1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Нужна прокся

Тема в разделе "Софт", создана пользователем filer, 04.01.08.

  1. filer

    filer Активный участник

    771
    0
    Нужен прокси сервер с поддержкой NAT и желательно халявный!!
    если есть у кого какие идеи посоветуйте !:p
     
  2. RoughFox

    RoughFox Участник

    199
    0
    Linux, squid - это из халявных, но настройка сложнее.
    Из не халявных ISA, Kerio Winroute Firewall - настраиваются тупо манипулятором типа мышь.
     
  3. filer

    filer Активный участник

    771
    0
    Кирюха и стоит )))) но она не далеко не халявная ((((( надо альтернативу типа прокси плюс тока с натом )))
     
  4. Гость

    Гость Гость



    не надо мешать мух с котлетами, прокся и нат сочетаются только в как раз в платных глючных комбайнах под винду(типа юзергейта), фриварный софт многий под винду пришел из под юникса, а там философия обычно другая, каждая программа должно выполнять свою задачу и делать это хорошо, а не всего понемногу абы как.совмещать надо просто.
     
  5. filer

    filer Активный участник

    771
    0
    Есл чесно у меня получается настроить керио то б он делал все как я хачу но он ПЛАТНЫЙ
    PS Ищу бесплатный аналог
     
  6. Гость

    Гость Гость


    Linux/BSD/Solaris + Squid + ip_чего_хошь - вот тебе и бесплатный аналог.
     
  7. filer

    filer Активный участник

    771
    0
    как задействовать NAT в squid ??? Сквид заработал а вот как задействовать в нём нат я не нашел )(((( дайте ссылочкку или пример набора команд )))
     
  8. WireRat

    WireRat Участник

    262
    0
    filer, строго говоря, Squid и NAT - разные вещи. Squid изначально писАлся под проксирования Http(s), ftp. NAT в мнем никак не включить. NAT - дело системы ;)
     
  9. pm

    pm Активный участник

    788
    0
    3proxy
     
  10. x25

    x25 Активный участник

    5.462
    0
    pm, ты открыл мне глаза!!! прога весчь.
    хотя там нет ната - но в отличии от сквида перебрасывает порты, считает трафик с возможностью подстройки под любой анализатор. и мультиплатформеность тоже плюс. кеша нет - но можно в цепочку любой кеш сервер включить тотже сквид или hc.

    щас буду осваивать - и включу в локаль офисную наверно.
     
  11. filer

    filer Активный участник

    771
    0
    pm,
    Я тока не понял он nat поддерживает ?

    добавлено через 26 минут
    Wire Rat,
    Подскажи как реализовать NAT на ХР (2 сетевых интерфейса)
     
  12. pm

    pm Активный участник

    788
    0
    3proxy NAT не поддерживает, да и зачем? Автор утверждает, что NAT реализуется средствами ОСи (любой).
    Я пока использую порт-маппинг (tcppm, udppm). Работает на ура.

    PS. да, ещё я заворачиваю 3proxy на squid (на том же компе крутится). ибо надо иногда трафик считать, а со сквидом это сложно...
     
  13. filer

    filer Активный участник

    771
    0
    Подскажи как реализовать NAT на ХР (2 сетевых интерфейса)

    Порт мапинг не катит (((
     
  14. x25

    x25 Активный участник

    5.462
    0
    filer, её моё. в настройках соединения свойства->дополнительно. Общий доступ в инет. и всё. выбераешь у локальной сетевухи через какой интерфес пускать всех в сеть. У Винды есть ограничение она сама сделает этой сетевухи адрес 192.168.0.1 (иначе работать не будет). Для всех остальных локальшиков - шлюз и прокся этот айпи и фсё.
     
  15. pm

    pm Активный участник

    788
    0

    тока под Linux могу подсказать :)
    почему не катит?
     
  16. filer

    filer Активный участник

    771
    0
    pm,

    потомучто их ппц как много (((( куча айпи и куча портов ((( да еше и не знаю некоторые из них (((
     
  17. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    Помоему все просто можно рассказать, дело в том что прокси аля squid, не нуждаеться в работе NAT для того чтобы выпускать пользователеи в сеть.
    Ибо все подключения клиентов, он (squid) осуществляет от своего "имени". То есть - все запросы клиентов он отсылает от себя с внешнего интерфеиса.

