Witam na forum, to mój pierwszy post tutaj, mimo to zaglądam tutaj często.
Mam następujące pytanie/problem.
Jestem w posiadaniu rutera sprzętowego (taki wszystko w jednym), który jest od jednej strony podłączony do dwóch przełączników (sieć lokalna licząca 18 komputerów) natomiast do internetu jest podpięty pod modem DSL od tpsa. Jest też na nim uruchomiony firewall. Rolę serwera dhcp pełni osobny komputer, który jest wpięty bezpośrednio do przełącznika. I wszystko ładnie działa, ale chciałam uruchomić przezroczyste proxy, które będzie działało na Debianie (squid) z dwoma kartami sieciowymi - miało być wpięte pomiędzy sprzętowy ruter a te przełączniki.
I tutaj pytanie, czy mogę uruchomić to tak aby obie te karty sieciowe nie miały żadnych adresów ip? Chcę aby squid "filtrował" tylko ruch (nie chce zmieniać nic w istniejącej konfiguracji sieci). Iptables na Linuksie jest skonfigurowany na wszystko w jednym. Jednym słowem to pozwoliłoby Linuksowi być odciętym od warstwy 2 tcp/ip, a o to mi właśnie chodzi. We wszystkich opisach jakie znalazłam w sieci była konfiguracja z poustawianymi adresami IP na kartach sieciowych.
Tyle w temacie.
Przezroczyste proxy troch
Dlaczego nie chcesz aby karty miały przypisany adres IP?
Filtrowanie ruchu www (bo piszesz o squidzie) odbywa się na wyższych warstwach sieci więc aby to działało muszą być zapewnione niższe warstwy (warstwa sieciowa), które "korzystają" z IP.
Może jednak to co piszesz jest możliwe. Komputer z Debianem i squidem pracowałby jako most http://freshmeat.net/articles/configuri ... d-ebtables.
Filtrowanie ruchu www (bo piszesz o squidzie) odbywa się na wyższych warstwach sieci więc aby to działało muszą być zapewnione niższe warstwy (warstwa sieciowa), które "korzystają" z IP.
Może jednak to co piszesz jest możliwe. Komputer z Debianem i squidem pracowałby jako most http://freshmeat.net/articles/configuri ... d-ebtables.
Witaj.koralgol pisze:Dlaczego nie chcesz aby karty miały przypisany adres IP?
Filtrowanie ruchu www (bo piszesz o squidzie) odbywa się na wyższych warstwach sieci więc aby to działało muszą być zapewnione niższe warstwy (warstwa sieciowa), które "korzystają" z IP.
Skonfigurowanie przezroczystego proxy na maszynie będącej ruterem jest trywialne.
Jednak, gdy za ruter służy niezbyt konfigurowalne urządzenie?
Wiem, że mogę pozbyć się tego rutera, ale zależy mi na tym, aby on jednak pozostało i pełniło dalej swoją rolę.
Chyba, że można to jakoś inaczej rozwiązać? Czy nie można tego skonfigurować, żeby działało podobnie do inteligentnego ,,repetera'' (przekazuje + może jeszcze logować ruch + można coś wypuścić).
Adres IP jest tutaj moim zdaniem dodatkowo wadą, spróbuj zaatakować zza firewalla komputer, który go nie posiada - prawie niemożliwe.
To pozostaje zrobienie wyżej albo tutaj opisanego mostu ze squidem (przezroczystego urządzenia podobnego do przełącznika) http://dianseh.com/index2.php?option=co ... pdf=1&id=8.
Nigdy tego nie robiłem ale czy ktoś się nie orientuje, czy nie dałoby się podpiąć tego Debiana do przełącznika. Skonfigurować na nim przezroczystego squida z NAT-em (wszystko na jednej karcie sieciowej). Na sztywno przypisać mu adres i bramę rutera sprzętowego, a w dhcp dla reszty komputerów ustawić bramę jako adres tego Debiana?
Nigdy tego nie robiłem ale czy ktoś się nie orientuje, czy nie dałoby się podpiąć tego Debiana do przełącznika. Skonfigurować na nim przezroczystego squida z NAT-em (wszystko na jednej karcie sieciowej). Na sztywno przypisać mu adres i bramę rutera sprzętowego, a w dhcp dla reszty komputerów ustawić bramę jako adres tego Debiana?
No dobrze, squid będzie miał adres powiedzmy 192.168.0.1 i będzie nasłuchiwał na domyślnym porcie (czy na 80) i wtedy trzeba będzie ustawić przekierowanie na adres rutera sprzętowego, a ruter oczywiście nie może mieć już wtedy -.0.1?koralgol pisze:Nigdy tego nie robiłem ale czy ktoś się nie orientuje, czy nie dałoby się podpiąć tego Debiana do przełącznika. Skonfigurować na nim przezroczystego squida z NAT-em (wszystko na jednej karcie sieciowej). Na sztywno przypisać mu adres i bramę rutera sprzętowego, a w dhcp dla reszty komputerów ustawić bramę jako adres tego Debiana?
Czy to będzie działało?