Задать гейт для непрозрачного прокси для определённых пользователей



  • Не могу найти место, где эти гейты задаются.
    Когда прокси был прозрачный, я шёл firewall->Rules ->LAN и там задавал правило на конкретную машину. Сейчас эти правила не работают. Они работают если машина выходит в сеть минуя прокси.



  • @deem73 said in Задать гейт для непрозрачного прокси для определённых пользователей:

    Когда прокси был прозрачный, я шёл firewall->Rules ->LAN и там задавал правило на конкретную машину

    Сомневаюсь, что при полиси-рутинге определенных машин через определенный гейт, эти машины проходили через прозрачный прокси - трафик от них просто выходил через тот гейт минуя прокси. Ведь в прозрачном режим сквида фаервол вот примерно такие правила создает, чтобы трафик завернуть на прокси:

    rdr pass on vmx1 proto tcp from any to !(vmx1) port 80 -> 127.0.0.1 port 3128
    rdr pass on vmx1 proto tcp from any to !(vmx1) port 443 -> 127.0.0.1 port 3129
    pass in quick on vmx1 proto tcp from any to (vmx1) port {3128,3129} flags S/SA keep state

    А от самого пфсенса уже никакой полиси-рутинг не работает. Сквид только по дефолту трафик выпуливает.

    Естественно, когда вы на машинах задаете айпи и порт непрозрачного прокси - никакой полиси-рутинг уже не работает.



  • @vladimirlind спасибо за ответ. То есть я могу интерфейс wan задавать только для всех компьютеров одной подсети. Верно?



  • @deem73 said in Задать гейт для непрозрачного прокси для определённых пользователей:

    То есть я могу интерфейс wan задавать только для всех компьютеров одной подсети.

    Не очень понимаю, что имеется в виду. Если нужно трафик прогнать через сквид - прозрачный или непрозрачный - проксируемый от фаервола трафик будет маршрутизироваться согласно таблице маршрутов. То бишь по дефолтному маршруту трафик будет выходит в интернет. Тут не получится распределять трафик между множественными WAN интерфейсами, так как полиси-рутинг тут не задействован.



  • Определенный GW (и не только его) в сети МОЖНО выдавать с помощью DHCP option:

    Option 3 - Default GW (может быть несколько для эээ Failover) https://www.sonicwall.com/support/knowledge-base/?sol_id=170505809847447
    Option 121 (раздача статических маршрутов по DHCP) - https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

    Но не думаю, что для TC это подойдет.


Log in to reply