none
Маршрутизация (Nat + SQUID + Routing) RRS feed

  • Общие обсуждения

  • Доброго времени суток

    Есть вопрос касаемый маршрутизации (в чём шарю не особо)

    Есть сервер 2008r2 на нем стоит сквид и на нем настроен нат

    Задача такова для всех машинок по дефолту трафик рулить через проксю (это вопрос не на этот форум и сейчас вроде бы реализовано) + часть машинок (из списка) рулить мимо прокси через нат

    Сейчас инет работает что через проксю что через нат но нужно это как то поделить

    Могу поставить отдельную железку с натом но так трафик на нат вообще транзитом не ходит

    Чувствую что вопрос плёвый но знаний не хватает, когда то встречал подобную конфигурацию на линуксе но найти как это было реализовано возможности нет.

    Подскажите пожалуйста, буду очень благодарен

    7 августа 2014 г. 14:48
    Модератор

Все ответы

  • подскажите пожалуйста как разрулить вопрос
    8 августа 2014 г. 6:48
    Модератор
  • Кому через проксю рулить - тому настройки в браузере задаете. А нат через фаервол прикройте, и откройте доступ только определенным IP.
    8 августа 2014 г. 7:12
  • Помогите пожалуйста написать рулы firewall

    Сеть например 172.19.50.0/24

    Мне для всех нужен порт прокси (3128) + все необходимое для функционирования домена но всем нужно забанить возможность выхода в интерент через нат

    Хосту скажем 172.19.50.101 разрешить ходить через нат на ружу по любым портам (софтина юзает ну оочень большое количество портов)

    сам сервер 172.19.50.1

    9 августа 2014 г. 19:33
    Модератор
  • Помогите пожалуйста с вопросом

    11 августа 2014 г. 6:30
    Модератор
  • Если поставить правило block all со всех ip, NAT будет запрещен? Просто проверить не на чем...

    Виндовый firewall не предусмотрен конечно для таких "тонких" настроек, надо выдумывать.

    11 августа 2014 г. 8:58
  • Если поставить правило block all со всех ip, NAT будет запрещен? Просто проверить не на чем...

    Виндовый firewall не предусмотрен конечно для таких "тонких" настроек, надо выдумывать.

    судя по линуксовым статьям будет, вот только у меня кроме ната на этом сервере еще и КД

    Если я запрещу все то к КД мне что то кажется что ни машинки ни пользователи ни службы не доломятся, а мне нужно блочить только то что ломится в интернет (то есть нат)

    а вот как заблочить нат, не заблочив все остальное

    могу нат вынести на отдельную железку (не сильно умную) но сквид и КД будут при любых на одном сервере (так как другого просто нет)

    если не получится так то подскажите как, пожалуйста

    11 августа 2014 г. 11:57
    Модератор
  • Я бы не стал выдумывать и если есть хоть какая железка с возможностью фильтрации NAT отдал бы ей. Шлюзом по умолчанию соответственно железка с натом.

    На кд прокся и руками или через GPO прописывать в браузерах. На железке открыть доступ только определенным IP.

    11 августа 2014 г. 13:58
  • железка ТУПАЯ (не сильно умная) и как следствие фильтрации на ней нет

    политики это конечно круто но мне нужно что бы и не доменные (гости, планшеты, соседи халявшики) ходить могли только через проксю (с шейпером, расписанием и тд.)

    если будет возможность проксю обойти то она вообще себя не оправдывает

    я могу по идее порезать 80, 443, и еще какие то порты но есть еще скайп (которому порт по большому не важен) торент который качает так же через любые порты которые смотрят в сеть...

    11 августа 2014 г. 16:33
    Модератор
  • Ну неужто никто не решал подобный вопрос?
    12 августа 2014 г. 10:02
    Модератор
  • up up
    13 августа 2014 г. 6:43
    Модератор
  • Блин, ну не верю что никто не знает

    Кто знает, выйди из сумрака!

    13 августа 2014 г. 12:42
    Модератор
  • В RRAS в свойствах интерфейса есть параметр ip filtering

    На внешнем интерфейсе ставлю фильтр на один адрес и галку "пропускать все кроме того что отвечает условию", при таком остальные адреса работают, а нужный ходит только через проксю, но так мне нужно прописать все адреса в сети которым нужно банить доступ через нат (250 адресов)

    если ставлю галку "дропать всё кроме того что отвечает условию" - не работает прокся хотя адрес прокси в исключение добавляю...

