https://www.opennet.ru/openforum/vsluhforumID12/6039.html Хелп! Уважаемые! Перерыл весь Гугл - не нашел ответов по интересующему вопросу.<br><br>Собсно, сабж:<br><br>имеется Убунту 8.10 сервер, SQUID. Очень хочется использовать его совместно с iptables SNAT. То есть, не просто заворачивать на него 80, 443, 8080 и т.п. порты, а еще в этих пакетах потом НАТом транслировать локальный адрес обратившегося компа в адрес внешнего интерфейса Убунты.<br><br>Для чего это надо? Объясню - начальство поставило задачу контроллировать трафик юзверей, и при этом чтобы локалка не была видна... А сейчас у меня получается - либо через iptables без светящегося адреса, либо через SQUID, с аутентификацией в Мелкомягком домене - но локальный IP видно :(...<br><br>Настроил прозрачный прокси, завернул на него трафик по портам - а вот правило SNAT не работает, то есть после СКВИДа пакеты уходят прямо на сеть, не успевают iptables подменить адрес в заголовке..<br><br>Умоляю - помогите!!!! Или хотя бы скажите, что это невозможно.. (Хоть начальнику будет что сказать :))<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#11 Mon, 13 Apr 2009 08:37:51 GMT &gt;<br>&gt;&gt;<br>&gt;&gt;анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание <br>&gt;&gt;принципа работы <br>&gt;<br>&gt;Уже понял, кажется. Во всяком случае этот пункт: <br>&gt;я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста, <br>&gt;и потому идентифицировать клиента, который выполнил запрос, СКВИД не может - <br>&gt;а, соответственно, аутентификацию выполнять не будет, да? <br><br>нет, браузер не знает что идет через прокси и соответственно ни какой информации для аутентификацию предоставлять не будет<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#10 Mon, 13 Apr 2009 08:34:04 GMT <br>&gt;<br>&gt;а ты в конфиге SQUIDа порт то прописал <br>&gt;acl SSL_ports port 443 ??? <br><br>Ну, на это меня хватило :)<br><br>Без прозрачности все пакеты ходят отлично.<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#9 Mon, 13 Apr 2009 08:32:46 GMT <br>&gt;<br>&gt;анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание <br>&gt;принципа работы <br><br>Уже понял, кажется. Во всяком случае этот пункт:<br>я так понимаю, что при прозрачности все пакеты перенаправляются с помощью локалхоста, и потому идентифицировать клиента, который выполнил запрос, СКВИД не может - а, соответственно, аутентификацию выполнять не будет, да?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#8 Mon, 13 Apr 2009 08:28:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;а как они друг другу могут мешать? <br>&gt;<br>&gt;Ну в принципе я просто поинтересовался - в гугле где-то видел такую <br>&gt;инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси... <br>&gt;<br>&gt;Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся <br>&gt;прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на <br>&gt;https ходить не хочет... <br>&gt;<br>&gt;Щас правда попробую без транспарента - пойдет или нет.... <br><br>а ты в конфиге SQUIDа порт то прописал <br>acl SSL_ports port 443 ???<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#7 Mon, 13 Apr 2009 08:26:56 GMT &gt;<br>&gt;&gt;<br>&gt;&gt;а как они друг другу могут мешать? <br>&gt;<br>&gt;Ну в принципе я просто поинтересовался - в гугле где-то видел такую <br>&gt;инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси... <br><br>анонимный или прозрачный? при прозрачном не будет, почему поймете когда будет понимание принципа работы<br>&gt;<br>&gt;Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся <br>&gt;прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на <br>&gt;https ходить не хочет... <br>&gt;<br>&gt;Щас правда попробую без транспарента - пойдет или нет.... https://www.opennet.ru/openforum/vsluhforumID12/6039.html#6 Mon, 13 Apr 2009 07:57:16 GMT <br>&gt;<br>&gt;а как они друг другу могут мешать? <br><br>Ну в принципе я просто поинтересовался - в гугле где-то видел такую инфу, что перестает работать ЛДАП-аутентификация, если анонимный прокси...<br><br>Кстати, тут еще вопрос созрел. 443-й порт я на прокси перенаправил (прокся прозрачная, iptables перенаправляют), а оно мне ошибку SSL выкинуло, и на https ходить не хочет...<br><br>Щас правда попробую без транспарента - пойдет или нет....<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#5 Mon, 13 Apr 2009 07:51:21 GMT &gt;&gt;forwarded_for off <br>&gt;<br>&gt;Спасибо огромное!.. да, курить мне еще мануалы и курить... Получилось все. <br>&gt;Только вот есть еще вопрос - при анонимном режиме будет ли <br>&gt;работать авторизация из АД? (Как раз собрался настраивать.) <br><br>а как они друг другу могут мешать?<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#4 Mon, 13 Apr 2009 07:19:56 GMT &gt;forwarded_for off <br><br>Спасибо огромное!.. да, курить мне еще мануалы и курить... Получилось все. Только вот есть еще вопрос - при анонимном режиме будет ли работать авторизация из АД? (Как раз собрался настраивать.)<br> https://www.opennet.ru/openforum/vsluhforumID12/6039.html#3 Sat, 11 Apr 2009 16:55:39 GMT forwarded_for off<br>