[dmitryst]

Цитата Antipiratik:

Организовать прозрачный прокси сервер без роутинга!!! »

Цитата Antipiratik:

Что делаю не так? »

то, что подчеркнуто. разнесите сети в разные диапазоны (192,168,1,х и 10,0,0,х к слову), сделайте gateway_enable="YES", natd_enable="YES", циска ваша пусть отстается как есть, всех юзеров сажаете во вторую подсеть (10,х,х,х которая), в настройках фаерволла прописываете

#### forward SQUID traffics
ipfw -q add 100 fwd 127.0.0.1,3128 all from 10.0.0.0/8 to any 80,81,88,808,3128,3129,8080,8085,9415 via rl0
###(rl0 - это карта, которая смотрит в локалку)

#### ADD NAT from local network
ipfw -q add 700 divert 8668 ip4 from any to any via dc0()
####(dc0 - это карта, которая смотрит к циске)

PS. Забыл. У юзеров ваш проксик прописываете как default gateway (ну, разумеется, тот адрес, который присвоен карте из 10.0.0.0 подсети)

[Antipiratik]

По порядку, сеть итак разделена на 192.168. и 10.0. между ними циска, у всех пользователей настроен шлюз 192.168.1.2 в свойствах сетевого подключения.
Т.е. получится что все будут ходить в инет через фрибсд, минуя циско?! так ест-но нельзя. Возможно поменять ip адресса, т.е. у циски в локалку смотрящий сделать 192.168.1.5, а у фрибсд 1.6 и 1.2 в локалку.

Добавить в настройки фаерволла....
Получается его надо установить... разберёмся установим.

[dmitryst]

Цитата Antipiratik:

Т.е. получится что все будут ходить в инет через фрибсд, минуя циско?! так ест-но нельзя »

нет, не так

(циска 192.168.1.1) <-> (192.168.1.2 FreeBSD Proxy 10.0.1.1) <-> (свитч ) <-> (локалка 10.0.1.2-254 / 10.0.254.2-254)

PS. фаерволл включается из ядра, про это есть и в хендбуке, и у лисяры, с опциями и рекомендациями (касательно ipfw, другие я как-то не люблю )

[Antipiratik]

Всё понятно, по поводу раскидать по сеткам...
Про фаервол да, почитал, он заворачивает трафик на squid.
Буду пробовать.

Пока такой вопрос возник, к нам из внехи подключаются по тунелю (впн), с этим проблем не возникнет?! И squid нормально пропустит через себя специфические программы типа банковских клиентов, Lotus и т.д. ???

[dmitryst]

Цитата Antipiratik:

к нам из внехи подключаются по тунелю (впн), с этим проблем не возникнет?! »

не должно. В фаере надо разрешить протокол GRE (allow gre from any to me) и открыть порт 1728. В конфигурацию natd добавить опцию same_ports.

Цитата Antipiratik:

И squid нормально пропустит через себя специфические программы типа банковских клиентов, Lotus и т.д. ??? »

нет. Это сквида не касается, https, vpn И прочее не кешируются

[Antipiratik]

После выходных, на свежую голову придумал другую схему реализации моих задач, а именно, сделать прокси сервер параллельно локалке, т.е. в локалке будет работать 2 шлюза, циска через который будут ходить сервера, привелегированные и наша фрибсд, и фрибсд, через которую будут ходить все кому надо ограничить трафик.

Ещё раз спасибо

Разбираюсь с pf чтобы заворачивать весь трафик на SQUID

[dmitryst]

Цитата Antipiratik:

сделать прокси сервер параллельно локалке »

ну-ну

Цитата Antipiratik:

Разбираюсь с pf чтобы заворачивать весь трафик на SQUID »

зачем? Стандартного ipfw -q add 100 fwd 127.0.0.1,3128 all from 10.0.0.0/8 to any 80,81,88,808,3128,3129,8080,8085,9415 via rl0 (тут ваш интерфейс) не хватает?

[Antipiratik]

Итак, потихоньку движемся.

Сейчас всё работает параллельно локалке, путь трафика:
ПК - FreeBSD (http трафик проходит SQUID+sams)- Cisco - интернет

Сейчас хочу сделать следующее:
трафик с ПК - CISCO - >
- http-трафик через FreeBSD SQUID - CISCO - инет
- остальное Инет
Т.е. http-трафик с циски на сквид, затем обратно на циску и в инет.

Нашёл такой способ реализации:
На интерфейсе смотрящим в локальную сеть циски прописываем
ip policy route-map proxy-squid

создаём список
ip access-list extended httpUsers
permit ip 192.168.x.0 0.0.0.255 any eq www
permit any 192.168.x.0 0.0.0.255 eq www

далее используем route-map
route-map proxy-squid permit 10
match ip address httpUsers
set ip next-hop 192.168.x.y (ip фрибсд)

В общем вопрос в следующем, не зациклится ли трафик?! Т.к. с фрибсд будет идти тот же http трафик и циска может снова отправлять его на фрибсд...

Если "очень коряво" исполнение мною задумано, то как норм?) чтобы не менять настройки у пользователей, не особо ковыряться в циске.

Пока писал, пришла такая мысль, а что если FreeBSD поставить между циской и локалкой, одна сетевая карта с ip 192.168.1.2 (смотрящая в локалку) вторая 192.168.1.3 смотрящая на циску, и у циски 192.168.1.2 и в фрибсд заворачивать http трафик на сквид остальное прямиком на циску, она знает что кому можно или нельзя Проблем не будет с тем что и тут и там 192.168.1.2 и если указать фряхе 1.2 шлюз, то не будет ли она на свой интерфейс пакеты отправлять?!
Спасибо

[dmitryst]

Цитата Antipiratik:

Сейчас хочу сделать следующее: трафик с ПК - CISCO - > - http-трафик через FreeBSD SQUID - CISCO - инет - остальное Инет Т.е. http-трафик с циски на сквид, затем обратно на циску и в инет. »

ничего не понял.