    Кто сталкивался с подобным?


    14 августа 2014 г. 6:33
    Модератор
  • В RRAS в свойствах интерфейса есть параметр ip filtering

    На внешнем интерфейсе ставлю фильтр на один адрес и галку "пропускать все кроме того что отвечает условию", при таком остальные адреса работают, а нужный ходит только через проксю, но так мне нужно прописать все адреса в сети которым нужно банить доступ через нат (250 адресов)

    если ставлю галку "дропать всё кроме того что отвечает условию" - не работает прокся хотя адрес прокси в исключение добавляю...

    Кто сталкивался с подобным?


    Фиьтры в RRAS очень тупые: они не отслеживают состояние (т.е. односторонние), они не позволяют задать произвольный диапазон адресов (толькол хост/подсеть), фильтрация осуществляется на основе обще политики ("пропускать всё" либо "отбрасывать всё") и списка исключений из нее (для исключений действие инвертируется). Я с этим счастьем довольно долго работал на Win2K (ну не было тогда у MS ничего приличнее - ISA 2000 еще хуже), так что никому не рекомендую. В свое время у MS был годный продукт для этих целей - ISA 2004/2006/TMG 2010, но сейчас MS отказалась его продавать, и чем его заменить - не знаю.


    Слава России!

    14 августа 2014 г. 13:04
  • В RRAS в свойствах интерфейса есть параметр ip filtering

    На внешнем интерфейсе ставлю фильтр на один адрес и галку "пропускать все кроме того что отвечает условию", при таком остальные адреса работают, а нужный ходит только через проксю, но так мне нужно прописать все адреса в сети которым нужно банить доступ через нат (250 адресов)

    если ставлю галку "дропать всё кроме того что отвечает условию" - не работает прокся хотя адрес прокси в исключение добавляю...

    Кто сталкивался с подобным?


    Фиьтры в RRAS очень тупые: они не отслеживают состояние (т.е. односторонние), они не позволяют задать произвольный диапазон адресов (толькол хост/подсеть), фильтрация осуществляется на основе обще политики ("пропускать всё" либо "отбрасывать всё") и списка исключений из нее (для исключений действие инвертируется). Я с этим счастьем довольно долго работал на Win2K (ну не было тогда у MS ничего приличнее - ISA 2000 еще хуже), так что никому не рекомендую. В свое время у MS был годный продукт для этих целей - ISA 2004/2006/TMG 2010, но сейчас MS отказалась его продавать, и чем его заменить - не знаю.


    Слава России!

    Жаль...
    14 августа 2014 г. 14:08
    Модератор
  • Помогите запостить правила фаервола для блокировки ната
    15 августа 2014 г. 12:57
    Модератор
  • Нужно забанить НАТ для 1 (хотя бы) IP, помогите написать (создать) правило
    18 августа 2014 г. 14:23
    Модератор
  • Сетевеки на форуме встречаются?
    22 августа 2014 г. 11:43
    Модератор
  • Для решения вашей задачи используйте в качестве шлюза по умолчанию ПК с Linux. Настраиваете на нём iptables и NAT. Суть настройки iptables следующая:

    • нужны IP пропускаете через NAT
    • пакеты от IP-адресов которые должны идти через прокси-сервер пересылаете на прокси-сервер (squid) не забыв настроить squid в режим работы прозрачного прокси
    • блокируете все остальное
    25 августа 2014 г. 18:40
  • В RRAS в свойствах интерфейса есть параметр ip filtering

    На внешнем интерфейсе ставлю фильтр на один адрес и галку "пропускать все кроме того что отвечает условию", при таком остальные адреса работают, а нужный ходит только через проксю, но так мне нужно прописать все адреса в сети которым нужно банить доступ через нат (250 адресов)

    Не нужно (банить 250 адресов) :). Если используется RRAS (что из исходного вопроса неочевидно), надо примерно так.

    Для внутреннего интерфейса, фильтровать входящие. Выбрать "Отбрасывать все пакеты, кроме ...".

