Задать гейт для непрозрачного прокси для определённых пользователей
-
Не могу найти место, где эти гейты задаются.
Когда прокси был прозрачный, я шёл firewall->Rules ->LAN и там задавал правило на конкретную машину. Сейчас эти правила не работают. Они работают если машина выходит в сеть минуя прокси. -
@deem73 said in Задать гейт для непрозрачного прокси для определённых пользователей:
Когда прокси был прозрачный, я шёл firewall->Rules ->LAN и там задавал правило на конкретную машину
Сомневаюсь, что при полиси-рутинге определенных машин через определенный гейт, эти машины проходили через прозрачный прокси - трафик от них просто выходил через тот гейт минуя прокси. Ведь в прозрачном режим сквида фаервол вот примерно такие правила создает, чтобы трафик завернуть на прокси:
rdr pass on vmx1 proto tcp from any to !(vmx1) port 80 -> 127.0.0.1 port 3128
rdr pass on vmx1 proto tcp from any to !(vmx1) port 443 -> 127.0.0.1 port 3129
pass in quick on vmx1 proto tcp from any to (vmx1) port {3128,3129} flags S/SA keep stateА от самого пфсенса уже никакой полиси-рутинг не работает. Сквид только по дефолту трафик выпуливает.
Естественно, когда вы на машинах задаете айпи и порт непрозрачного прокси - никакой полиси-рутинг уже не работает.
-
@vladimirlind спасибо за ответ. То есть я могу интерфейс wan задавать только для всех компьютеров одной подсети. Верно?
-
@deem73 said in Задать гейт для непрозрачного прокси для определённых пользователей:
То есть я могу интерфейс wan задавать только для всех компьютеров одной подсети.
Не очень понимаю, что имеется в виду. Если нужно трафик прогнать через сквид - прозрачный или непрозрачный - проксируемый от фаервола трафик будет маршрутизироваться согласно таблице маршрутов. То бишь по дефолтному маршруту трафик будет выходит в интернет. Тут не получится распределять трафик между множественными WAN интерфейсами, так как полиси-рутинг тут не задействован.
-
Определенный GW (и не только его) в сети МОЖНО выдавать с помощью DHCP option:
Option 3 - Default GW (может быть несколько для эээ Failover) https://www.sonicwall.com/support/knowledge-base/?sol_id=170505809847447
Option 121 (раздача статических маршрутов по DHCP) - https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрахНо не думаю, что для TC это подойдет.