Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Вопрос по NAT и прозрачное проксирование.

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
pegas



Зарегистрирован: 17.03.2005
Сообщения: 231

СообщениеДобавлено: Пт Июн 23 2006 09:47    Заголовок сообщения: Вопрос по NAT и прозрачное проксирование. Ответить с цитатой

Подскажите пожалуйста, если включён NAT и для этой группы людей включить прозрачное проксирование чему будет отдан приоритет при веб-запросах из браузера(если в настройках не прописан прокси) Они будут продолжать ходить через нат или уже будут ходить в инет через прокси?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb

СообщениеДобавлено: Пт Июн 23 2006 10:13    Заголовок сообщения: Ответить с цитатой

Извини, нипониил...

Какой-такой приоритет? они туда и пойдут, куда послали Smile

Нормальным языком Smile
Если в фаерволе нет правила, заворачивающего http-трафик на прокси-сервер, работающий в прозрачном режиме, то группа людей будет по-прежнему ходить через NAT. Причем, если через NAT идет все остальное, то правило, заворачивающее избранный трафик на прокси должно быть ДО правила для NAT'а.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Сб Июн 24 2006 17:07    Заголовок сообщения: Ответить с цитатой

Вопрос возник из-за недопонимания как работает прозрачный прокси.

Поясняю. Прозрачный прокси работает в таком режиме, что клиентский трафик пропускается через прокси-сервер. Но при этом не требуется настройка ПО на клиенте. Клиенты считают, что взаимодействуют с сервером мимо прокси.

Не все приложения будут работать в таком режиме. Но большинство народа просто елозит в интернете и поэтому такое решение может съэкономить 5-10% трафика для конторы.

Заворот трафика выполняется настройками устройств, передающих трафик. Для некоторый коммутаторов 3COM есть спец.опция в настройках, для Cisco - это передача WEB-трафика на устройства кэширования по протоколу WCC, но обычно это делается настройками на пограничном маршрутизаторе, комп может выступать комп в каким-нибудь UNIX на борту. Читайте соответствующие доки по настройке.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
pegas



Зарегистрирован: 17.03.2005
Сообщения: 231

СообщениеДобавлено: Пн Июн 26 2006 16:35    Заголовок сообщения: Ответить с цитатой

Ну у меня имеется 2 правила в iptables в такой последовательности
-A PREROUTING -p tcp -s 192.168.1.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 13.23.18.14

Если заремлю верхнее работает нат если заремлю нижнее то включается прозрачное проксирование а если оба включены что будет работать проксирование или нат?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пн Июн 26 2006 23:35    Заголовок сообщения: Ответить с цитатой

Автор вопроса не понимает принципов работы файрволла. Про Linux я не в курсе, расскажу про FreeBSD.

Каждый транзитный пакет дважды проходит набор правил - на входе и на выходе. Если делать маскарадинг стандартными средствами, то правило для маскарадинга (divert->natd) располагается первым, но на выходе, если смотреть запрос (а ответ присылается тому, от чьего имени был сделан запрос). Это значит, что если мы вставим правило заворачивания пакетов на Proxy так, чтобы оно работало на входе, то сначала отработает заворачивание на Proxy, а потом пакет попадёт на NAT/Masquerading. Если Proxy живёт на той же машине, то маскарадиться пакеты уже не будут - незачем.

Короче говоря, м.б. реализованы такие варианты:
  • пакет только маскарадится;
  • пакет только проксируется;
  • пакет сначала маскарадится, потом проксируется;
  • пакет сначала проксируется, потом маскарадится.
Короче, как напишешь, так и будет.

PS: Помни, что компьютер делает то, что ему приказали делать, а не то, что ты хотел, когда давал ему приказание. Wink
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Вт Июн 27 2006 01:14    Заголовок сообщения: Ответить с цитатой

Цитата:

Если заремлю верхнее работает нат если заремлю нижнее то включается прозрачное проксирование а если оба включены что будет работать проксирование или нат?


Поддерживаю предыдущего оратора. Автор лентяй. Ладно, поясню:

Первое правило означает, что если есть исходящий трафик от клиентов сети 192.168.1.0/255.255.255.0 на внешние серверы по порту 80, то надо завернуть этот трафик на локальный хост на порт 3128.
Ежели у кого-то WEB-сервер обслуживает клиентов по порту 8081, то первое правило работать не будет.

Правило второе означает, что исходящий трафик от клиентов сети 192.168.1.0/255.255.255.0 надо замаскировать IP-адресом 13.23.18.14

Согласно правилам обработки трафика цепочка правил просматривается последовательно до тех пор пока не будет найдено подходящее правило.

Правильный ответ:
Для соединений с внешними серверами по порту 80 будет срабатывать правило первое.
Для всех остальных соединений (по другим портам) будет выполняться второе правило.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...