    Вывод: squid можно использовать без NAT.

    Но тут есть нюанс - не все программы в состоянии ходить в интернет через прокси, именно для этого - используют NAT. Это как правило служба которая оперирует с заголовками пакетов, на сетевом интерфеисе который смотрит в интернет. Она подменяет адреса отправителей, если они соответсвуют заданным в настройках - на адрес внешнего интерфеиса.
    Кроме всего этого - есть еще один режим работы прокси. Прозрачный. Весь трафик подлежащий проксированию, перенаправляеться на порт службы прокси, на шлюзе, средствами пакетного фильтра самого шлюза.

    Так что - вариантов много, и всякие керии, или другие роуты - отдыхают.

    Либо часть трафика через прокси, тогда - делаем настройки у клиентов соответсвующие. Либо прокси - прозрачный, тогда клиенты неподозревают о его существовании, и не надо настраивать их софт.
    Либо пускаем все через NAT.
    Все это можно комбинировать.

    Конкретная реализация примерно такая.
    Устанавливаем FreeBSD, обновляем порты до актуального состояния, обновляем исходники ядра до текушего стабильного релиза (советую до релиза 6 ветки). Компилируем ядро, и если хватает тяму и мозгов - все окружение (утилиты и прочее).

    В ядре перед компиляцией, следуя руководству с freebsd.org на русском языке, подправляем конфигурацию для того чтобы использовать пакетный фильтр OpenBSD - pf.

    Опции:
    device pf
    device pflog

    остальное по усмортению, прочитав доки...
    компилируем и устанавливаем.
    после перезагрузки в фаиле /etc/rc.conf
    пишем:
    pf_enable="YES"

    после этого пишем правила в каком нибуть фаиле (/etc/pf.conf) и загружаем их
    #pfstl -f /etc/pf.conf
    в этом же фаиле можно записать настройки NAT.


    Со squid - все проше, обновляем порты, ставим его оттуда (/usr/ports/www/squid) и конфигурируем. В процессе конфигурирования - инет принесет немного пользы, кроме саита производителя), ибо версия 2.6 - весьма отличаеться составом дериктив.... Но это всеравно несложно.

    Авторизация может быть как из фаила с хешами паролеи, htpasswd, так например и из базы LDAP, MySQL, AD .

    Так что бросаите ваши керии.... есть штука(и) намного мощьнее.

    добавлено через 10 минут

    Вообщето в хрен его знает конечно.. я вопросом не задавался, порт маппинг ли в масдаиских операционках.. или NAT, но по большему счету это смысла не меняет, портов то как никак 60 с хреном тыщ, я думаю - наврятли столько соединений ты сможеш создать клиенттских, чтобы у шлюза на внешнем интерфеисе их нехватило...
     
  18. RubiN

    RubiN Активный участник

    5.532
    31
    вдогонку - на FreeBSD (про другие не знаю точно, но думаю то же самое) NAT не работает без FW, так что его тоже поднимать придется

    для вынь - вингейт старый добрый, мапит нормально
     
  19. OpenBoy

    OpenBoy Активный участник

    21.670
    0

    работает, прекрасно, отдельно, хотя есть и единый вариант, а поднимат ьфаервол не нужносли на то пошло,
    ipfw add <number_of rules> allow ip from any to any via $_if_name и все, через $_if_name проходит все что подпадает под IP.
    Поднимать это сильно сказано).
     
  20. RubiN

    RubiN Активный участник

    5.532
    31
    ну в смысле в rc.conf добавить строку )
    видимо единый вариант по умолчанию, а вот как отдельно? не могу решить задачку. запускаются как демоны через rc.d, причем если firewall_enable="NO" то natd_enable="YES" игнорируется, natd не запускается, куда рыть-то?
     
  21. OpenBoy

    OpenBoy Активный участник

    21.670
    0
    Ну во первых natd можно запускать из rc.local -сам по себе, но предположим он будет чтото ждать на каком нибуть порту - а как туда попадет трафик пользователя?) естественно - это через ipfw используя divert. то есть фаервол работать будет, так или иначе, просто в прозрачном режиме. Назвать это "поднимать фаиервол" - рука не поднимаеться.

    Так что делаи все энабле, пиши правило которое ничего не задерживает.

