LINUX.ORG.RU
ФорумAdmin

[squid||iptables] Выбрать маршрут в зависимости от хоста назначения


0

2

Прошу помощи в следующей задаче:

имеется шлюз с двумя сетевыми интерфейсами,
eth0 10.0.0.2 из подсети 10.0.0.0/16 в подсеть вверх по иерархии (в сеть института) и
eth1 192.168.0.2 из подсети 192.168.0.0/24 в подсеть кафедры.
Широкий канал интернета приходит через проксю 10.0.0.1 по интерфейсу eth0.

вышестоящие админы закрыли CONNECT на 443 для большинства почтовых серверов (в том числе mail.ru, yandex.ru, rambler.ru и даже почту местного провайдера) в связи с переходом на Google Apps, стимулируя таким подлым образом получение почтовых адресов домена вуза студентами и сотрудниками. Однако на точках доступа Wi-Fi внутри института ничего не закрыто.

Сейчас у меня есть два маршрута, один на шлюз с прокси, второй — на Wi-Fi роутер в режиме клиента.

Вопрос: как мне разрулить запросы на забаненные почтовики на достаточно медленный Wi-Fi, оставив всё остальное через институтский прокси? Адреса подсетей почты считайте что есть.

если правильно понял, то

ip rule add to «Адреса подсетей почты считайте что есть» table wifi

uspen ★★★★★
()
Ответ на: комментарий от zgen

Как я понял к squid доступа нет? Узнаешь ip mail серверов, и дальше

ip r a <ip> via 192.168.0.1

Или что там, в качестве wi-fi шлюза.

swelf
()
Ответ на: комментарий от ventilator

из браузера же. для софтварных почтовых клиентов POP/IMAP они тоже позакрывали, я думаю, хотя не проверял. Интернет сейчас только через прокси на 10.0.0.1 доступен, если не вспоминать о Wi-Fi

adriano32 ★★★
() автор топика
Ответ на: комментарий от swelf

К родительскому прокси у меня естественно доступа для настройки нет.

adriano32 ★★★
() автор топика
Ответ на: комментарий от Davyd

Яндекс, рамблер точно, мэйл.ру проверил ­сейчас нет, хотя в старых логах грепается CONNECT на mrim.mail.ru:443, это вроде от мэйл.ру агента. Бинг, яху однозначно https...

adriano32 ★★★
() автор топика
Ответ на: комментарий от adriano32

я не пойму, проблему то решил? вариант с маршрутом и squid не подходят?

uspen ★★★★★
()
Ответ на: комментарий от visual

wpad'ом раздаются настройки прокси клиентам, зачем это мне? у меня настройки прокси вбиты в GPO Samba'ы. читай ОП, мне нужно направить запросы ко всем серверам через родительский прокси выше по иерархии, а запросы к закрытым ресурсам через Wi-Fi

adriano32 ★★★
() автор топика
Ответ на: комментарий от adriano32

>а запросы к закрытым ресурсам через Wi-Fi

тогда скорее всего route add -host yandex.ru gw wifi, ядругих путей не вижу

visual ★★★
()
Ответ на: комментарий от adriano32

ты правда тупишь, или я чего не пойму.

zgen тебе написал

squid:
 acl 2mail url_regex "/usr/local/etc/squid/mail"
 tcp_outgoing_address 10.0.0.2 !2mail
 tcp_outgoing_address 192.168.0.123 2mail

я тебе написал про роутинг.

можешь адаптировать это под сквид, аля:

ip rule add from 192.168.0.123 table wifi

только добавь ip на интерфейс

делов на 10 минут.

uspen ★★★★★
()
Ответ на: комментарий от uspen

Да, есть прокси на моём шлюзе, в 192.168.0.0/24 смотрит и раздаёт инет, прокси по 10.0.0.1 ему родительский. Задачу до ухода с работы решить не успел, поскольку запнулся с настройками своего прокси и немного ушло времени на ругань с главными админами собственно по вопросу того, что они ввели

adriano32 ★★★
() автор топика
Ответ на: комментарий от uspen

может и туплю, ip rule сделал, tcp_outgoing_address'ы добавил, исключения не спрашивать из родительского кеша адреса почты дописал (и cache_peer_domain с .ru, и cache_peer_access с dst пробовал). Никакого результата — в браузере запросы к доменам .ru и к dst в сеть яндекса обрабатывает 10.0.0.1.

сам по себе канал на Wi-Fi работает.

Завтра на свежую голову попробую заново, спасибо за советы, просто голова уже ватная, с утра студенты и преподы накинулись «Почему я не могу зайти на $MAIL», старшие коллеги нихера не предупредили заранее, просто поставили перед фактом

adriano32 ★★★
() автор топика
Ответ на: комментарий от adriano32

1) поднять свой прокси 2) на своем прокси для части доменов сказать что использовать парент прокси(аднимнов) 3) для остальных доменов парент прокси не юзать (роутить через вайфай)

ventilator ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.