Firewall Mikrotik, transparentni proxy squid na linuxu

Karel Karel bigkarel na seznam.cz
Neděle Říjen 14 21:08:45 CEST 2007 

dobry vecer vsem,

obracim se na vas s dotazem kolem proxy:

problem:

mam na siti mikrotik rozsireny na 9 sitovek karet. 1 je WAN, ostatni jsou jednotlive site ktere potrebuju mezi sebou ruzne propojovat (odnekud nekam se muze toto, to se zase nemuze jinde, atd... ) uzil jsem na to mikrotika neb jej mam na tyto ucely nejradsi... a rychlost routingu mezi sitema je dostatecna...  nyni vznikl pozadavek zacit logovat cinnost uzivatelu na webu z vybranych siti (celkem 3), tzn. nutnost transparentni proxy... ty udaje potrebuju nejakym zpusobem vyhodnovoat, na to je tedy mikrotik nedostatecny. Data bych rad presmeroval na linux server se 4 sitovkami, pricemz 1 sitovka vede do Mikrotika jako jedna z LAN pro komunikaci proxy se svetem, zbyle 3 sitovky vedou do switchu vnitrni site ...  vsechny PC ve vsech sitich maji nastavene ze gateway pro kazdou z nich je mikrotik... na mikrotiku bych rad nastavil ze requesty na port 80 se maji transportovat na port 3128 , na to linuxove zarizeni se squidem (pro kazdou z tech vnitrnich siti co se maji sledovat ma pro
 xy .2 ip  v te dane siti...)  .tak a jsme u toho problemu.. redirect na mikrotiku neumoznuje presun na jiny ip (coz je logicke).. kdyz uziju pravidlo ze vse co prijde na 80 na konkretnim interface mikrotiku se ma DNATnout na .2 stejne site, tak na tcpdumpu na linuxu vidim ze tam ten request dosel, ale squidu uz se nedostane...ackoliv squid normalne posloucha... nevite cim to je ? kdyz uziju proxy v ramci mikrotiku (REDIRECT na 3128 port, kde mam pustenou mikrotik proxy) tak pri vyuziti parent proxy se mi na muj squid dostavaji requesty jen pod IP gatewaye.. tzn nemuzu monitorovat konkretni uzivatele, vse ale funguje..

je mi jasne ze krasnym resenim by bylo udelat primo z linuxu Firewall a transparentu primo na nem a mikrotik by mohl ven... jenze zase kvuli kolegum kteri umeji pracovat s mikrotikem potrebuji co nejvice veci mit na tom mikrotiku + nehlede na to jde o docasny pozadavek .... 

nemate nekdo typ co delam blbe, resp jestli todle vubec jde takto resit , vim ze je to tak trochu zbesilost :-) ?

diky za vase tipy,
k

Další informace o konferenci Linux