Как открывать конкретные сайты у пользователя через определенные прокси и определенные интерфейсы (debian, squid)?

Question

[xsash]

Возик вопрос о замене текущего интернет-шлюза и сформировался совместными усилиями ТЗ, где есть задача перенаправлять трафик пользователя через разные прокси и разные провайдеры в зависимости от того, какой ресурс пытается открыть.

Пока все в теории, собираю информацию, ищу/читаю, так как в этом деле шибко зеленый.

Итак, пусть у нас есть три сетевые
LAN0 (смотрит в локалку 192.168.1.*)
WAN0 (первый провайдер, наш ip 11.0.0.2)
WAN1 (второй провайдер, наш ip 22.0.0.2)

WAN0 - нормальный широкополосный интернет, который будет условно основным. Там мы будем резать всякие порно, игрушки, соцсети в рабочее время)

WAN1 - "интернет от института", инст выступает в роли провайдера, у него есть "proxy.edu.ru:3128".
Когда мы работает без прокси, нас видят по ip 22.0.0.2, если через их прокси - как 22.0.0.7
Прокси "proxy.edu.ru:3128" доступен только из сети провайдера WAN1.
Часть доступов научных ресурсов/журналов привязано к ip 22.0.0.2, часть к 22.0.0.7

Поэтому логическая схема, для меня, выглядит так

если запрашиваемый домен входит в массив1
  {
    направляем трафик через WAN1 + proxy
  }
иначе_если запрашиваемый домен входит в массив2
  {
    направляем трафик через WAN1
  }
иначе
  {
    направляем трафик через WAN0
  }

Сейчас же есть только институтский провайдер, поэтому организовано банально через браузер - включил/выключить прокси. Но это же не наш метод!

Answer 1

[Владимир Дубровин]

Задачу можно решить двумя способами, смотрите сами какой из них удобней.

1. Установить промежуточный прокси, который будет обеспечивать необходимую схему выхода наружу. На всех клиентах использовать один прокси. Могу помочь с конфигурацией 3proxy.

2. Использовать WPAD (протокол автоконфигурации прокси) и статический роутинг на каждой машине для выбора канала. Роутингом можно управлять с помощью DHCP-опции static route либо реализовать нужную схему роутинга по сетям на маршрутизаторе. WPAD позволяет использовать скрипт для определения прокси, поддерживается всеми основными браузерами.

Comments

[xsash]

Здравствуйте Владимир.

Я часть своей проблемы решил через
1) в conf подключения openvpn заблокировал маршруты "route-nopull"
2) прописал 2 маршрута
[code]route add -net 121.139.32.0/24 gw 192.168.18.2 dev eth0
route add -host 121.139.32.7 gw 121.139.47.65[/code]
иначе openvpn меняет маршутизацию и шлет весь трафик через tun0

Итого на самом шлюзе всер работает. Зато теперь ip перестал даже пинговаться из локалки за шлюзом. Естественно клиентские машинки не в теме новых маршрутов.

По идее можно было бы в сквите использовать tcp_outgoing_address, но я так понял, это нудно второй поднимать.
Получится ли в Вашем продукте реализовать прозрачный прокси для конкретного ип и порта 121.139.32.7:3128, который уже будет отправлять трафик на tun0 через gw 121.139.47.65?

[Владимир Дубровин]

Да, если именно этот трафик завернуть в порт прокси и использовать плагин 3proxy.ru/plugins/TransparentPlugin

[xsash]

Владимир Дубровин: нет, не совсем

Вот у меня локалка 12.0.0.* я на интернет шлюзе 80 порт заворачиваю на мой сквид 127.0.0.1:3128. Дальше сквид отправляет трафик по дефол гейту на eth1 (основной провайдер)

Я хочу с локалки "ловить" 3128 (или даже трафик на конкретный IP адрес) после чего просто перенаправлять в tun0

Вроде за это отвечает external

[Владимир Дубровин]

xsash: так а в 3proxy трафик как попадет?

[xsash]

Потихоньку решаю свои проблемы, тема не потеряла актуальность...

у меня поднято 2 прокси сервиса, squid (который настроен на фильтрацию баннеров) и 3proxy (перенаправление на внешний прокси)

==сквид
слушает порт 3001

==3proxy.cfg
auth iponly
allow *
parent 1000 http 121.139.64.4 3128
proxy -p3002

Можно ли в 3proxy все же делить, условно так

allow [тут список доменов]
parent 1000 http 121.139.64.4 3128

allow *
parent 1000 http 127.0.0.0 3001

proxy -p3002

[xsash]

Владимир Дубровин: помоему я нашел ответ на свой вопрос, работает, но прав ли я?

daemon

auth iponly

#переадресуем на внешний прокси
allow * * 185.7.230.0/24,2ip.ru * * * *
parent 1000 http 121.139.32.7 3128

#переадресуем на сквид
allow *
parent 1000 http 127.0.0.1 3130

nserver 127.0.0.1

proxy -p5128

setgid 65534
setuid 65534

---------------
allow * * 185.7.230.0/24,2ip.ru * * * *

я так понимаю 3proxy понимает и ip диапазон и конкретные домены?
а как лучше сделать списком, видел примеры с инклюдами

[Владимир Дубровин]

Да, в такой конфигурации трафик на 185.7.230.0/24,2ip.ru идет через прокси 121.139.32.7:3128, остальной трафик через 127.0.0.1:313. Доменные имена принимаются (при условии что клиент запрашивает ресурс по имени), в доменных именах можно использовать звездочки.