Jaka Topologia Sieci Dla Squida

[samba]

Witam

Proszę o poradę która z opcji będzie lepsza, bezpieczniejsza i skuteczniejsza. Chodzi mi o ustawienie w topologi sieci serwera ze squidem który lokalnym userom zezwoli na dostęp do strony firmowej z apache (jest na tym samym fizycznym serwerze) oraz z zewnątrz (Internetu).

 

Które ustawienie będzie lepsze:

1) sprzętowy ruter 192.168.0.1 -----switch i do niego wpięte kompy wraz z serwerem squid 192.168.0.2.

Zakładając że Squid nie będzie transparent (czyli ustawienie ręczne przeglądarki do używania proxy) w jaki sposób ustawić serwer aby ruch http nie szedł przez ruter tylko przez squida 100% ?? Czy jeśli ruter nadaje adresy klientom i tym samym serwerowi to możliwe (_wogóle_ → w ogóle) ORT będzie przepuszczenie przez niego ruchu tak aby klienci nie mogli łączyć się z internetem przez ruter? Jeśli tak to podajcie rozwiazanie bo ten rodzaj konfiguracji odpowaida mi najbardziej jednak nie potrafię sobie wyobrazić jak to będzie w praktyce

 

2)opcja chyba bardziej sensowa

ruter sprzętowy(192.168.0.1) i serwer eth0(192.168.0.2) są w jednej sieci logicznej. idruga karta sieciowa na serwerze eth2 192.168.0.3 podpięta do ---switcha a do niego klienci. W tym przypadku zastanawiam się co miałoby nadawać adresy ip klientom? serwer czy ruter sprzętowy?? Zakładając że miałbym włączony forwarding i w przyszłości potrzebował przekierowania jak wyglądała by reguła iptables przekierująca port np 22?

 

Troche się zamotałem:)

[MonteChristo]

woo...

 

z tego co piszesz to opcja nr. 2 !

co ma dhcp do wiatraka ???

 

regula:

 

iptables -t nat -A PREROUTING -p tcp -d (adres routera) --dport (na jaki port) -j DNAT --to (na jaki adres):(na jaki port).

 

proste ?

 

no to do roboty.

 

 

[samba]

z tego co piszesz to opcja nr. 2 !

co ma dhcp do wiatraka ???

 

regula:

 

iptables -t nat -A PREROUTING -p tcp -d (adres routera) --dport (na jaki port) -j DNAT --to (na jaki adres):(na jaki port).

 

A no ma! bo zastanawiam się co ma nadawać adresy ip klientom czy ruter tj poprzez wprowadzenie adresów MAC i przypisanie im IP na sprzętowym ruterze poprzez interfrejs do zarządzania nim czy zrobić DHCP na serwerze ze Squidem i apache ??

Poza tym jeśli ruter i switch będą spięte razem to będą w 1 sieci logicznej .Czy adresy IP wklepane na routerze będą nadawane klientom (będą widziane za serwerem tj od strony LAN??).

Chcę zrobić redirect z portu 80 na port 8080(proxy) tj każde zapytanie klienta przekieruje go na proxy.

 

Tylko czy ustawienie 1) z mojego poprzedneigo postu będzie możliwe tj jeśli serwer i klienci są wpięci razem do switcha a ten bezpośrednio do rutera?Czy w tej konfiguracji da się zrobić aby ruch 80 był kierowany na squid 8080??

 

A regóła IPTABLES którą podałeś tyczy się przekierowania ruchu rutera do klienta .Więc nie wyobrażam sobie pisania w IPTABLES odzielnej (_regóły_ → reguły) ORT dla każdego klienta bo dla widnowów trzeba przekierwować 8080 i porty netbios i udostępniniania plików i drukarek a to jest chyba ze 4porty więc dużo pisaniny

Popraw mnie jeśli się mylę?

 

Generalnie chodzi o to by klienci nie łączyli się z internetem poprzez ruter tylko poprzez squida.

 

P.S

 

Czy jeśli mam włączony IP forwarding i mam sieci 192.168.0.1/255.255.255.0 i sieć 192.168.1.1/255.255.255.0 to czy sieci będą widziały się na wzajem ??

[MonteChristo]

omg !

 

iptables -t nat -A PREROUTING -s 192.168.0.1/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 8080

wystarczy zamiast 192.168.0.1 wstawic swoja siec, a jesli masz ich kilka to 1 wpis = 1 siec dajesz tyle wpisow ilepotrzebujesz jeden po drugim.

 

Co ma DHCP do routingu ?

 

Klient dostaje ze sprzetowego routera adres to przeciez masz wpisane wszystko brame, dns-y itp.

 

to o co pytasz to najprostszy routing jaki moze tylko byc.

 

serwer przekieruje cie na zewnatrz lub do routera(jesli do routera, to router bedzie wiedzia co z tym zrobic). rozumiesz ?