forum.opennet.ru - "divert и forward NAT+Squid+ipfw" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"divert и forward NAT+Squid+ipfw"

Форумы Настройка Squid и других прокси серверов (Squid)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"divert и forward NAT+Squid+ipfw"		+/–
Сообщение от Towermna on 06-Окт-05, 15:09
Есть шлюз на FreeBSD. На ней подняты NAT, ipfw, Squid. Обычных пользователей локальной сети нужно запускать в Интернет через прокси, а несколько "VIP" адресов напрямую через NAT. С простыми пользователями я разобрался. Они ходят через прокси как и положено. А вот завернуть "VIP" на NAT не удается. Правила в файерволе идут в следующем порядке: (условно) 0. allow ip from me to any via "out_interface" 1. divert natd all from "vip" to any http out via "natd_interface" 2. fwd 127.0.0.1,3128 from "our_net" to any http out via "out_interface" 3. divert natd all from "our_net" to any via "natd_interface" 4. allow all from any to any Получается так, что пакеты, звёрнутые на NAT правилом 1. возвращаются в ipfw на следующее по списку правило. Как можно решить проблему, чтобы "VIP" не шли на прокси, а обычные пользователи не вылазили напрямую через NAT?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

divert и forward NAT+Squid+ipfw, Mike, 16:49 , 06-Окт-05, (1)
divert и forward NAT+Squid+ipfw, Владислав, 15:52 , 02-Апр-10, (2)
divert и forward NAT+Squid+ipfw, Владислав, 15:58 , 02-Апр-10, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "divert и forward NAT+Squid+ipfw" +/–

Сообщение от Mike (??) on 06-Окт-05, 16:49

Hi!
Create a new sub-network, and assign IP addresses of the VIP persons to this network. Create a rule in ipfw that all packets came from specific interface should be forwarded as-is.
Hope that helps.
>Есть шлюз на FreeBSD. На ней подняты NAT, ipfw, Squid. Обычных пользователей
>локальной сети нужно запускать в Интернет через прокси, а несколько "VIP"
>адресов напрямую через NAT. С простыми пользователями я разобрался. Они ходят
>через прокси как и положено.
>А вот завернуть "VIP" на NAT не удается.
>Правила в файерволе идут в следующем порядке:
>(условно)
>0. allow ip from me to any via "out_interface"
>1. divert natd all from "vip" to any http out via "natd_interface"
>
>2. fwd 127.0.0.1,3128 from "our_net" to any http out via "out_interface"
>3. divert natd all from "our_net" to any via "natd_interface"
>4. allow all from any to any
>Получается так, что пакеты, звёрнутые на NAT правилом 1. возвращаются в ipfw
>на следующее по списку правило. Как можно решить проблему, чтобы "VIP"
>не шли на прокси, а обычные пользователи не вылазили напрямую через
>NAT?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "divert и forward NAT+Squid+ipfw" +/–

Сообщение от Владислав (??) on 02-Апр-10, 15:52

используй skipto и все будет работать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "divert и forward NAT+Squid+ipfw" +/–

Сообщение от Владислав (??) on 02-Апр-10, 15:58

используй skipto и все будет работать, а имеено:
ipfw add 1 allow ip from me to any via "out_interface"
ipfw add 2 skipto 5 all from "vip" to any http out via "natd_interface"
ipfw add 3 fwd 127.0.0.1,3128 from "our_net" to any http out via "out_interface"
ipfw add 4 divert natd all from "our_net" to any via "natd_interface"
ipfw add 5 divert natd all from "vip" to any http out via "natd_interface"
ipfw add 6 allow all from any to any

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "divert и forward NAT+Squid+ipfw"		+/–
Сообщение от Mike (??) on 06-Окт-05, 16:49
Hi! Create a new sub-network, and assign IP addresses of the VIP persons to this network. Create a rule in ipfw that all packets came from specific interface should be forwarded as-is. Hope that helps. >Есть шлюз на FreeBSD. На ней подняты NAT, ipfw, Squid. Обычных пользователей >локальной сети нужно запускать в Интернет через прокси, а несколько "VIP" >адресов напрямую через NAT. С простыми пользователями я разобрался. Они ходят >через прокси как и положено. >А вот завернуть "VIP" на NAT не удается. >Правила в файерволе идут в следующем порядке: >(условно) >0. allow ip from me to any via "out_interface" >1. divert natd all from "vip" to any http out via "natd_interface" > >2. fwd 127.0.0.1,3128 from "our_net" to any http out via "out_interface" >3. divert natd all from "our_net" to any via "natd_interface" >4. allow all from any to any >Получается так, что пакеты, звёрнутые на NAT правилом 1. возвращаются в ipfw >на следующее по списку правило. Как можно решить проблему, чтобы "VIP" >не шли на прокси, а обычные пользователи не вылазили напрямую через >NAT?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "divert и forward NAT+Squid+ipfw"		+/–
Сообщение от Владислав (??) on 02-Апр-10, 15:52
используй skipto и все будет работать
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

3. "divert и forward NAT+Squid+ipfw"		+/–
Сообщение от Владислав (??) on 02-Апр-10, 15:58
используй skipto и все будет работать, а имеено: ipfw add 1 allow ip from me to any via "out_interface" ipfw add 2 skipto 5 all from "vip" to any http out via "natd_interface" ipfw add 3 fwd 127.0.0.1,3128 from "our_net" to any http out via "out_interface" ipfw add 4 divert natd all from "our_net" to any via "natd_interface" ipfw add 5 divert natd all from "vip" to any http out via "natd_interface" ipfw add 6 allow all from any to any
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору