Здравствуйте.
Есть довольно тривиальная задача - настроить проксю и nat для пользователей. Осложняется все тем, что у сервера с проксей один сетевой интерфейс, а последней милей является циска - на нее разрешаю доступ только с серверов. И пользователи, и сервера, и циска живут в одной подсети. Раньше пока на шлюзе(FreeBSD) был только сквид все нормально работало. Начал прикручивать туда же нат - хочу разрешать на него доступ определенным компам работающим с кривыми программами считающими, что интенет начинается сразу на выходе с сетевой карты :) . Так вот начал я прикручивать нат и понял что работает или он или сквид(при одновременной работе как я понимаю ответы сквиду от внешних ресурсов попадают на тот самый нат и начинается форменный ужас).
Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну карточку сетевую на сервере, но она опять же будет в той же подсети(дополнительную подсеть по политическим причинам выделить уже не могу - да и переделывать тогда довольно много придется...)
>[оверквотинг удален]
> прикручивать туда же нат - хочу разрешать на него доступ определенным
> компам работающим с кривыми программами считающими, что интенет начинается сразу на
> выходе с сетевой карты :) . Так вот начал я прикручивать
> нат и понял что работает или он или сквид(при одновременной работе
> как я понимаю ответы сквиду от внешних ресурсов попадают на тот
> самый нат и начинается форменный ужас).
> Подскажите как можно избежать данной проблемы. В теории могу поднять еще одну
> карточку сетевую на сервере, но она опять же будет в той
> же подсети(дополнительную подсеть по политическим причинам выделить уже не могу -
> да и переделывать тогда довольно много придется...)До конца не понял вашу структура подключения к инету. Лучше бы обрисовали подробнее с ip сетями. Как я понял инет приходит в свич в циску и в него все воткнуты? Так? Как вариант можно навесить дополнительный алиасный ip ( их можно много навешать) из той же сети и сказать сквиду слушать только на нем и этот айпи не натить. Лучше конечно иметь вторую сетевую карту. Но схема не понятна, потому пока гадать не буду. Решение всегда найдется, вопрос в корректности, правильности, безопасности.
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
> До конца не понял вашу структура подключения к инету. Лучше бы обрисовали
> подробнее с ip сетями. Как я понял инет приходит в свич
> в циску и в него все воткнуты? Так? Как вариант можно
> навесить дополнительный алиасный ip ( их можно много навешать) из той
> же сети и сказать сквиду слушать только на нем и этот
> айпи не натить. Лучше конечно иметь вторую сетевую карту. Но
> схема не понятна, потому пока гадать не буду. Решение всегда найдется,
> вопрос в корректности, правильности, безопасности.Ну условно есть несколько объединенных циско-свичей подсети 192.168.1.0/24. В них воткнута циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200) для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20)
По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру, 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а прокси прозрачный... Хотя тогда можно не поднимать на ней нат и может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только с ipfw напутать - там ведь закрывать и форвардить как-то все надо наверное... В общем буду очень признателен если так возможно за примерчик или ссылочку... :)
>[оверквотинг удален]
> циска(192.168.1.20) которая смотрит наружу. Есть FreeBSD которая является шлюзом(192.168.1.200)
> для обычных пользователей - на ней сейчас поднят прозрачный прокси. Хочется
> туда же нат. Шлюз для самой FreeBSD как раз циска(192.168.1.20)
> По-идее могу поднять на фре еще одну сетевуху с адресом, к примеру,
> 192.168.1.201, но 2-м шлюзом для пользователей ее уже не сделать, а
> прокси прозрачный... Хотя тогда можно не поднимать на ней нат и
> может заработает - получится что-то типа моста высокоуровневого. Боюсь вот только
> с ipfw напутать - там ведь закрывать и форвардить как-то все
> надо наверное... В общем буду очень признателен если так возможно за
> примерчик или ссылочку... :)Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет? PPPOE? ADSL модем? Что? И свич у вас 3-го уровня? IP сеть пров какую дает? Физически циска и фря рядом или удалены?
> Вы не рассказали каким образом инет приходит в циску? Что-это? Обычный эзернет?