    Создать фильтр, обеспечивающий доступ с внутренней подсети к локальной системе (и прокси): "Исходная сеть" - внутренняя сеть (если диапазон внутренних IP из нескольких подсетей, соответственно и несколько фильтров), "Сеть назначения" - собственный адрес внутреннего интерфейса хоста (с маской 255.255.255.255).

    Создать фильтр, разрешающий "выход через NAT": "Исходная сеть" - адреса машинок, "которым можно" - если IP таким системам назначались блоком, можно объединять маской в "подсеть" (группы). Сколько понадобится правил, зависит от того, как назначали адреса. "Сеть назначения" - не указывается, то есть, любая (поэтому и наружу можно).

    Собственно, всё. Делается с полпинка не приходя в сознание :), только аккуратно адресные диапазоны, кому через NAT, расписать.

    Хотя ради этого отдельный линух с iptables (а я бы фряху с ipfw предложил ;)), оно крута, да.


    S.A.

    P.S. Ну не делают "в одном флаконе" DC (контроллер домена) и шлюз в интернет. Это как плавки наизнанку. Бывает, но...


    • Изменено Safronov A. _ 25 августа 2014 г. 20:01
    25 августа 2014 г. 19:54
  • Для решения вашей задачи используйте в качестве шлюза по умолчанию ПК с Linux. Настраиваете на нём iptables и NAT. Суть настройки iptables следующая:

    • нужны IP пропускаете через NAT
    • пакеты от IP-адресов которые должны идти через прокси-сервер пересылаете на прокси-сервер (squid) не забыв настроить squid в режим работы прозрачного прокси
    • блокируете все остальное

    Проблема в том что сервера с линуксом нет (физически не на чём поднять) как следствие вопрос про то как сделать тоже самое на винде
    26 августа 2014 г. 6:55
    Модератор
  • В RRAS в свойствах интерфейса есть параметр ip filtering

    На внешнем интерфейсе ставлю фильтр на один адрес и галку "пропускать все кроме того что отвечает условию", при таком остальные адреса работают, а нужный ходит только через проксю, но так мне нужно прописать все адреса в сети которым нужно банить доступ через нат (250 адресов)

    Не нужно (банить 250 адресов) :). Если используется RRAS (что из исходного вопроса неочевидно), надо примерно так.

    Для внутреннего интерфейса, фильтровать входящие. Выбрать "Отбрасывать все пакеты, кроме ...".

    Создать фильтр, обеспечивающий доступ с внутренней подсети к локальной системе (и прокси): "Исходная сеть" - внутренняя сеть (если диапазон внутренних IP из нескольких подсетей, соответственно и несколько фильтров), "Сеть назначения" - собственный адрес внутреннего интерфейса хоста (с маской 255.255.255.255).

    Создать фильтр, разрешающий "выход через NAT": "Исходная сеть" - адреса машинок, "которым можно" - если IP таким системам назначались блоком, можно объединять маской в "подсеть" (группы). Сколько понадобится правил, зависит от того, как назначали адреса. "Сеть назначения" - не указывается, то есть, любая (поэтому и наружу можно).

    Собственно, всё. Делается с полпинка не приходя в сознание :), только аккуратно адресные диапазоны, кому через NAT, расписать.

    Хотя ради этого отдельный линух с iptables (а я бы фряху с ipfw предложил ;)), оно крута, да.


    S.A.

    P.S. Ну не делают "в одном флаконе" DC (контроллер домена) и шлюз в интернет. Это как плавки наизнанку. Бывает, но...


    я бы тоже это разнес на разные машинки если бы эти разные машинки были

    Виртуалки не вариант так как "сервер" на проце не поддерживает виртуализацию, короче говоря грусть...

    26 августа 2014 г. 7:28
    Модератор
  • Так фильтрацию сделать, как я описал - получилось? Там же всё просто, как 3 копейки :)


    S.A.

    26 августа 2014 г. 8:49
  • Так фильтрацию сделать, как я описал - получилось? Там же всё просто, как 3 копейки :)


    S.A.

    я пробовал но не заработало (из-за этого и возникают проблемы)

    возможно я что то упустил (перепроверю вечером)

    26 августа 2014 г. 8:54
    Модератор