Port mirror и отдельный squid
-
Один из постов уважаемого werter натолкнул меня на идею:
На коммутаторе за pfsense настроить mirror port относительно порта к pfsense и с него данные обрабатывать отдельным squid с использованием bump ssl. Возможно придется попросить провайдера на его коммутаторе аналогично настроить mirror.
Собствеенно вопрос, реализовать кто такую схему пытался или проще вариант?P.S. если спросите зачем это, то 1е, в проблемах сквида определять доменные имена https и 2е из 1го, в пф плохая работа squid и limiter в одной связке.
-
Зачем миррор порт ? Просто разверните сквид на отдельн. (вирт.) машине и редиректите всё , что идет на 80 и 443 порты во вне на этот сквид средствами пф (портфорвд на LAN)
Шлюзом у всех в сети, ес-но, должен быть лан ип пф при этом. -
Пять раз прочитал, так и не понял. Вы предлагаете создать пф на лан интерфейсе, в сурс - лан нет, в дист - ани, дист порт80 и 443 порты завернуть на сквид. Так?
Так вообще будет работать? ??? Как я вижу, получается, что pfsense все что идет в инет на 80 и 443 будет перекидывать на локальный адрес.
Вы так сами пробовали? -
Пробовали-пробовали. Только с заворачиванием запросов dns на пф.
https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense
https://forum.pfsense.org/index.php?topic=127105.0Появляйтесь чаще на форуме, коллега ;)
-
И не говорите, нужно, нужно. ;)
-
И не говорите, нужно, нужно. ;)
Да! В данный момент у меня нерешенных вопросов как бы нет, но то, что они могут возникнуть - несомненно.