adsl club

Справочник

Форум

Программы

Фильмы

Ресурсы

Файлообмен

Хостинг

Ростелеком
Прозрачный прокси
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)СОФТ
Автор Сообщение
МасяН
Эксперт
Предупреждений : 1
СообщениеДобавлено: Ср 6-07-16 : 12-06    Заголовок сообщения: Прозрачный прокси Ответить с цитатой

Добрый день!
Столкнулся с проблемой.
Есть роутер zyxel keenetic lite 2, который раздает интернет на рабочие станции и небольшой сервер.
На сервере крутится некоторое ПО с БД, через которое работает контора.
Возник вопрос ограничения доступа в интернет выборочно по станциям.
Поставил сквид, прописал в настройках прокси на рабочих ПК, все работает, все хорошо. Но хотелось бы сделать так, чтобы еще трафик, идущий через WIFI роутера заворачивался через сквид стоящий на сервере 2008 р2.
Теперь вопрос, каким образом это завернуть на роутере? И возможно ли вообще?
Т.е., чтобы трафик приходящий на роутер, передавался на порт сквида на сервере и сквид отсеивая все лишнее отправлял его дальше...



.png
 Описание:  
 Размер файла:  9.21 KB
 Просмотрено:  1498 раз(а)

.png

 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
ДобрыйФей
Мечтатель
Предупреждений : 5
СообщениеДобавлено: Ср 6-07-16 : 14-08    Заголовок сообщения: Ответить с цитатой

Можно, наверное, в принципе клиентам дефолтным маршрутом прокси выдавать, а на нем форвардить/дропать/проксировать.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
zmeeed
Эксперт
СообщениеДобавлено: Ср 6-07-16 : 14-30    Заголовок сообщения: Ответить с цитатой

поставь на зухель линух http://forum.ixbt.com/topic.cgi?id=14:60385 и рули как хочешь
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Jabber ID Номер ICQ
ДобрыйФей
Мечтатель
Предупреждений : 5
СообщениеДобавлено: Ср 6-07-16 : 18-50    Заголовок сообщения: Ответить с цитатой

Вспомнил:
Код:
iptables -t nat -A PREROUTING  -i %local ifname% -p tcp --dport 80 ! -d %local ip% -j DNAT --to-destination %proxy%:%port%
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
ДобрыйФей
Мечтатель
Предупреждений : 5
СообщениеДобавлено: Ср 6-07-16 : 18-56    Заголовок сообщения: Ответить с цитатой

Еще вариант для дураков: выдать свой DNS, на все запросы выдавать адрес прокси, на роутере разрешить прохождение DNS-пакетов только в сторону своего сервера.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
VladSH
Продвинутый форумчанин
СообщениеДобавлено: Ср 6-07-16 : 21-11    Заголовок сообщения: Ответить с цитатой

Ставишь свой 2008-ой в демилитаризованную зону и весь входящий от интернета пойдет на твой сервер. Можно вместо демилитаризованной зоны открыть к серверу нужные порты.
Судя по схеме на картинке у тебя 2008 с одной сетевой, так?
роутер - 192.168.0.1
сервер - 192.168.0.2
локальная сеть - 192.168.0.3-100
сеть wi-fi - 192.168.0.101-200
В локальной сети на компьютерах в брандмауэре запрещаешь общение с любыми адресами кроме 192.168.0.2-100
что то предать от клиентов wi-fi в локальную сеть разруливаешь с помощью ACL в кальмаре
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
VladSH
Продвинутый форумчанин
СообщениеДобавлено: Ср 6-07-16 : 21-32    Заголовок сообщения: Ответить с цитатой

я бы не стал связываться с виндовой версией кальмара
Как вариант(у меня так сделано в одной конторе):
если тебе ресурсы сервера позволяют - поднимай Интернет Контроль Сервер на гипервизоре. 2 гигабайта оперативки отдай на ИКС, а процессор он не будет грузить.
До 8 клиентов ИКС бесплатен. Клиентов пускай группами по ip. Разрулить весь трафик, да еще его почистить от нечисти гораздо проще на ИКСе чем если ты сам будешь писать правила для кальмара
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
МасяН
Эксперт
Предупреждений : 1
СообщениеДобавлено: Чт 7-07-16 : 10-05    Заголовок сообщения: Ответить с цитатой

ДобрыйФей писал(а):
Еще вариант для дураков: выдать свой DNS, на все запросы выдавать адрес прокси, на роутере разрешить прохождение DNS-пакетов только в сторону своего сервера.

Днс на нем поднят, сегодня поковыряю.

VladSH писал(а):

Судя по схеме на картинке у тебя 2008 с одной сетевой, так?

2 сетевые, но вариант переткнуть кабель не интересен, так как это дело еще и удаленно настраивается.

Вообще пока искал, наткнулся на ZyWALL https://zyxel.ru/kb/2347/ . Думал мож и кинетик так умеет. Нашел там вкладку, как межсетевой экран, который вроде умеет сортировать и направлять с одного порта на другой. Направить то направил трафик, а обратно он не идет.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
ДобрыйФей
Мечтатель
Предупреждений : 5
СообщениеДобавлено: Чт 7-07-16 : 18-39    Заголовок сообщения: Ответить с цитатой

МасяН писал(а):
Нашел там вкладку
Чисто настройками роутера ты вряд ли обойдешься, т.к. специфичный юзкейс как бы.
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение  
zmeeed
Эксперт
СообщениеДобавлено: Чт 7-07-16 : 23-07    Заголовок сообщения: Ответить с цитатой

я бы воткнул простую машинку на линухе с той же бубунтой (инфы по настройке шлюза больше чем много), а зухель в режиме AP воткнул в локалку и рулил всем чем можно, но это я так настраиваю, у вас свои виндовые заморочки
 Наверх
Посмотреть профиль / Отправить личное сообщение Отправить личное сообщение Jabber ID Номер ICQ
Показать сообщения:   
Ответить на тему    Форум АДСЛ КлубаЦИФРОВОЙ ФЛЕЙМ :)СОФТ Часовой пояс: GMT + 7
Страница 1 из 1

 

 
Аватары: Вкл|Выкл   ЮзерИнфо: Вкл|Выкл   Подписи: Вкл|Выкл
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы