Здравствуйте коллеги.Подключил недавно офис. Докупил на него еще один, надежный доп. канал, чтобы отделить телефонию от инета(там asterisk работает) и сижу голову ломаю.
Шлюз по умолчанию на сервере - один канал, а проксю(я прозрачную настроил) надо натравить на другой!
Помню, что как то натравливал SQUID на другую внешнюю сетевку, но не помню как.
Или это средствами PF лучше сделать?Подскажите пожалуйста.
> Здравствуйте коллеги.
> Подключил недавно офис. Докупил на него еще один, надежный доп. канал, чтобы
> отделить телефонию от инета(там asterisk работает) и сижу голову ломаю.
> Шлюз по умолчанию на сервере - один канал, а проксю(я прозрачную настроил)
> надо натравить на другой!
> Помню, что как то натравливал SQUID на другую внешнюю сетевку, но не
> помню как.
> Или это средствами PF лучше сделать?
> Подскажите пожалуйста.У меня было 3 морковки, 5 слонов забрал себе сосед, сколько мух у меня осталось?
Телепатов здесь нет!!
Эээ, простите. Поясняю:
Есть машина с FreeBSD 8.0.
Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
Как это сделать правильнее?
> Эээ, простите. Поясняю:
> Есть машина с FreeBSD 8.0.
> Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и
> 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
> Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.
> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
> Как это сделать правильнее?tcp_outgoing_address не?
>> Эээ, простите. Поясняю:
>> Есть машина с FreeBSD 8.0.
>> Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и
>> 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
>> Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.
>> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
>> Как это сделать правильнее?
> tcp_outgoing_address не?То что искал человек.
У меня именно так и сделано.
> tcp_outgoing_address не?Это самая первая мысль была.
Не проходит. Все равно через дефолтовый шлюз идет.
Там видимо сначала, маршрутизацию надо кошерно настроить.Ищу доки по моему случаю сейчас.
>> tcp_outgoing_address не?
> Это самая первая мысль была.
> Не проходит. Все равно через дефолтовый шлюз идет.
> Там видимо сначала, маршрутизацию надо кошерно настроить.
> Ищу доки по моему случаю сейчас.конечно мало ли что, но как заворачивается трафик в squid?
мож в iptables поковырять правила типа:-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
ой ну в смысле pf...
>> tcp_outgoing_address не?
> Это самая первая мысль была.
> Не проходит. Все равно через дефолтовый шлюз идет.а ip при этом какой?
> Там видимо сначала, маршрутизацию надо кошерно настроить.
> Ищу доки по моему случаю сейчас.route-to
> route-toВ общем последнее словосочетание навело на верную ссылку.
Итак в pf.conf надо прописать:nat on $ext_if from !($ext_if) -> ($ext_if)
nat on $ext_if2 from !($ext_if2) -> ($ext_if2)pass out on $ext_if route-to ($ext_if $ext_gw) from $ext_if to any
pass out on $ext_if2 route-to ($ext_if2 $ext2_gw) from $ext_if2 to anyНазвания двух внешних интерфейсов думаю понятны, шлюзов прововских тоже :-)
И только после этого, по логике вещей, должно заработать правило tcp_outgoing_address в SQUID.
К сожалению я сейчас далеко от того офиса и боюсь с правилами экспериментировать, но через 2 дня отпишусь как сработает.
Думаю что рассуждаю правильно.
> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
> Как это сделать правильнее?Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based routing.
man setfib.
и ещё раз внимательно man ipfw.
>> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
>> Как это сделать правильнее?
> Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based
> routing.забыли дописать - на линуксе.
> man setfib.
> и ещё раз внимательно man ipfw.На фре это худо бедно "удобно" делать на транзитном рутере, а вот для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда ipfw .... setfib командой ipfw .... reroute еще не пополнена.
Так что, ipfw fwd "наше ффсьо".
> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
> Так что, ipfw fwd "наше ффсьо".На моей фре работает PF, ipfw я как то не воспринимаю. Буду делать все по вышеописанным правилам(см. предыдущий ответ).
Или же я неправ и у меня не получится?
>> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
>> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
>> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
>> Так что, ipfw fwd "наше ффсьо".
> На моей фре работает PF, ipfw я как то не воспринимаю. Буду
> делать все по вышеописанным правилам(см. предыдущий ответ).
> Или же я неправ и у меня не получится?Должно получиться
>[оверквотинг удален]
>>> Как это сделать правильнее?
>> Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based
>> routing.
> забыли дописать - на линуксе.
>> man setfib.
>> и ещё раз внимательно man ipfw.
> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
> Так что, ipfw fwd "наше ффсьо".а разве приложение нельзя к определенной таблице привязать?