Архив форумов ЦИТФорума

[pegas]

Подскажите пожалуйста, если включён NAT и для этой группы людей включить прозрачное проксирование чему будет отдан приоритет при веб-запросах из браузера(если в настройках не прописан прокси) Они будут продолжать ходить через нат или уже будут ходить в инет через прокси?

[a-m-d]

Извини, нипониил...

Какой-такой приоритет? они туда и пойдут, куда послали

Нормальным языком
Если в фаерволе нет правила, заворачивающего http-трафик на прокси-сервер, работающий в прозрачном режиме, то группа людей будет по-прежнему ходить через NAT. Причем, если через NAT идет все остальное, то правило, заворачивающее избранный трафик на прокси должно быть ДО правила для NAT'а.
_________________
Век живи - век учись!.. Дураком помрёшь.

[and3008]

Вопрос возник из-за недопонимания как работает прозрачный прокси.

Поясняю. Прозрачный прокси работает в таком режиме, что клиентский трафик пропускается через прокси-сервер. Но при этом не требуется настройка ПО на клиенте. Клиенты считают, что взаимодействуют с сервером мимо прокси.

Не все приложения будут работать в таком режиме. Но большинство народа просто елозит в интернете и поэтому такое решение может съэкономить 5-10% трафика для конторы.

Заворот трафика выполняется настройками устройств, передающих трафик. Для некоторый коммутаторов 3COM есть спец.опция в настройках, для Cisco - это передача WEB-трафика на устройства кэширования по протоколу WCC, но обычно это делается настройками на пограничном маршрутизаторе, комп может выступать комп в каким-нибудь UNIX на борту. Читайте соответствующие доки по настройке.

[pegas]

Ну у меня имеется 2 правила в iptables в такой последовательности
-A PREROUTING -p tcp -s 192.168.1.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 13.23.18.14

Если заремлю верхнее работает нат если заремлю нижнее то включается прозрачное проксирование а если оба включены что будет работать проксирование или нат?

[Dmitry_Karpov]

Автор вопроса не понимает принципов работы файрволла. Про Linux я не в курсе, расскажу про FreeBSD.

Каждый транзитный пакет дважды проходит набор правил - на входе и на выходе. Если делать маскарадинг стандартными средствами, то правило для маскарадинга (divert->natd) располагается первым, но на выходе, если смотреть запрос (а ответ присылается тому, от чьего имени был сделан запрос). Это значит, что если мы вставим правило заворачивания пакетов на Proxy так, чтобы оно работало на входе, то сначала отработает заворачивание на Proxy, а потом пакет попадёт на NAT/Masquerading. Если Proxy живёт на той же машине, то маскарадиться пакеты уже не будут - незачем.

Короче говоря, м.б. реализованы такие варианты:

• пакет только маскарадится;
  
• пакет только проксируется;
  
• пакет сначала маскарадится, потом проксируется;
  
• пакет сначала проксируется, потом маскарадится.

Короче, как напишешь, так и будет.

PS: Помни, что компьютер делает то, что ему приказали делать, а не то, что ты хотел, когда давал ему приказание.
_________________
Хочу в Хогвардс преподавателем информатики.

[and3008]