    добавлено через 33 минуты
    Рекомендую кстати - пересобрать ядро с поддержкои:

    options ALTQ
    options ALTQ_CBQ # Class Bases Queueing
    options ALTQ_RED # Random Early Drop
    options ALTQ_RIO # RED In/Out
    options ALTQ_HFSC # Hierarchical Packet Scheduler
    options ALTQ_CDNR # Traffic conditioner
    options ALTQ_PRIQ # Priority Queueing
    options ALTQ_NOPCC
    device pf
    device pflog
    device pfsync


    Для твоеи задачи тут много лишнего, но зато потом еслши будет все это нужно - не надо заново пересобирать.

    Туда же для полного счастья:

    options IPFIREWALL
    options IPFIREWALL_VERBOSE
    options IPFIREWALL_VERBOSE_LIMIT=100
    options IPDIVERT
    options IPFIREWALL_DEFAULT_TO_ACCEPT
    options IPFIREWALL_FORWARD
    options DUMMYNET
    options NETGRAPH
    options NETGRAPH_PPP
    options NETGRAPH_PPTPGRE


    Все что первым жирным блоком - нужно для полноценнои работы пакетного фильтра pf.
    В его составе работает хоршо очень, NAT, редиректы, перебросы, намного веселее чем под связкои natd+ipfw.

    вот пример конфигурации pf первая секция для описания алиасов (в том плане - обозначим словами все слова и циферки, которые упоминаються в остальнои конфигурации - часто, чтобы при изменении их значеий, не менять их по всему фаилу конфигурации, а сменить именно в этой секции - и все):


    А вот вторая секция:
    (в неи написано что делать с отброщенными пакетами, бросить и не уведомить отправителя, или послать таки ему чтонибуть в ответ, и тд.
    а так же происходит нормализация трафика)


    Третья секция - описания таблиц, и NAT
    по таблицам фильтр быстрее работатет


    вот последняя секция с правилами:



    Во втором выделенном жирным блоке, все что нужно для работы ipfw и ng интерфеисов (на них поднимают VPN, так что штука полезная и не помешает)
     
  22. RubiN

    RubiN Активный участник

    5.532
    31
    спасибо. читал где-то что pf предпочтительнее ipfw именно из за скорости работы, ipfw по своим правилам пакеты по нескольку раз гоняет, что естественно вызывает задержки пакетов

    кусок про счастье давно мной учтен и ядро пересобрано с этим, но про опции options ALTQ... и т.д. вижу впервые. Можешь пояснить в 2х словах? это именно для pf чтоли? приведенных коментов недостаточно, хочется глобальную так сказать стратегию узреть.
     
  23. OpenBoy

    OpenBoy Активный участник

    21.670
    0

    То что лучше - это в основном статистика подтверждает, что касаеться гонениям по правилам - это не совсем правда, корректно настроенный ipfw не больше чем pf прогоняет пакеты по правилам.

    добавлено через 4 минуты

    altq фишка которая позволяет завести аналог pipe в ipfw. И не только.
     
    Последнее редактирование: 16.04.08
  24. RubiN

    RubiN Активный участник

    5.532
    31
    pipe -для рулежки полосой пропускания?
     
  25. OpenBoy

    OpenBoy Активный участник

    21.670
    0

    Да, именно для этого.
     
  26. x25

    x25 Активный участник

    5.462
    0
    заехали в дебри,с опен боем. нат с одной стороны очень хорошо с другой очень плохо, мало механизмов контроля, подсчета и кеширования. особено под вин.

    если есть прога которая надух не знает что есть хтмл прокси или сокс, а также отстутвует возможность настройки изменение портов и хоста (для маскарадинга) есть замечательная программа freecap (и аналоги). Запускаем прогу любую из под фрикапа. и всё. фрикап сам перехватывает запросы проги и заворачивает на проксю (хтмл, а лучше сокс или даже на цепочку проксей). есть более продвинутая версия, но платная.
     
  27. OpenBoy

    OpenBoy Активный участник

    21.670
    0

    как это мало - их куча целая, особенно не под windows.
     
  28. RubiN

    RubiN Активный участник

    5.532
    31
    юзал когда-то, что-то мне в ней тогда не понравилось, не помню только что, в CoD играл через неё.