URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4126
[ Назад ]

Исходное сообщение
"SQUID и NAT"
Отправлено Дмитрий , 07-Июн-06 12:29

Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика через SQUID, но так, чтобы на выходе каждый департамент транслировался в отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный адрес, принадлежащий прокси-серверу.

Содержание

SQUID и NAT,Junior, 14:15 , 07-Июн-06
- SQUID и NAT,Дмитрий, 14:24 , 07-Июн-06
  - SQUID и NAT,Junior, 15:34 , 07-Июн-06
  - SQUID и NAT,xmorpheusx, 15:36 , 07-Июн-06
    - SQUID и NAT,KonstantinL, 16:31 , 08-Июн-06
      - SQUID и NAT,Дмитрий, 16:41 , 08-Июн-06

Сообщения в этом обсуждении

"SQUID и NAT"
Отправлено Junior , 07-Июн-06 14:15

>Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При
>проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси
>и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика
>через SQUID, но так, чтобы на выходе каждый департамент транслировался в
>отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого
>экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный
>адрес, принадлежащий прокси-серверу.
Не могу понять смысла задачи, если честно. Но может стОит пересмотреть схему сети, если уж так нужно? Поднимайте прокси на роутере (если это Linux-box) или снимать данные о компьютерах пользователей ДО прокси-сервера.
Также можно загонять в пулы в squid-е эти департаменты и парсить логи squid-а, чтобы снять статистику по пользователям.
Когда есть чётко описанная задача - зачем это нужно - то проще дать совет.
Удачи.

"SQUID и NAT"
Отправлено Дмитрий , 07-Июн-06 14:24

>>Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При
>>проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси
>>и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика
>>через SQUID, но так, чтобы на выходе каждый департамент транслировался в
>>отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого
>>экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный
>>адрес, принадлежащий прокси-серверу.
>
>Не могу понять смысла задачи, если честно. Но может стОит пересмотреть схему
>сети, если уж так нужно? Поднимайте прокси на роутере (если это
>Linux-box) или снимать данные о компьютерах пользователей ДО прокси-сервера.
>Также можно загонять в пулы в squid-е эти департаменты и парсить логи
>squid-а, чтобы снять статистику по пользователям.
>Когда есть чётко описанная задача - зачем это нужно - то проще
>дать совет.
>
>Удачи.
Нужно это для того, чтобы межсетевой экран транслировал каждый департамент в свой внешний адрес, который будет потом биллинговаться непосредственно оператором связи. Каждый департамент должен заключить прямой договор с оператором, как самостоятельная организация, которая платит за свой трафик самостоятельно, но тем не менее трафик надо гнать через прокси. Вот такая задача.

"SQUID и NAT"
Отправлено Junior , 07-Июн-06 15:34

>>Не могу понять смысла задачи, если честно. Но может стОит пересмотреть схему
>>сети, если уж так нужно? Поднимайте прокси на роутере (если это
>>Linux-box) или снимать данные о компьютерах пользователей ДО прокси-сервера.
>>Также можно загонять в пулы в squid-е эти департаменты и парсить логи
>>squid-а, чтобы снять статистику по пользователям.
>>Когда есть чётко описанная задача - зачем это нужно - то проще
>>дать совет.
>>
>>Удачи.
>
>Нужно это для того, чтобы межсетевой экран транслировал каждый департамент в свой
>внешний адрес, который будет потом биллинговаться непосредственно оператором связи. Каждый департамент
>должен заключить прямой договор с оператором, как самостоятельная организация, которая платит
>за свой трафик самостоятельно, но тем не менее трафик надо гнать
>через прокси. Вот такая задача.
Ясно. Сходу приходит на ум следующее - запускать несколько сервисов Squid.
Для каждого департамента на своём порте (это если на одном компьютере). Или несколько прокси-серверов. Каждому департаменту отдельно.
Думаю что оставлять каждый адрес пользователя нецелесообразно, считать-то нужно по департаментам, а не пользователям.
Ну а полученный трафик после прокси (каждого отдельно) перенаправлять средствами фильтра на внешние адреса по каждому департаменту соответственно.
Удачи.

"SQUID и NAT"
Отправлено xmorpheusx , 07-Июн-06 15:36

>>>Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При
>>>проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси
>>>и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика
>>>через SQUID, но так, чтобы на выходе каждый департамент транслировался в
>>>отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого
>>>экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный
>>>адрес, принадлежащий прокси-серверу.
>>
>>Не могу понять смысла задачи, если честно. Но может стОит пересмотреть схему
>>сети, если уж так нужно? Поднимайте прокси на роутере (если это
>>Linux-box) или снимать данные о компьютерах пользователей ДО прокси-сервера.
>>Также можно загонять в пулы в squid-е эти департаменты и парсить логи
>>squid-а, чтобы снять статистику по пользователям.
>>Когда есть чётко описанная задача - зачем это нужно - то проще
>>дать совет.
>>
>>Удачи.
>
>Нужно это для того, чтобы межсетевой экран транслировал каждый департамент в свой
>внешний адрес, который будет потом биллинговаться непосредственно оператором связи. Каждый департамент
>должен заключить прямой договор с оператором, как самостоятельная организация, которая платит
>за свой трафик самостоятельно, но тем не менее трафик надо гнать
>через прокси. Вот такая задача.
Если можно обойтись без прокси (сквида), то пустить каждый департамент, натом на отдельные ИП.

"SQUID и NAT"
Отправлено KonstantinL , 08-Июн-06 16:31

>>>>Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При
>>>>проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси
>>>>и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика
>>>>через SQUID, но так, чтобы на выходе каждый департамент транслировался в
>>>>отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого
>>>>экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный
>>>>адрес, принадлежащий прокси-серверу.
>>>
Смотри в сторону tcp_outgoing_address
У меня такое когда-то работало

"SQUID и NAT"
Отправлено Дмитрий , 08-Июн-06 16:41

>>>>>Существует следующая схема. Каждый департамент организации имеет свой диапазон внутренних IP-адресов. При
>>>>>проходе трафика через прокси-сервер SQUID адреса всех машин подменяются адресом прокси
>>>>>и идут дальше на межсетевой экран. Возможна ли схема прохождения http-трафика
>>>>>через SQUID, но так, чтобы на выходе каждый департамент транслировался в
>>>>>отдельный IP-адрес? Это нужно для того, чтобы на внутреннем интерфейсе межсетевого
>>>>>экрана также фигурировали адреса, соответствующие каждому департаменту, а не один единственный
>>>>>адрес, принадлежащий прокси-серверу.
>>>>
>
>Смотри в сторону tcp_outgoing_address
>У меня такое когда-то работало
ОК, спасибо.