Тема: squid+nat

Доброе время суток!

Вот в чем задача..

Стоит шлюз, на нем поднят нат соответсвенно...и в нем разные редиректы на локал компы и вебы...

Но начальство начало...(как нистранно очень поздно, всё это время лень было сделать) просить запретить сайты.

Но и решил поднять прозрачный сквид...(чтобы не бегать не писать каждому, да и мне этого хватало)

Создал списки с запрещенными сайтами, файлами.

Всё прекрасно работает...но боссу надо что бы у него был полный доступ..

Но теперь встал этот вопрос, как его пустить мимо прокси, ман читал...и таки не понял как это сделать...я понимаю что надо создать список айпи, для которых будет полный доступ?

И если это так, то нужен ведь нат...который я соответственно отключил....когда поднял squid, получается что в конфигах фаера (ipfw) надо чтобы диверт squida шел перед натом? я прав?

Жду советов, как это сделать?....думаю ситуация понятная..

2

Re: squid+nat

desperadik пишет:

...я понимаю что надо создать список айпи, для которых будет полный доступ

верно.

3

Re: squid+nat

хорошо....можно пример строки в конфиг сквида?

а что наасчет ната?

4

Re: squid+nat

создаете acl со списком крутых айпишников и для этого acl прописываете http_access перед тем как вы запрещаете сайты. Вот вам и будет полный доступ для списка айпишников через squid

5

Re: squid+nat

Понял....а что с натом то? диверт сквида перед натом ставить?или как?

6

Re: squid+nat

ну если вы диверт сквида поставите перед натом, то у вас все и уйдет на сквид. Или надо указать, что не заворачивать на сквид.

7

Re: squid+nat

вот ещё что...например я использую url_regex для списка "плохих адресов", а для списка айпиадресов, которые нужно прокинуть использовать что?

может конечно я уже надоел, то есть мне надо завернуть пакеты с 80 порта на спорт сквида, но например для  айпиадресов, которые нужно прокинуть, нужен нат..дык как тогда завернуть их на нат? так?:

divert natd all  from  "айпи адреса" to any via "внешка"

8

Re: squid+nat

например я использовал

acl admins src "/usr/local/etc/squid/ip_admin"

и в самом файле в каждой строчке по одному адресу

9

Re: squid+nat

то есть получается...эти айпи просто получат полный доступ...но все равно будут работать через сквид?я правильно понял?

10

Re: squid+nat

да, главное http_access указать до того, как вы запрещаете