Есть задача, помогите плиз решить.
Работает transparent proxy squid (public IP), пакеты заворачиваются на циске (ip policy route-map), можно заворачивать через iptables (PREROUTING), все прекрасно работает. Пакеты на прокси попадают с public IP, т.к. все происходит за NATом, соответственно лог squida выглядит как будто все запросы были с одного адреса (это и понятно - работает за NATом). Так вот задача: как настроить iptables на брандмауэре, чтоб в логе я видел фэйковые адреса (адреса из моего LANa) и можно ли такое замутить в принципе.
не нать. :)
>Есть задача, помогите плиз решить.
>Работает transparent proxy squid (public IP), пакеты заворачиваются на циске (ip policy
>route-map), можно заворачивать через iptables (PREROUTING), все прекрасно работает. Пакеты на
>прокси попадают с public IP, т.к. все происходит за NATом, соответственно
>лог squida выглядит как будто все запросы были с одного адреса
>(это и понятно - работает за NATом). Так вот задача: как
>настроить iptables на брандмауэре, чтоб в логе я видел фэйковые адреса
>(адреса из моего LANa) и можно ли такое замутить в принципе.
>поднять на файрволе свой сквид и прокидывать на другой сквид, либо на файрволе -j LOG и по времени смотреть или ещё как, но это будет не точно, а почему сквид не в локалке?
>[оверквотинг удален]
>>прокси попадают с public IP, т.к. все происходит за NATом, соответственно
>>лог squida выглядит как будто все запросы были с одного адреса
>>(это и понятно - работает за NATом). Так вот задача: как
>>настроить iptables на брандмауэре, чтоб в логе я видел фэйковые адреса
>>(адреса из моего LANa) и можно ли такое замутить в принципе.
>>
>
>поднять на файрволе свой сквид и прокидывать на другой сквид, либо на
>файрволе -j LOG и по времени смотреть или ещё как, но
>это будет не точно, а почему сквид не в локалке?не в локалке потому что есть dial-up юзеры, которые конектятся на циску и соответственно заворачиваются на проксю, по поводу переноса сквида в локалку - пробовал, понял что вариант установки на другую машину в локалке, не на шлюз, не прокатывает под мои нужды, а на шлюз ставить не могу, т.к. большая нагрузка, есть какие-нидь мысли?
ещё vpn можно поднять с файрвола до сквида и не использовать нат, а маршрутизацию к примеру
Все. Победил сам, всем спасибо. Засунул сквид в LAN только в другую подсеть и все получилось так как мне надо.
а можно сделать так сквид, чтобы чтобы каждый пользователь с белым ип ходил через сквид, выходил и определялся в инете со своим белым ип аддресом
TProxy. Такое впечатлений, что можно, но ооооочень непросто...http://wiki.squid-cache.org/SquidFaq/InterceptionProxy#TProx...
http://www.opennet.me/openforum/vsluhforumID12/6551.html#1