> PPPOE? ADSL модем? Что? И свич у вас 3-го уровня?
> IP сеть пров какую дает? Физически циска и фря рядом или
> удалены?Фря и циска рядом. В циску приходит можно сказать обычный ethernet(там дальше оптика, но это уже не мой кусок)... На самой циске нат. На цисковский интерфейс с адресом 192.168.1.20 доступ открыт условно только с FreeBSD.
Свичи через которые все это объединено тоже cisco, но протокол построения дерева на них отключен(spanning-tree portfast)...
Циску трогать не хочу - пусть живет как жила - хотелось бы все потоки разрулить на FreeBSD, поэтому говорю в основном про нее :)
> Циску трогать не хочу - пусть живет как жила - хотелось бы
> все потоки разрулить на FreeBSD, поэтому говорю в основном про нее
> :)Может не нат, а в сторону сокс?
>> Циску трогать не хочу - пусть живет как жила - хотелось бы
>> все потоки разрулить на FreeBSD, поэтому говорю в основном про нее
>> :)
> Может не нат, а в сторону сокс?Сокс уже стоит, и при возможности его пользую, но есть программы у пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель в инет - если не попадают говорят до свиданья. Или там банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после перезагрузки компа надо сначала сокс выключать у него в настройках, а потом включать - иначе не работает(хз почему). Ну и примеров есть еще - случаи все довольно специфичные и как раз проще тут натить все - редирект портов и тот не всегда спасает...
>[оверквотинг удален]
>>> :)
>> Может не нат, а в сторону сокс?
> Сокс уже стоит, и при возможности его пользую, но есть программы у
> пользователей которые написанны программистами и сразу лезут, к примеру, на сиквель
> в инет - если не попадают говорят до свиданья. Или там
> банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после
> перезагрузки компа надо сначала сокс выключать у него в настройках, а
> потом включать - иначе не работает(хз почему). Ну и примеров есть
> еще - случаи все довольно специфичные и как раз проще тут
> натить все - редирект портов и тот не всегда спасает...Программе не обязательно уметь работать через сокс, просто запускайте ее из под сокс-клиента.
Про NAT и SQUID на одном интерфейсе пока не думал, не было времени и желания, на досуге может подумаю.
>[оверквотинг удален]
>> в инет - если не попадают говорят до свиданья. Или там
>> банк-клиент сберовский с крипто-клиентом, который знает что такое сокс, но после
>> перезагрузки компа надо сначала сокс выключать у него в настройках, а
>> потом включать - иначе не работает(хз почему). Ну и примеров есть
>> еще - случаи все довольно специфичные и как раз проще тут
>> натить все - редирект портов и тот не всегда спасает...
> Программе не обязательно уметь работать через сокс, просто запускайте ее из
> под сокс-клиента.
> Про NAT и SQUID на одном интерфейсе пока не думал, не было
> времени и желания, на досуге может подумаю.Схема примерно такая.
вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252
172.16.5.1 - циска
172.16.5.2 - фря
на циске NAT-ите фрю с адреса 172.16.5.2
на фре NAT-ите нужные айпи сети 192.168, в том числе 192.168.1.20, выпуская их через этот интерфейс 172.16.5.0/255.255.255.252.
на фре делаете прозрачное проксирование, заворачивая пакеты 80 порта на порт сквида, сквиду укажите слушать на 192.168.1.20.
Ну где-то так. Но могут быть проблемы, если натовым клиентам потребуется 80 порт. И интерфейс 172.16.5.0/255.255.255.252 лучше выделить в VLAN.Если
> Схема примерно такая.
> вешаете на фре еще один алиасный айпи из другой сети. Например 172.16.5.0/255.255.255.252Больше кажется, что сработает установка доп.сетевой с тем же ip и выделение одной только под циску, а второй только под не циску...
по поводу VLAN-поддерживаю: лучше порт, куда воткнут сервак затранковать и настроить VLAN на сервере.
На сколько я понял NAT должен работать в рамках одной подсети. Думаю в данных случаях без указания статических маршрутов на рабочих станциях не обойтись