно за примерчик или ссылочку... :)
- Squid+NAT+один интерфейс, ipmanyak, 12:06 , 07-Окт-10 (4)
- Squid+NAT+один интерфейс, Ger, 12:22 , 07-Окт-10 (5)
> Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет?
> PPPOE? ADSL модем? Что? И свич у вас 3-го уровня?
> IP сеть пров какую дает? Физически циска и фря рядом или
> удалены?Фря и циска рядом. В циску приходит можно сказать обычный ethernet(там дальше оптика, но это уже не мой кусок)... На самой циске нат. На цисковский интерфейс с адресом 192.168.1.20 доступ открыт условно только с FreeBSD.
Свичи через которые все это объединено тоже cisco, но протокол построения дерева на них отключен(spanning-tree portfast)...
Циску трогать не хочу - пусть живет как жила - хотелось бы все потоки разрулить на FreeBSD, поэтому говорю в основном про нее :)
- Squid+NAT+один интерфейс, DenSha, 10:55 , 08-Окт-10 (6)
- Squid+NAT+один интерфейс, Ger, 13:27 , 08-Окт-10 (7)
>> Циску трогать не хочу - пусть живет как жила - хотелось бы
>> все потоки разрулить на FreeBSD, поэтому говорю в основном про нее
>> :)
> Может не нат, а в сторону сокс?Сокс уже стоит, и при возможности его пользую, но есть программы у пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель в инет - если не попадают говорят до свиданья. Или там банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после перезагрузки компа надо сначала сокс выключать у него в настройках, а потом включать - иначе не работает(хз почему). Ну и примеров есть еще - случаи все довольно специфичные и как раз проще тут натить все - редирект портов и тот не всегда спасает...
|
Версия для распечатки
