Port mirror и отдельный squid



  • Один из постов уважаемого werter натолкнул меня на идею:
    На коммутаторе за pfsense настроить mirror port относительно порта к pfsense и с него данные обрабатывать отдельным squid с использованием bump ssl. Возможно придется попросить провайдера на его коммутаторе аналогично настроить mirror.
    Собствеенно вопрос, реализовать кто такую схему пытался или проще вариант?

    P.S. если спросите зачем это, то 1е, в проблемах сквида определять доменные имена https и 2е из 1го, в пф плохая работа squid и limiter в одной связке.



  • Зачем миррор порт ? Просто разверните сквид на отдельн. (вирт.) машине и редиректите всё , что идет на 80 и 443 порты во вне на этот сквид средствами пф (портфорвд на LAN)
    Шлюзом у всех в сети, ес-но, должен быть лан ип пф при этом.



  • Пять раз прочитал, так и не понял. Вы предлагаете создать пф на лан интерфейсе,  в сурс - лан нет, в дист - ани, дист порт80 и 443 порты завернуть на сквид. Так?
    Так вообще будет работать? ??? Как я вижу, получается, что pfsense все что идет в инет на 80 и 443 будет перекидывать на локальный адрес.
    Вы так сами пробовали?



  • Пробовали-пробовали. Только с заворачиванием запросов dns на пф.

    https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense
    https://forum.pfsense.org/index.php?topic=127105.0

    Появляйтесь чаще на форуме, коллега  ;)



  • И не говорите, нужно, нужно. ;)



  • @bill_open:

    И не говорите, нужно, нужно. ;)

    Да! В данный  момент у меня нерешенных вопросов как бы нет, но то, что они могут  возникнуть - несомненно.