[Sysadmins] Вопрос по Squid + PPTP туннель.
Vyacheslav A. Brunev
=?iso-8859-1?q?bv_=CE=C1_gres=2Etomske=2Eelektra=2Eru?=
Ср Мар 5 12:59:26 MSK 2008
Доброго времени суток уважаемые!
Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
выпускать авторизовавшихся клиентов через другой IP (ppp0).
Есть сервер с двумя интерфейсами и PPTP туннелем:
eth0 - 82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка" закрыта)
gw eth0=82.110.110.1
eth1 - 172.27.1.0/24 (LAN т.е. "фэйковая" сеть);
ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6 раз
медленней).
На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи получают
настройки сети автоматически (DHCP).
Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой
возможности) из LAN продолжали работать через шлюз eth0.
Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
медленней чем через eth0 и работать тем кому по долгу службы не
нужна "внешка" становиться совсем невозможно.
Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же
ICQ :)
Вывод ifconfig:
eth0 Link encap:Ethernet HWaddr 00:0D:45:47:3F:66
inet addr:82.110.110.110 Bcast:82.110.110.255 Mask:255.255.255.0
inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:819168296 (781.2 Mb) TX bytes:2675702125 (2551.7 Mb)
Interrupt:11 Base address:0xa000
eth1 Link encap:Ethernet HWaddr 00:03:21:9B:3C:76
inet addr:172.27.1.1 Bcast:172.27.1.255 Mask:255.255.255.0
inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2647241331 (2524.6 Mb) TX bytes:2823498391 (2692.6 Mb)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1688 (1.6 Kb) TX bytes:1688 (1.6 Kb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.10.10.210 P-t-P:10.0.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1440 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:42 (42.0 b) TX bytes:48 (48.0 b)
Вывод route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref UseIface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
202.29.88.250 82.110.110.1 255.255.255.255 UGH 0 0 0 eth0
172.27.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
82.110.110.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 82.110.110.1 0.0.0.0 UG 0 0 0 eth0
P.S. Пробовал в конфиге Squid-а указывать:
#/etc/squid/squid.conf
http_port 82.110.110.110:3128
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users
http_access allow proxy_users
http_access deny all
....
Авторизация проходит нормально, но интернета нет никакого даже при полностью
выключенном iptables :(
--
С уважением, Вячеслав.
Подробная информация о списке рассылки Sysadmins