Есть сеть. В сети есть шлюз. Адрес предположим 10.10.10.1
Все машины в сети имеют адреса в 10.10.10.0/24
Шлюз - "черный ящик", т. е. настроен вышестоящей организацией, которая заодно раздает интернет (неограниченно).
Можно ли как то сделать прокси, на границе между сетью и "черным шлюзом", не используя nat?
Есть вариант - сделать веб-прокси, только для браузеров. Но те пользователи, которые введут адрес шлюза по-умолчанию напрямую, смогут проходить мимо веб-прокси. (Знаю, можно запретить политиками), но проблемы это не решит. Есть софт, который не умеет ходить через веб-прокси, есть сервисы, которые смотрят внутрь сети от вышестоящей организации.
Главная задача: как направить весь трафик с сети и в сеть через одну машину, которая сможет его смотреть и фильтровать. (умного железа типа ASA не имеем, из ресурсов - только пк)
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Что-то зачастили с вопросами про проксю, не понимая, как она работает. Если вы чуть-чуть почитаете wiki, то увидите, что proxy и nat вещи разные. А если нет умного железа, воспользуйтесь софтовыми решениями - воткните на PC Linux или BSD, выставите его шлюзом, и фильтруйте, маскируйте, проксируйте что угодно.
вот как эта схема работает? т.е в моей сети 10.10.10.0/24 есть машинка-прокси, с адресом 10.10.10.10, все пк сети считают его шлюзом. А сам прокси знает что интернет и прочее у него по адресу 10.10.10.1. Сумеет ли он принимать запросы пользователей, обрабатывать и отправлять на 10.10.10.1?
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
@Nizitka нет. Загоните пользователей в другую сеть. Или, если надо, чтоб на ваш "черный ящик" приходило все из сети 10.10.10.0/24, поднимите socks proxy с той же 3proxy или nat.
@vvpoloskin так и получается, что proxy и nat разные вещи, но одно без другого не катит. Есть база, к которой нужен доступ из внешней сети вышестоящей организации, есть программы, которые не знают что такое прокси и ходят в инет, пользуясь шлюзом по умолчанию.
Я вижу варианты: либо натить, либо прокси в браузере. С socks proxy не работал, насколько он решит проблему?
Как он отреагирует, на запрос изнве к 10.10.10.222? Ставится в разрыв сети или "на палочке"?
Ставите маршрутизатор в разрыв сети и этого девайса - настраиваете на нём всё что нужно, раздаёте свою адресацию и тыды. Если нет необходимости чтобы из сетей вышестоящего девайса ходили к вам, то вообще никто ничего не заметит.
маршрутизатор в разрыве разделит сеть на 2 сегмента, так же? Т.к. "черный ящик" настроен на 10.10.10/24, то мою сеть придется переводить на какой нибудь 10.10.11.0/24.
@Nizitka ну да. Если "им от туда" не нужно в вашу сеть, то пофиг. Подняли свой DHCP быстренько раздали новые адреса. Если сеть сейчас на статике, то подняли железку для начала рядом, потом, с переводом всех на новые адреса, трафик пойдёт уже через вас.
Это ж, вроде, классическая схема провайдерского входа, за исключением присутствия NAT и "серой" адресации на вышестоящем оборудовании. Думайте о ней в этом же ключе.
Ну и вариант если это не прокатит - поднимаем железо в режиме бриджа, ставим в разрыв. Нужный трафик филттруем на бридже. Если клиентов в районе 30-40 человек, не больше, то с этим справится RB450G (или аналог) - цена вопроса 1,5 к. (если больше - то просто дороже).
Простой
