[Antipiratik]

Вобщем сделать надо вот так


Чтобы с локалки шёл трафик на фряху, на фряхе pf разрешал/запрещал определённым ip c локалки в инет, а весь http трафик на сквид, там сквид+самс разрулят кому что разрешено/запрещено. Ну а дальше на циску.

В общем вопрос в том, как это реализовать? куда копать чтобы и на циске и на фряхе было 192.168.1.2 ?

[dmitryst]

Цитата Antipiratik:

куда копать чтобы и на циске и на фряхе было 192.168.1.2 ? »

никуда. Низя. На обоих интерфейсах фри должны быть разные сети, или хотя бы разные ПОДсети (192.168.1.0 и 192.168.2.0, например)

[Antipiratik]

В чём проблема одинаковых сетей на двух интерфейсах?!?
У пользователей прописан один шлюз, на циске будет разрешено только с фрибсд, мимо фряхи юзеры не пройдут. А трафиком рулить с помощью pf.

[dmitryst]

Цитата Antipiratik:

В чём проблема одинаковых сетей на двух интерфейсах?!? »

не представляю маршрутизацию пакетов между этими интерфейсами. fwd? Вроде, неправильно, а по-другому не знаю, как. Сейчас гуру подтянутся, авось и посоветуют что...

[Antipiratik]

Будет сеть построена как показано на рисунке


Настроен сквид с транспарентным портом.
Вот перед непосредственным внедрением подготовил pf.conf посмотрите свежим взглядом, есть ли косяки?!

Цель: весь http-трафик заворачиваем на сквид и его фильтруем sams/
Остальной трафик, всем разрешить локалку провайдера (тут тоже мне непонятно как организовать, т.к. для фрибсд следующий роутер циска), всем разрешить почту по портам.
випам разрешить всё, остальным ничего (http разрешить, т.к. сквид сам раскидает кому что)

Код:

# Локалка (192.168.1.2)
int_if="xl0"

# Вторая сетевая карта Мир (192.168.2.2)
ext_if="bge0"

# LAN (локальная сеть)
lan_net="{ 192.168.1.0/24 }"
# Локалка провайдера
local_net="{10.0.0.0/8}"
cisco_net="{192.168.2.0/24}"

# Разрешено всё
table <VIPusers> { 192.168.1.162, 192.168.1.61 }
# Всё запрещено кроме SQUID
table <users>{ 192.168.1.163 }

NoRouteIPs = "{ 127.0.0.0/8 }"
set block-policy drop
set skip on lo0

block all

# Натим VIP 
nat on $ext_if from $VIPusers to any -> ($ext_if) 

# Открытые порты для mail
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
nat pass on $ext_if from $lan_net to any port 955 -> $ext_if

# Разрешена локалка провайдера всем
nat on $ext_if from $lan_net to $local_net -> ($ext_if) 

# Заворачиваем весь и от всех http-трафик на SQUID
rdr inet proto tcp from $lan_net to any port www -> 127.0.0.1 port 3128

# ssh
pass in quick on $int_if proto tcp from $lan_net to $int_if port ssh

Пожалуйста, посмотрите и попинайте, т.к. при "внедрении" будет тяжко Спасибо.