Уважаемый ALL!<p>Пожалуйста подскажите где я ошибся или чего не понимаю.<br>Есть Cisco 3660 1.2.32.1<br>На одном интерфейсе 1.2.33.85/30 по выделенке подключен<br>клиент с сеткой 1.2.40.0/24. Есть машина с фрёй 2.2.8 и адресом<br>1.2.32.2 255.255.255.192 на ней живет squid 2.3 stable.<br>И еще имеется тестовая машина с фрёй 3.2 и адресом 1.2.32.17<br>255.255.255.0<br>Начальство требует принудительно завернуть весть http трафик клиента<br>через squid. Дабы он работал в качестве "локальной копии Интернет".<br>Надо приуменьшить входящий к нам из Интернета трафик.<p>Пока у меня в access.log squid не видно адресов 1.2.40.z1 .. zn.<br> А вот, что у меня сделано на сей момент:<br> На Cisco на интерфейсе клиента прописано:<br> ip adress 1.2.33.85 255.255.255.252<br> ip policy route-map proxy-test<p> Где<br> route-map proxy-test permit 10<br> match ip adress 102<br> set ip next-hop 1.2.32.17<p> Где<br> access-list 102 permit tcp 1.2.0.0 0.0.255.255 any eq www<p> Ну а www=80. в режиме отладки cisco говорит, что пакеты с<br> адресами отправителя 1.2.40.z1 .. zn она роутит куда ей сказали.<p> Что сделано на машине 1.2.32.17 255.255.255.0<br> Собрано ядро 3.2 с опциями IPFIREWALL, IPDIVERT,<br>IPFIREWALL_DEFAULT_TO_ACCESS, IPFIREWALL_FORWARD<p> В /etc/services есть строка<br> natd 8668/divert<p> В /etc/rc.conf написано<br> gateway_enable="YES"<br> firewall_enable="YES"<br> firewall_type="open"<br> natd_enable="YES"<br> natd_interface="ed1"<p> В /etc/rc.firewall в самом начале написал<br> ipfw add 100 fwd 1.2.32.2,3128 tcp from any to any 80<br> вместо<br> ipfw add 100 divert natd all from any to any via ${natd_interface}<p> Если смотреть как это все работает<br> ipfw -a l,<br> то видно, что это правило работает, притом только оно одно.<br> На основании этого, я делаю вывод о том, что пакеты клинта с адресами<br> отправителя 1.2.40.z1 .. zn и портом 80 перенаправляются на порт 3128<br> машиты с адресом 1.2.32.2, где они должны обрабатываться squid.<p> На машине 1.2.32.2 собрано ядро 2.2.8 с опциями IPFIREWALL, IPDIVERT<p> В /etc/services есть строка<br> natd 8668/divert<p> В /etc/rc.conf написано<br> gateway_enable="YES"<br> firewall_enable="YES"<br> firewall_type="open"<br> natd_enable="YES"<br> natd_interface="ed0<p> В /etc/rc.firewall<br> ipfw -f flush<br> ipfw add divert natd all from any to any via ed0<br> ipfw add pass all from any to any<p> В squid.conf<br> http_port 3128<br> httpd_accel_host virtual<br> httpd_accel_port 80<br> httpd_accel_with_proxy on<br> httpd_accel_uses_host_header on<p> В настоящее время через squid ходят по желанию диалапщики и офис.<br> А вот насильно клиент не заворачивается. Не вижу в логе клиентских<br>адресов. :-(<p>С уважением,<br>Иванников Игорь.<p>
|