https://www.opennet.me/openforum/vsluhforumID6/18270.html Дано:<br> Есть клиент, есть Squid, есть CISCO 2811(Router)<br>Условия:<br> Если клиент выходит в инет через порты отличные от 80, то пакеты с IP 10.77.xx.xx через киску по NAT попадают в инет.<br> Если клиент идет на 80 порт, то через WCCP заворачивается на Squid и Squid от IP 10.78.xx.xx через киску идет в инет. При этом, если у клиента IP к примеру 10.77.0.8 то Squid обращается к киске от IP 10.78.0.8<br>Задача:<br> Нужно чтоб на внешке с роутера пакеты с IP 10.77.0.8 и 10.78.0.8 был IP 172.0.0.8 соотв. с IP 10.77.0.9 и 10.78.0.9 был 172.0.0.9 и т.д.<br><br>Команда ip nat inside source static 10.77.0.8 172.0.0.8 работает, но вот на команду ip nat inside source static 10.78.0.8 172.0.0.8 уже ругается говорит что 172.0.0.8 уже занят 10.77.0.8<br><br>Помогите кто знает как решить данную задачу?<br><br>При этос надо прокинуть пакеты в обратку на 10.77.0.8 (Кароч. у клиента выделенный IP адрес, нужно и его (клиента) и сквид от имени этого IP пускать в инет)<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#9 Sun, 01 Mar 2009 18:35:15 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Кстати возможно, что есть и иное решение моей задачи, и чтото мне <br>&gt;подсказывает что оно будет даже правильнее. <br>&gt;<br>&gt;Собстно задача сбор http заголовков, кто куда ходил, и скока это куда <br>&gt;весило. <br>&gt;На кисках есть порт SPAN, который может видеть все пакеты пролетающие мимо <br>&gt;CISCO, так вот уважаемы гуру, могу ли я его заюзать чтобы <br>&gt;собирать нужную мне инфу, и что за зверь мне в этом <br>&gt;может помочь? <br><br>помоему NetFlow для этого. но точно низнаю.<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#8 Sat, 28 Feb 2009 12:07:33 GMT &gt;че-то мне подсказывает, что так низя. прокси будет сама отправлять пакет с <br>&gt;соурсом своим, а не клиента. ты скажи зачем те всё это <br>&gt;надо, мож ты не то ищешь. <br><br>Кстати возможно, что есть и иное решение моей задачи, и чтото мне подсказывает что оно будет даже правильнее.<br><br>Собстно задача сбор http заголовков, кто куда ходил, и скока это куда весило. <br>На кисках есть порт SPAN, который может видеть все пакеты пролетающие мимо CISCO, так вот уважаемы гуру, могу ли я его заюзать чтобы собирать нужную мне инфу, и что за зверь мне в этом может помочь?<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#7 Tue, 24 Feb 2009 10:48:24 GMT &gt;Дело в том что прокся в инет неможет хидить с тогоже IP <br>&gt;что и клиент, иначе роутер непоймет куда ответ с инета слать, <br>&gt;да и сама прокся затупит, как так сам себе ответить ))). <br>&gt;поэтому у squid-а отдельная подсеть адресов для исходящих соединений. <br>&gt;<br>&gt;Не важно как реализовать, самое главное, это у каждого клиента должен быть <br>&gt;свой выделенный IP, и как входящие, так и исходящие соединения должны <br>&gt;быть от имени данного IP(включая исходящие http запросы!!!). <br><br>че-то мне подсказывает, что так низя. прокси будет сама отправлять пакет с соурсом своим, а не клиента. ты скажи зачем те всё это надо, мож ты не то ищешь.<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#6 Tue, 24 Feb 2009 08:03:10 GMT Дело в том что прокся в инет неможет хидить с тогоже IP что и клиент, иначе роутер непоймет куда ответ с инета слать, да и сама прокся затупит, как так сам себе ответить ))). поэтому у squid-а отдельная подсеть адресов для исходящих соединений.<br><br>Не важно как реализовать, самое главное, это у каждого клиента должен быть свой выделенный IP, и как входящие, так и исходящие соединения должны быть от имени данного IP(включая исходящие http запросы!!!). <br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#5 Mon, 23 Feb 2009 10:00:00 GMT interface FastEthernet0/0 // смотрит в сторону серых адресов.<br> ip address 172.16.1.2 255.255.255.252<br> ip policy route-map ROUTING_BY_PROTO<br> duplex auto<br> speed auto<br><br><br>ip access-list extended ACL<br> permit tcp 10.0.0.0 0.255.255.255 any eq www // все пакеты с серых адресов идущие по http<br> deny tcp any any<br>!<br>route-map ROUTING_BY_PROTO permit 10<br> match ip address ACL<br> set ip next-hop 172.16.3.2 // таким пакетам некст-хоп ставим твою прокси<br><br>п<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#4 Mon, 23 Feb 2009 08:37:06 GMT &gt;&gt;ты хотел чтоб клиент которому ты выделил "белый" адрес выходил именно с <br>&gt;&gt;него в инет? <br>&gt;&gt;а не проще было не натить его в этот адрес с "серого", <br>&gt;&gt;а сразу поставить ему белый? <br>&gt;<br>&gt;Возможно и проще, а как я буду заварачивать его http запросы на <br>&gt;squid ? <br>&gt;Сквиду то я не смогу дать белый IP, а он в инет <br>&gt;должен тоже попадать от имени белого IP, причем для каждого клиента <br>&gt;свой!!! <br><br>мож я не понимаю чего, но обычно прокси имеет белый айпи. и если я правильно понял, то у тебя "прозрачный" прокси? я бы сделал нормальный прокси, с прописыванием в настройках компа. выход в инет с "серых" занатил бы. а с "белой" подсети разрешил прямой доступ. тогда те у кого "серый" перли бы в инет через проксю в соответствии с настройками, а не по http натились бы. белые же шли напрямую(если настройки не указали). если делать прозрачный прокси, то честно не знаю, думать надо.<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#3 Mon, 23 Feb 2009 05:27:29 GMT &gt;ты хотел чтоб клиент которому ты выделил "белый" адрес выходил именно с <br>&gt;него в инет? <br>&gt;а не проще было не натить его в этот адрес с "серого", <br>&gt;а сразу поставить ему белый? <br><br>Возможно и проще, а как я буду заварачивать его http запросы на squid ?<br>Сквиду то я не смогу дать белый IP, а он в инет должен тоже попадать от имени белого IP, причем для каждого клиента свой!!!<br><br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#2 Sun, 22 Feb 2009 07:35:20 GMT &gt;[оверквотинг удален]<br>&gt;------------Squid------------- <br>&gt;acl 209 10.77.0.2 <br>&gt;tcp_outgoing_address 10.78.0.2 209 <br>&gt;-----------FreeBSD------------ <br>&gt;ifconfig re0 inet 10.78.0.2 255.255.255.0 alias <br>&gt;------------------------------ <br>&gt;(На мой взгляд немного кривовато, но почемуто заработало именно так, иначе не <br>&gt;хотело) <br>&gt;Если будут мысли как это можно реализовать покрасивше, я выслушаю любое мнение... <br>&gt;<br><br>ты хотел чтоб клиент которому ты выделил "белый" адрес выходил именно с него в инет?<br>а не проще было не натить его в этот адрес с "серого", а сразу поставить ему белый?<br> https://www.opennet.me/openforum/vsluhforumID6/18270.html#1 Sat, 21 Feb 2009 05:07:22 GMT Ребят коли никто не смог мну помочь советом али ответом, значит ни укого мыслей нет как это сделать. Ну я ужо решил проблему...<br>Ибо ни у кого небыло подобного мозгосноса, я выкладываю мое решение проблемы:<br><br>Клиент 10.77.0.2, его внешний IP: 192.168.10.100<br><br>----------CISCO-2811----------<br>ip nat pool 1305 192.168.10.100 192.168.10.100 netmask 255.255.255.0<br>ip nat inside source list 1305 pool 1305 overload<br>access-list 1305 permit 10.77.0.2<br>access-list 1305 permit 10.78.0.2<br>ip nat inside source static 10.77.0.2 192.168.10.100 (Дабы свнешки пакеты попадали на клиента)<br>------------Squid-------------<br>acl 209 10.77.0.2 <br>tcp_outgoing_address 10.78.0.2 209<br>-----------FreeBSD------------<br>ifconfig re0 inet 10.78.0.2 255.255.255.0 alias<br>------------------------------<br>(На мой взгляд немного кривовато, но почемуто заработало именно так, иначе не хотело)<br>Если будут мысли как это можно реализовать покрасивше, я выслушаю любое мнение...<br>