The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"PF + SQUID + 2 канала"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"PF + SQUID + 2 канала"  +/
Сообщение от Sarge (ok) on 29-Ноя-11, 14:36 
Здравствуйте коллеги.

Подключил недавно офис. Докупил на него еще один, надежный доп. канал, чтобы отделить телефонию от инета(там asterisk работает) и сижу голову ломаю.
Шлюз по умолчанию на сервере - один канал, а проксю(я прозрачную настроил) надо натравить на другой!
Помню, что как то натравливал SQUID на другую внешнюю сетевку, но не помню как.
Или это средствами PF лучше сделать?

Подскажите пожалуйста.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "PF + SQUID + 2 канала"  +/
Сообщение от McLeod095 (??) on 29-Ноя-11, 15:08 
> Здравствуйте коллеги.
> Подключил недавно офис. Докупил на него еще один, надежный доп. канал, чтобы
> отделить телефонию от инета(там asterisk работает) и сижу голову ломаю.
> Шлюз по умолчанию на сервере - один канал, а проксю(я прозрачную настроил)
> надо натравить на другой!
> Помню, что как то натравливал SQUID на другую внешнюю сетевку, но не
> помню как.
> Или это средствами PF лучше сделать?
> Подскажите пожалуйста.

У меня было 3 морковки, 5 слонов забрал себе сосед, сколько мух у меня осталось?
Телепатов здесь нет!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "PF + SQUID + 2 канала"  +/
Сообщение от Sarge (ok) on 29-Ноя-11, 15:52 
Эээ, простите. Поясняю:
Есть машина с FreeBSD 8.0.
Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.

Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
Как это сделать правильнее?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "PF + SQUID + 2 канала"  +/
Сообщение от кегна on 29-Ноя-11, 18:40 
> Эээ, простите. Поясняю:
> Есть машина с FreeBSD 8.0.
> Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и
> 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
> Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.
> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
> Как это сделать правильнее?

tcp_outgoing_address не?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "PF + SQUID + 2 канала"  +/
Сообщение от McLeod095 (??) on 29-Ноя-11, 18:59 
>> Эээ, простите. Поясняю:
>> Есть машина с FreeBSD 8.0.
>> Работает как шлюз для локалки. На ней 3 интерфейса, один внутренний и
>> 2 внешних. Два разных интернет канала в наличии на внешних интерфейсах.
>> Подняты PF (сейчас все работают через NAT), SQUID, Asterisk.
>> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
>> Как это сделать правильнее?
> tcp_outgoing_address не?

То что искал человек.
У меня именно так и сделано.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "PF + SQUID + 2 канала"  +/
Сообщение от Sarge (ok) on 29-Ноя-11, 19:01 
> tcp_outgoing_address не?

Это самая первая мысль была.
Не проходит. Все равно через дефолтовый шлюз идет.
Там видимо сначала, маршрутизацию надо кошерно настроить.

Ищу доки по моему случаю сейчас.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "PF + SQUID + 2 канала"  +/
Сообщение от кегна on 29-Ноя-11, 20:41 
>> tcp_outgoing_address не?
> Это самая первая мысль была.
> Не проходит. Все равно через дефолтовый шлюз идет.
> Там видимо сначала, маршрутизацию надо кошерно настроить.
> Ищу доки по моему случаю сейчас.

конечно мало ли что, но как заворачивается трафик в squid?
мож в iptables поковырять правила типа:

-A PREROUTING -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "PF + SQUID + 2 канала"  +/
Сообщение от кегна on 29-Ноя-11, 20:44 
ой ну в смысле pf...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "PF + SQUID + 2 канала"  +/
Сообщение от reader (ok) on 29-Ноя-11, 23:15 
>> tcp_outgoing_address не?
> Это самая первая мысль была.
> Не проходит. Все равно через дефолтовый шлюз идет.

а ip при этом какой?

> Там видимо сначала, маршрутизацию надо кошерно настроить.
> Ищу доки по моему случаю сейчас.

route-to

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "PF + SQUID + 2 канала"  +/
Сообщение от Sarge (ok) on 30-Ноя-11, 01:01 
> route-to

В общем последнее словосочетание навело на верную ссылку.
Итак в pf.conf надо прописать:

nat on $ext_if from !($ext_if) -> ($ext_if)
nat on $ext_if2 from !($ext_if2) -> ($ext_if2)

pass out on $ext_if route-to ($ext_if $ext_gw) from $ext_if to any
pass out on $ext_if2 route-to ($ext_if2 $ext2_gw) from $ext_if2 to any

Названия двух внешних интерфейсов думаю понятны, шлюзов прововских тоже :-)

И только после этого, по логике вещей, должно заработать правило tcp_outgoing_address в SQUID.
К сожалению я сейчас далеко от того офиса и боюсь с правилами экспериментировать, но через 2 дня отпишусь как сработает.
Думаю что рассуждаю правильно.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "PF + SQUID + 2 канала"  +/
Сообщение от sTALK_specTrum on 30-Ноя-11, 00:55 
> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
> Как это сделать правильнее?

Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based routing.
man setfib.
и ещё раз внимательно man ipfw.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "PF + SQUID + 2 канала"  +/
Сообщение от PavelR (ok) on 30-Ноя-11, 10:16 
>> Задача, перенаправить трафик SQUID-а на другой интерфейс, вместо дефолтного.
>> Как это сделать правильнее?
> Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based
> routing.

забыли дописать - на линуксе.

> man setfib.
> и ещё раз внимательно man ipfw.

На фре это худо бедно "удобно" делать на транзитном рутере, а вот для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда ipfw .... setfib командой ipfw .... reroute еще не пополнена.

Так что, ipfw fwd "наше ффсьо".


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "PF + SQUID + 2 канала"  +/
Сообщение от Sarge (ok) on 30-Ноя-11, 11:45 
> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
> Так что, ipfw fwd "наше ффсьо".

На моей фре работает PF, ipfw я как то не воспринимаю. Буду делать все по вышеописанным правилам(см. предыдущий ответ).
Или же я неправ и у меня не получится?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "PF + SQUID + 2 канала"  +/
Сообщение от PavelR (ok) on 30-Ноя-11, 13:26 
>> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
>> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
>> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
>> Так что, ipfw fwd "наше ффсьо".
> На моей фре работает PF, ipfw я как то не воспринимаю. Буду
> делать все по вышеописанным правилам(см. предыдущий ответ).
> Или же я неправ и у меня не получится?

Должно получиться

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "PF + SQUID + 2 канала"  +/
Сообщение от reader (ok) on 30-Ноя-11, 21:25 
>[оверквотинг удален]
>>> Как это сделать правильнее?
>> Насчёт pf ничего не скажу, но такие вещи удобно решать через Policy-based
>> routing.
> забыли дописать - на линуксе.
>> man setfib.
>> и ещё раз внимательно man ipfw.
> На фре это худо бедно "удобно" делать на транзитном рутере, а вот
> для трафика локалхоста setfib не шибко удобен. Насколько я понимаю, команда
> ipfw .... setfib командой ipfw .... reroute еще не пополнена.
> Так что, ipfw fwd "наше ффсьо".

а разве приложение нельзя к определенной таблице привязать?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру