[Comm] Linux Gate

[Dmitry Nechaev]

В сообщении от Вторник 25 Ноябрь 2003 15:41 Alexey Morsov написал(a):

>
> Есть необходимость настроить на базе linux-машины gate для
> небольшой (30-40 компьютеров) сетки с выходом как в интеренет
> через ADSL.
> Сейчас сетка выходит в  инет через cisco текущего провайдера
> (ADSL будем брать у другого).
>
> Теоритические исследования привели к слудующему порядку действий:
> 1. На linux-машине ставим две сетевые карты. Одной даем фэйковый
> адрес и втыкаем в локальную сеть, другой даем внешний адрес
> (который дадут нам с ADSL) и втыкаем в нее ADSL.
> 2. Поднимаем и настроаиваем iptables так что бы все порты извне
> кроме http, ftp и https были закрыты.
У тебя есть необходимость держать у себя http/ftp сервера?

> 3. Указываем в правилах iptables так что бы все запросы из
> феёкового пространства адресов форвардились на второй интерфейс.
> 4. Заводим все http, ftp и  https запросы пользователй на прокси.
iptables -A PREROUTING....

>
> И вот тут у меня непонятки... Как можно закинуть (и можно ли) все
> запросы по http, ftp, https на прокси (без transparent_proxy)?
Просто закрываешь форвард по портам 20, 21, 80 и 443.

> Или можно как-то запретить http-трафик в обход прокси (ну т.е.
> если у юзера в браузере прописаны настйроки прокси - милости
> просим, а если нет - гуляй)?
Так и выйдет.

> И еще один вопрос возникает - в машине с двумя сетевыми картами
> на какую из них будет посылать обработанный запрос squid? Там
> есть опция tcp_outgoing_address но я не уверен что это оно...
squid послыает запрос на хост, а пакеты на этот хост идут в соответствии с 
таблицей маршрутизации ядра. Плясать с бубном тут вовсе не нужно.

>
> Буду очень благодарен за любую помощь ибо мои мозги уже
> окончательно плавяться (а покупать еще одну двухзпортовую cisco с
> настройкой под ключ не хочется да и дороговато)..
ничего трудного тут нет.

-- 
2.4.20-alt5-up GNU/Linux