Нужна прокся

Linux, squid - это из халявных, но настройка сложнее.
Из не халявных ISA, Kerio Winroute Firewall - настраиваются тупо манипулятором типа мышь.

 

не надо мешать мух с котлетами, прокся и нат сочетаются только в как раз в платных глючных комбайнах под винду(типа юзергейта), фриварный софт многий под винду пришел из под юникса, а там философия обычно другая, каждая программа должно выполнять свою задачу и делать это хорошо, а не всего понемногу абы как.совмещать надо просто.

 

Linux/BSD/Solaris + Squid + ip_чего_хошь - вот тебе и бесплатный аналог.

 

filer, строго говоря, Squid и NAT - разные вещи. Squid изначально писАлся под проксирования Http(s), ftp. NAT в мнем никак не включить. NAT - дело системы

 

3proxy

 

pm, ты открыл мне глаза!!! прога весчь.
хотя там нет ната - но в отличии от сквида перебрасывает порты, считает трафик с возможностью подстройки под любой анализатор. и мультиплатформеность тоже плюс. кеша нет - но можно в цепочку любой кеш сервер включить тотже сквид или hc.

щас буду осваивать - и включу в локаль офисную наверно.

 

3proxy NAT не поддерживает, да и зачем? Автор утверждает, что NAT реализуется средствами ОСи (любой).
Я пока использую порт-маппинг (tcppm, udppm). Работает на ура.

PS. да, ещё я заворачиваю 3proxy на squid (на том же компе крутится). ибо надо иногда трафик считать, а со сквидом это сложно...

 

filer, её моё. в настройках соединения свойства->дополнительно. Общий доступ в инет. и всё. выбераешь у локальной сетевухи через какой интерфес пускать всех в сеть. У Винды есть ограничение она сама сделает этой сетевухи адрес 192.168.0.1 (иначе работать не будет). Для всех остальных локальшиков - шлюз и прокся этот айпи и фсё.

 

тока под Linux могу подсказать
почему не катит?

 

Помоему все просто можно рассказать, дело в том что прокси аля squid, не нуждаеться в работе NAT для того чтобы выпускать пользователеи в сеть.
Ибо все подключения клиентов, он (squid) осуществляет от своего "имени". То есть - все запросы клиентов он отсылает от себя с внешнего интерфеиса.

Вывод: squid можно использовать без NAT.

Но тут есть нюанс - не все программы в состоянии ходить в интернет через прокси, именно для этого - используют NAT. Это как правило служба которая оперирует с заголовками пакетов, на сетевом интерфеисе который смотрит в интернет. Она подменяет адреса отправителей, если они соответсвуют заданным в настройках - на адрес внешнего интерфеиса.
Кроме всего этого - есть еще один режим работы прокси. Прозрачный. Весь трафик подлежащий проксированию, перенаправляеться на порт службы прокси, на шлюзе, средствами пакетного фильтра самого шлюза.

Так что - вариантов много, и всякие керии, или другие роуты - отдыхают.

Либо часть трафика через прокси, тогда - делаем настройки у клиентов соответсвующие. Либо прокси - прозрачный, тогда клиенты неподозревают о его существовании, и не надо настраивать их софт.
Либо пускаем все через NAT.
Все это можно комбинировать.

Конкретная реализация примерно такая.
Устанавливаем FreeBSD, обновляем порты до актуального состояния, обновляем исходники ядра до текушего стабильного релиза (советую до релиза 6 ветки). Компилируем ядро, и если хватает тяму и мозгов - все окружение (утилиты и прочее).

В ядре перед компиляцией, следуя руководству с freebsd.org на русском языке, подправляем конфигурацию для того чтобы использовать пакетный фильтр OpenBSD - pf.

Опции:
device pf
device pflog

остальное по усмортению, прочитав доки...
компилируем и устанавливаем.
после перезагрузки в фаиле /etc/rc.conf
пишем:
pf_enable="YES"

после этого пишем правила в каком нибуть фаиле (/etc/pf.conf) и загружаем их
#pfstl -f /etc/pf.conf
в этом же фаиле можно записать настройки NAT.


Со squid - все проше, обновляем порты, ставим его оттуда (/usr/ports/www/squid) и конфигурируем. В процессе конфигурирования - инет принесет немного пользы, кроме саита производителя), ибо версия 2.6 - весьма отличаеться составом дериктив.... Но это всеравно несложно.

Авторизация может быть как из фаила с хешами паролеи, htpasswd, так например и из базы LDAP, MySQL, AD .

Так что бросаите ваши керии.... есть штука(и) намного мощьнее.

добавлено через 10 минут

Вообщето в хрен его знает конечно.. я вопросом не задавался, порт маппинг ли в масдаиских операционках.. или NAT, но по большему счету это смысла не меняет, портов то как никак 60 с хреном тыщ, я думаю - наврятли столько соединений ты сможеш создать клиенттских, чтобы у шлюза на внешнем интерфеисе их нехватило...

 

вдогонку - на FreeBSD (про другие не знаю точно, но думаю то же самое) NAT не работает без FW, так что его тоже поднимать придется

для вынь - вингейт старый добрый, мапит нормально

 

работает, прекрасно, отдельно, хотя есть и единый вариант, а поднимат ьфаервол не нужносли на то пошло,
ipfw add <number_of rules> allow ip from any to any via $_if_name и все, через $_if_name проходит все что подпадает под IP.
Поднимать это сильно сказано).

 

ну в смысле в rc.conf добавить строку )

видимо единый вариант по умолчанию, а вот как отдельно? не могу решить задачку. запускаются как демоны через rc.d, причем если firewall_enable="NO" то natd_enable="YES" игнорируется, natd не запускается, куда рыть-то?

 

Ну во первых natd можно запускать из rc.local -сам по себе, но предположим он будет чтото ждать на каком нибуть порту - а как туда попадет трафик пользователя?) естественно - это через ipfw используя divert. то есть фаервол работать будет, так или иначе, просто в прозрачном режиме. Назвать это "поднимать фаиервол" - рука не поднимаеться.

Так что делаи все энабле, пиши правило которое ничего не задерживает.

добавлено через 33 минуты
Рекомендую кстати - пересобрать ядро с поддержкои:

options ALTQ
options ALTQ_CBQ # Class Bases Queueing
options ALTQ_RED # Random Early Drop
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler
options ALTQ_CDNR # Traffic conditioner
options ALTQ_PRIQ # Priority Queueing
options ALTQ_NOPCC
device pf
device pflog
device pfsync


Для твоеи задачи тут много лишнего, но зато потом еслши будет все это нужно - не надо заново пересобирать.

Туда же для полного счастья:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options DUMMYNET
options NETGRAPH
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE


Все что первым жирным блоком - нужно для полноценнои работы пакетного фильтра pf.
В его составе работает хоршо очень, NAT, редиректы, перебросы, намного веселее чем под связкои natd+ipfw.

вот пример конфигурации pf первая секция для описания алиасов (в том плане - обозначим словами все слова и циферки, которые упоминаються в остальнои конфигурации - часто, чтобы при изменении их значеий, не менять их по всему фаилу конфигурации, а сменить именно в этой секции - и все):

А вот вторая секция:
(в неи написано что делать с отброщенными пакетами, бросить и не уведомить отправителя, или послать таки ему чтонибуть в ответ, и тд.
а так же происходит нормализация трафика)

Третья секция - описания таблиц, и NAT
по таблицам фильтр быстрее работатет

вот последняя секция с правилами:

Во втором выделенном жирным блоке, все что нужно для работы ipfw и ng интерфеисов (на них поднимают VPN, так что штука полезная и не помешает)

 

спасибо. читал где-то что pf предпочтительнее ipfw именно из за скорости работы, ipfw по своим правилам пакеты по нескольку раз гоняет, что естественно вызывает задержки пакетов

кусок про счастье давно мной учтен и ядро пересобрано с этим, но про опции options ALTQ... и т.д. вижу впервые. Можешь пояснить в 2х словах? это именно для pf чтоли? приведенных коментов недостаточно, хочется глобальную так сказать стратегию узреть.

 

То что лучше - это в основном статистика подтверждает, что касаеться гонениям по правилам - это не совсем правда, корректно настроенный ipfw не больше чем pf прогоняет пакеты по правилам.

добавлено через 4 минуты

altq фишка которая позволяет завести аналог pipe в ipfw. И не только.

 

pipe -для рулежки полосой пропускания?

 

Да, именно для этого.

 

заехали в дебри,с опен боем. нат с одной стороны очень хорошо с другой очень плохо, мало механизмов контроля, подсчета и кеширования. особено под вин.

если есть прога которая надух не знает что есть хтмл прокси или сокс, а также отстутвует возможность настройки изменение портов и хоста (для маскарадинга) есть замечательная программа freecap (и аналоги). Запускаем прогу любую из под фрикапа. и всё. фрикап сам перехватывает запросы проги и заворачивает на проксю (хтмл, а лучше сокс или даже на цепочку проксей). есть более продвинутая версия, но платная.

 

как это мало - их куча целая, особенно не под windows.

 

юзал когда-то, что-то мне в ней тогда не понравилось, не помню только что, в CoD играл через неё.