forum.opennet.ru - "firewall и redirect" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"firewall и redirect"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"firewall и redirect"
Сообщение от den on 15-Ноя-02, 17:11 (MSK)
Имеется 2 сети. 1 сеть 192.168.254.0/24, вторая 111.111.111.0/24. В обоих сетях инет есть, но просматривать сайты, фтп могут только из 1 сети, так как там стоит прокся.во 2 сети стоит шлюз с 3 сетевухами. 1 смотрит в инет, вторая смотрит в 2 сеть, 3 смотрит во 1 сеть. так вот вопрос: как мне сделать в правилах, чтобы при поступлении на 2 сетевуху http, https,ftp запросы перенаправлялись через 3 сетевуху в 1 сеть к прокси, а все остальные шли через 2 сетевуху на 1 и дальше в инет.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: firewall и redirect, Sampan, 00:00 , 16-Ноя-02, (1)
RE: firewall и redirect, Sampan, 00:28 , 16-Ноя-02, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: firewall и redirect"

Сообщение от Sampan on 16-Ноя-02, 00:00  (MSK)

>Имеется 2 сети. 1 сеть 192.168.254.0/24, вторая 111.111.111.0/24. В обоих сетях инет
>есть, но просматривать сайты, фтп могут только из 1 сети, так
>как там стоит прокся.во 2 сети  стоит шлюз с 3
>сетевухами. 1 смотрит в инет, вторая смотрит   в 2
>сеть, 3 смотрит во 1 сеть.  так вот вопрос: как
>мне сделать в правилах, чтобы при поступлении  на 2 сетевуху
>http, https,ftp  запросы перенаправлялись через 3 сетевуху в 1 сеть
>к прокси, а все остальные шли через 2 сетевуху на 1
>и дальше в инет.
На шлюзе с 3 сетевухами ставишь Squid в transparent mode (перехватываешь 80, 443, можно еще 8080, 8081, 3128) и конфигуришь его перенаправлять запросы на прокси в 1-ой сети. С http и https пройдет. На счет ftp не уверен - "тяжелый" протокол.
Просто перенаправлять пакеты не получится. Клиент во 2-ой сети направляет пакет в инет на 80 порт. Перехватываем его и направляем в 1-ю сеть, а там прокси! Можно перенаправить этот пакет на порт проксей, но, тогда, как прокся узнает на какой порт дальше направлять (может 80, а может и 443, и т.п.).
Только каскад проксей поможет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: firewall и redirect"

Сообщение от Sampan on 16-Ноя-02, 00:28  (MSK)

Еще идея пришла.
Если Linux с iptables, то возможно организовать избирательный SNAT из 2-ой сети в 1-ю.
Что-то типа
iptables -t nat -A POSTROUTING -p tcp -s <вторая_сеть> --dport <порт_прокси_в_1ой_сети> -j SNAT --to-source <адрес_интерфейса_в_1ю_сеть>
На клиентских машинах 2-ой сети прописываешь прокси из 1-ой и фильтруешь все прямые (из 2-ой сети в инет) пакеты с --dport 80, 443 и т.п
Наверное, возможно и ftp так протащить. Наличие в iptables модуля ip_nat_ftp.o внушает оптимизм.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: firewall и redirect"
Сообщение от Sampan on 16-Ноя-02, 00:00 (MSK)
>Имеется 2 сети. 1 сеть 192.168.254.0/24, вторая 111.111.111.0/24. В обоих сетях инет >есть, но просматривать сайты, фтп могут только из 1 сети, так >как там стоит прокся.во 2 сети стоит шлюз с 3 >сетевухами. 1 смотрит в инет, вторая смотрит в 2 >сеть, 3 смотрит во 1 сеть. так вот вопрос: как >мне сделать в правилах, чтобы при поступлении на 2 сетевуху >http, https,ftp запросы перенаправлялись через 3 сетевуху в 1 сеть >к прокси, а все остальные шли через 2 сетевуху на 1 >и дальше в инет. На шлюзе с 3 сетевухами ставишь Squid в transparent mode (перехватываешь 80, 443, можно еще 8080, 8081, 3128) и конфигуришь его перенаправлять запросы на прокси в 1-ой сети. С http и https пройдет. На счет ftp не уверен - "тяжелый" протокол. Просто перенаправлять пакеты не получится. Клиент во 2-ой сети направляет пакет в инет на 80 порт. Перехватываем его и направляем в 1-ю сеть, а там прокси! Можно перенаправить этот пакет на порт проксей, но, тогда, как прокся узнает на какой порт дальше направлять (может 80, а может и 443, и т.п.). Только каскад проксей поможет.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: firewall и redirect"
Сообщение от Sampan on 16-Ноя-02, 00:28 (MSK)
Еще идея пришла. Если Linux с iptables, то возможно организовать избирательный SNAT из 2-ой сети в 1-ю. Что-то типа iptables -t nat -A POSTROUTING -p tcp -s <вторая_сеть> --dport <порт_прокси_в_1ой_сети> -j SNAT --to-source <адрес_интерфейса_в_1ю_сеть> На клиентских машинах 2-ой сети прописываешь прокси из 1-ой и фильтруешь все прямые (из 2-ой сети в инет) пакеты с --dport 80, 443 и т.п Наверное, возможно и ftp так протащить. Наличие в iptables модуля ip_nat_ftp.o внушает оптимизм.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх