Два интернет-соединения(не бейте, в топика &#
-
Простого способа значит нет .
Может можно 2 прокси поднять ? Если мысль наивная , не смейтесь я слишком далёк от этого.
Или может кто ещё что посоветует ? Надо считать трафик на юзера , надо иметь красивый отчёт кто куда ходил . И надо иметь возможность блокировать некоторые сайты.
-
Может можно 2 прокси поднять ? Если мысль наивная , не смейтесь я слишком далёк от этого.
Или может кто ещё что посоветует ? Надо считать трафик на юзера , надо иметь красивый отчёт кто куда ходил . И надо иметь возможность блокировать некоторые сайты.
а в чем проблема в настройках прокси, прокси интерфейс ставишь LAN
-
Проблем никаких , кроме того что при этом нагрузка перестаёт распределяться по каналам . Всё начинает идти через WAN интерфейс . а OPT1 простаивает .
Мне конечно не сложно поднять прокси на другой машине . Но неужели нет более красивого способа ?
-
И продолжение вопроса. Возможно как то использовать squid находящийся находящийся на другой машине ( в LAN подсети ) прозрачно для пользователей. Чтоб машина с Pfsense осталось шлюзом ?
-
И продолжение вопроса. Возможно как то использовать squid находящийся находящийся на другой машине ( в LAN подсети ) прозрачно для пользователей. Чтоб машина с Pfsense осталось шлюзом ?
Да Маппинг должен помочь
-
Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?
Например у меня PfSense с адресом 192.168.0.100 На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .
Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .
-
С мапингом наврал - давно с праилами через гуй не общался
-
То есть нельзя ?
-
-
Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?
Например у меня PfSense с адресом 192.168.0.100 На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .
Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .
firewall -> NAT
там все хорошо расписано -
Угу … мапинг .... Только как это ? Намякните немного , что и где надо делать ?
Например у меня PfSense с адресом 192.168.0.100 На машине с адресом 192.168.0.200 поднят Transparent proxy допустим на 800 порту .
Что и где мне надо прописать ? С учётом того что вторая машина на win 2003 .
firewall -> NAT
там все хорошо расписаноТебе удавалось натить с интерфейса LAN обратно в подсеть LAN ?
-
Тебе удавалось натить с интерфейса LAN обратно в подсеть LAN ?
Именно на pfsense не пробовал, не нужно было пока, на Freebsd - да, конечно
либо NAT, либо rinetd -
Если время позволит - покопаю чего он там генерит в правилах ната..
-
Бью челом , помогайте , руки под другое заточенны …. ничего сделать не могу :(
Понял я что squid и мультиван по простому не подружить . Хрен с ним , поставлю ещё один системник под прокси . Благо системников старых много .Но вот проблема как сделать так чтобы все запросы ( прозрачно для пользователей ) перенаправлялись со стандартного шлюза на ту машину на которой стоит прокси ?
Гуру ,помогайте .
-
В общем так.
Мою схему я где-то тут расписывал. В балансирующий шлюз я вставил 4 карты.
LAN 192.168.1.1 сеть 192.168.1.0/24 - общая сетка, через этот интерфейс ходят избраные приложения с некоторых компьютеров, в нее перенаправлены порты внешних www и почтовика (правильнее, конечно их во вторую подсеть засунуть, но руки пока не доходят)
LAN2 192.168.2.1 сеть 192.168.2.0/24 - Сеть куда смотрит WAN интерфейс машины где squid, и где со временем будут почтарь и www
WAN и WAN2 - собственно, настроены по требованиям провайдеров, между ними балансировка.
Вторая машинка:
LAN 192.168.1.2 сеть 192.168.1.0/24 общая сетка.
WAN 192.168.2.2 сеть 192.168.2.0/24 - выводит на балансировку.
Сквид настроен как transparent. DHCP всем выдает 192.168.2.2 в качестве шлюза по умолчанию, кроме некоторых машин с которых можно бегать в обход напрямую на балансирующий сервер (четко прописано кому, куда и на какой порт, иначе - добро пожаловать через прокси). Дополнительно адрес прокси указан в политике домена.Подружить сквид с мультиваном при балансировке сложно. Там надо лезть в настройку еще и постоянных маршрутов. Причем рыба конфига прописана жестко. То есть если отредактироать правила ручками, прописать маршруты то оно проработает. А в полночь применится конфиг (config.xml) который потрет все файлы с настройками и превратит тачку в тыкву :-
Заморачиваться с переписыванием .php и .xml я не стал, благо списанного барахла было немеряно.Можно, наверно, и без дополнительной подсетки обойтись - правило 1:
"у всего, что идет с IP-squid'ового сервера gateway=loadbalance/failover"
правило 2:
"у всего, что не IP-squid'ового сервера gateway=IP-squid'ового сервера"
Тогда все будут слать на шлюз по умолчанию, тот на сквид (он типа transparent, перехватывает запрос и обрабатывает его) и отсылает опять же на шлюз по умолчанию, но уже от своего имени.
Дальше можно еще сильнее заморочится с портами-айпишниками, но это уже по желанию. -
Понял , но как то не совсем красиво . :)
А можно как то перенаправлять запросы из LAN на прокси находящийся в LAN сегменте ?Как такое правило написать ? И останется ли доступ к веб морде шлюза ?
-
Виноват, конечно, всем выдается шлюз 192.168.1.2 …
И, конечно, через вебмордочку не получится настроить шлюзом адрес из подсети LAN.
Такое нужно прописывать отдельным правилом pf... причем, опять же до полуночи :-
А вот функционированию вебмордочки это не помешает.
И на счет не красиво... практика показала что даже как-то удобно. То есть всяким хитровыдуманым клиентам банков и прочей нечисти прописывается 'route -p add ...' маршруты до серверов этих банков. А все, что идет с прокси дополнительно обрезается на шлюзе, по скорости и прочему. Транспарент сквид обрезает все попытки юзать торренты, качать мыло с внешних ящиков, серфить где ни попадя...
Пока вяло обдумывается идея высадить все это на один сервер в разные VM. Вроде из плюсов - только сокращение проводов, хотя, чем ни занятие, если вдруг случится ситуация "ну совершенно, то есть - абсолютно делать нечего"... -
Понял , но как то не совсем красиво . :)
А можно как то перенаправлять запросы из LAN на прокси находящийся в LAN сегменте ?Как такое правило написать ? И останется ли доступ к веб морде шлюза ?
Попробовать задать на Lan Virtual IP 'other' c адресом вашего прокси
и затем правило outbond NAT src=any dest=!lansubnet port 80 > ВашVirtualIP port proxy
НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.Ну и правила файервола соотв выставить.
Сразу скажу, что я этот вариант не пробовал (у меня бридж), но на тестовой системе формирует правильные нат правила. Единственно что еще может дать косяк - VirtualIP. Вроде-бы other не должен апдейтится в систему в отличии а ARP и Carp. -
Много понял , но вот это не совсем
НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.
Можно разжевать подробнее ? -
Много понял , но вот это не совсем
НО перед ним нужно сделать NoNat правило с вашей прокси-машинки в любую сторону на 80 порт.
Можно разжевать подробнее ?Ну вот смотри - ты делаешь правило натить все обращения наружу на 80 порт из лана к проксевой машинке. Авот ее нужно исключить из списка, чтобы ее не натить. Для этоо перед правилом ната там-же делаем правило для проксевой машины с опцией нонат (src=проксевая тачка dst=any port 80 NONAT)