форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (Разное)
Изначальное сообщение		[ Отслеживать ]

"Squid+NAT+один интерфейс"	+/–
Сообщение от Ger (ok) on 06-Окт-10, 16:47
Здравствуйте. Есть довольно тривиальная задача - настроить проксю и nat для пользователей. Осложняется все тем, что у сервера с проксей один сетевой интерфейс, а последней милей является циска - на нее разрешаю доступ только с серверов. И пользователи, и сервера, и циска живут в одной подсети. Раньше пока на шлюзе(FreeBSD) был только сквид все нормально работало. Начал прикручивать туда же нат - хочу разрешать на него доступ определенным компам работающим с кривыми программами считающими, что интенет начинается сразу на выходе с сетевой карты :) . Так вот начал я прикручивать нат и понял что работает или он или сквид(при одновременной работе как я понимаю ответы сквиду от внешних ресурсов попадают на тот самый нат и начинается форменный ужас). Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну карточку сетевую на сервере, но она опять же будет в той же подсети(дополнительную подсеть по политическим причинам выделить уже не могу - да и переделывать тогда довольно много придется...)
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid+NAT+один интерфейс"	+/–
Сообщение от ipmanyak (ok) on 07-Окт-10, 09:25
>[оверквотинг удален] > прикручивать туда же нат - хочу разрешать на него доступ определенным > компам работающим с кривыми программами считающими, что интенет начинается сразу на > выходе с сетевой карты :) . Так вот начал я прикручивать > нат и понял что работает или он или сквид(при одновременной работе > как я понимаю ответы сквиду от внешних ресурсов попадают на тот > самый нат и начинается форменный ужас). > Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну > карточку сетевую на сервере, но она опять же будет в той > же подсети(дополнительную подсеть по политическим причинам выделить уже не могу - > да и переделывать тогда довольно много придется...) До конца не понял вашу структура подключения к инету. Лучше бы обрисовали подробнее с ip сетями. Как я понял инет приходит в свич в циску и в него все воткнуты? Так? Как вариант можно навесить дополнительный алиасный ip ( их можно много навешать) из той же сети и сказать сквиду слушать только на нем и этот айпи не натить. Лучше конечно  иметь вторую сетевую карту. Но схема не понятна, потому пока гадать не буду. Решение всегда найдется, вопрос в корректности, правильности, безопасности.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Squid+NAT+один интерфейс"	+/–
	Сообщение от DenSha (??) on 07-Окт-10, 10:01
	http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Squid+NAT+один интерфейс"	+/–
	Сообщение от Ger (ok) on 07-Окт-10, 10:35
	> До конца не понял вашу структура подключения к инету. Лучше бы обрисовали > подробнее с ip сетями. Как я понял инет приходит в свич > в циску и в него все воткнуты? Так? Как вариант можно > навесить дополнительный алиасный ip ( их можно много навешать) из той > же сети и сказать сквиду слушать только на нем и этот > айпи не натить. Лучше конечно  иметь вторую сетевую карту. Но > схема не понятна, потому пока гадать не буду. Решение всегда найдется, > вопрос в корректности, правильности, безопасности. Ну условно есть несколько объединенных циско-свичей подсети 192.168.1.0/24. В них воткнута циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200) для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20) По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру, 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а прокси прозрачный... Хотя тогда можно не поднимать на ней нат и может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только с ipfw напутать - там ведь закрывать и форвардить как-то все надо наверное... В общем буду очень признателен если так возможно за примерчик или ссылочку... :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Squid+NAT+один интерфейс"	+/–
	Сообщение от ipmanyak (ok) on 07-Окт-10, 12:06
	>[оверквотинг удален] > циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200) > для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется > туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20) > По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру, > 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а > прокси прозрачный... Хотя тогда можно не поднимать на ней нат и > может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только > с ipfw напутать - там ведь закрывать и форвардить как-то все > надо наверное... В общем буду очень признателен если так возможно за > примерчик или ссылочку... :) Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет? PPPOE? ADSL модем? Что? И свич у вас  3-го уровня? IP сеть пров какую дает? Физически циска и фря рядом или удалены?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Squid+NAT+один интерфейс"	+/–
	Сообщение от Ger (ok) on 07-Окт-10, 12:22
	> Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет? > PPPOE? ADSL модем? Что? И свич у вас  3-го уровня? > IP сеть пров какую дает? Физически циска и фря рядом или > удалены? Фря и циска рядом. В циску приходит можно сказать обычный ethernet(там дальше оптика, но это уже не мой кусок)... На самой циске нат. На цисковский интерфейс с адресом 192.168.1.20 доступ открыт условно только с FreeBSD. Свичи через которые все это объединено тоже cisco, но протокол построения дерева на них отключен(spanning-tree portfast)... Циску трогать не хочу - пусть живет как жила - хотелось бы все потоки разрулить на FreeBSD, поэтому говорю в основном про нее :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Squid+NAT+один интерфейс"	+/–
	Сообщение от DenSha (??) on 08-Окт-10, 10:55
	> Циску трогать не хочу - пусть живет как жила - хотелось бы > все потоки разрулить на FreeBSD, поэтому говорю в основном про нее > :) Может не нат, а в сторону сокс?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Squid+NAT+один интерфейс"	+/–
	Сообщение от Ger (ok) on 08-Окт-10, 13:27
	>> Циску трогать не хочу - пусть живет как жила - хотелось бы >> все потоки разрулить на FreeBSD, поэтому говорю в основном про нее >> :) > Может не нат, а в сторону сокс? Сокс уже стоит, и при возможности его пользую, но есть программы у пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель в инет - если не попадают говорят до свиданья. Или там банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после перезагрузки компа надо сначала сокс выключать у него в настройках, а потом включать - иначе не работает(хз почему). Ну и примеров есть еще - случаи все довольно специфичные и как раз проще тут натить все - редирект портов и тот не всегда спасает...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Squid+NAT+один интерфейс"	+/–
	Сообщение от ipmanyak (ok) on 08-Окт-10, 17:28
	>[оверквотинг удален] >>> :) >> Может не нат, а в сторону сокс? > Сокс уже стоит, и при возможности его пользую, но есть программы у > пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель > в инет - если не попадают говорят до свиданья. Или там > банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после > перезагрузки компа надо сначала сокс выключать у него в настройках, а > потом включать - иначе не работает(хз почему). Ну и примеров есть > еще - случаи все довольно специфичные и как раз проще тут > натить все - редирект портов и тот не всегда спасает... Программе не обязательно уметь работать через сокс, просто запускайте ее  из под сокс-клиента. Про NAT и SQUID на одном интерфейсе пока не думал, не было времени и желания, на досуге может подумаю.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Squid+NAT+один интерфейс"	+/–
	Сообщение от ipmanyak (ok) on 11-Окт-10, 08:25
	>[оверквотинг удален] >> в инет - если не попадают говорят до свиданья. Или там >> банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после >> перезагрузки компа надо сначала сокс выключать у него в настройках, а >> потом включать - иначе не работает(хз почему). Ну и примеров есть >> еще - случаи все довольно специфичные и как раз проще тут >> натить все - редирект портов и тот не всегда спасает... > Программе не обязательно уметь работать через сокс, просто запускайте ее  из > под сокс-клиента. > Про NAT и SQUID на одном интерфейсе пока не думал, не было > времени и желания, на досуге может подумаю. Схема примерно такая. вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252 172.16.5.1 - циска 172.16.5.2 - фря на циске NAT-ите фрю с адреса 172.16.5.2 на фре NAT-ите нужные айпи сети 192.168, в том числе 192.168.1.20,  выпуская их через этот интерфейс 172.16.5.0/255.255.255.252. на фре делаете прозрачное проксирование, заворачивая пакеты 80 порта на порт сквида, сквиду укажите слушать на 192.168.1.20. Ну где-то так. Но могут быть проблемы, если натовым клиентам потребуется 80 порт. И интерфейс 172.16.5.0/255.255.255.252 лучше выделить в VLAN. Если
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Squid+NAT+один интерфейс"	+/–
	Сообщение от DenSha (??) on 11-Окт-10, 09:00
	> Схема примерно такая. > вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252 Больше кажется, что сработает установка доп.сетевой с тем же ip и выделение одной только под циску, а второй только под не циску...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Squid+NAT+один интерфейс"	+/–
	Сообщение от rusadmin (ok) on 12-Окт-10, 10:14
	по поводу VLAN-поддерживаю: лучше порт, куда воткнут сервак затранковать и настроить VLAN на сервере. На сколько я понял NAT должен работать в рамках одной подсети. Думаю в данных случаях без указания статических маршрутов на рабочих станциях не обойтись
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема