Автор |
Сообщение |
МасяН Эксперт Предупреждений : 1
|
|
Добрый день!
Столкнулся с проблемой.
Есть роутер zyxel keenetic lite 2, который раздает интернет на рабочие станции и небольшой сервер.
На сервере крутится некоторое ПО с БД, через которое работает контора.
Возник вопрос ограничения доступа в интернет выборочно по станциям.
Поставил сквид, прописал в настройках прокси на рабочих ПК, все работает, все хорошо. Но хотелось бы сделать так, чтобы еще трафик, идущий через WIFI роутера заворачивался через сквид стоящий на сервере 2008 р2.
Теперь вопрос, каким образом это завернуть на роутере? И возможно ли вообще?
Т.е., чтобы трафик приходящий на роутер, передавался на порт сквида на сервере и сквид отсеивая все лишнее отправлял его дальше...
.png |
Описание: |
|
Размер файла: |
9.21 KB |
Просмотрено: |
1498 раз(а) |
|
|
|
|
|
|
ДобрыйФей Мечтатель Предупреждений : 5
|
|
Можно, наверное, в принципе клиентам дефолтным маршрутом прокси выдавать, а на нем форвардить/дропать/проксировать. |
|
|
|
|
zmeeed Эксперт |
|
|
|
|
ДобрыйФей Мечтатель Предупреждений : 5
|
|
Вспомнил:
Код: |
iptables -t nat -A PREROUTING -i %local ifname% -p tcp --dport 80 ! -d %local ip% -j DNAT --to-destination %proxy%:%port% |
|
|
|
|
|
ДобрыйФей Мечтатель Предупреждений : 5
|
|
Еще вариант для дураков: выдать свой DNS, на все запросы выдавать адрес прокси, на роутере разрешить прохождение DNS-пакетов только в сторону своего сервера. |
|
|
|
|
VladSH Продвинутый форумчанин |
|
Ставишь свой 2008-ой в демилитаризованную зону и весь входящий от интернета пойдет на твой сервер. Можно вместо демилитаризованной зоны открыть к серверу нужные порты.
Судя по схеме на картинке у тебя 2008 с одной сетевой, так?
роутер - 192.168.0.1
сервер - 192.168.0.2
локальная сеть - 192.168.0.3-100
сеть wi-fi - 192.168.0.101-200
В локальной сети на компьютерах в брандмауэре запрещаешь общение с любыми адресами кроме 192.168.0.2-100
что то предать от клиентов wi-fi в локальную сеть разруливаешь с помощью ACL в кальмаре |
|
|
|
|
VladSH Продвинутый форумчанин |
|
я бы не стал связываться с виндовой версией кальмара
Как вариант(у меня так сделано в одной конторе):
если тебе ресурсы сервера позволяют - поднимай Интернет Контроль Сервер на гипервизоре. 2 гигабайта оперативки отдай на ИКС, а процессор он не будет грузить.
До 8 клиентов ИКС бесплатен. Клиентов пускай группами по ip. Разрулить весь трафик, да еще его почистить от нечисти гораздо проще на ИКСе чем если ты сам будешь писать правила для кальмара |
|
|
|
|
МасяН Эксперт Предупреждений : 1
|
|
ДобрыйФей писал(а): |
Еще вариант для дураков: выдать свой DNS, на все запросы выдавать адрес прокси, на роутере разрешить прохождение DNS-пакетов только в сторону своего сервера. |
Днс на нем поднят, сегодня поковыряю.
VladSH писал(а): |
Судя по схеме на картинке у тебя 2008 с одной сетевой, так?
|
2 сетевые, но вариант переткнуть кабель не интересен, так как это дело еще и удаленно настраивается.
Вообще пока искал, наткнулся на ZyWALL https://zyxel.ru/kb/2347/ . Думал мож и кинетик так умеет. Нашел там вкладку, как межсетевой экран, который вроде умеет сортировать и направлять с одного порта на другой. Направить то направил трафик, а обратно он не идет. |
|
|
|
|
ДобрыйФей Мечтатель Предупреждений : 5
|
|
МасяН писал(а): |
Нашел там вкладку |
Чисто настройками роутера ты вряд ли обойдешься, т.к. специфичный юзкейс как бы. |
|
|
|
|
zmeeed Эксперт |
|
я бы воткнул простую машинку на линухе с той же бубунтой (инфы по настройке шлюза больше чем много), а зухель в режиме AP воткнул в локалку и рулил всем чем можно, но это я так настраиваю, у вас свои виндовые заморочки |
|
|
|
|
|