Игорь Чумак пишет: > Pavel Gaidai пишет: >> alex kuklin пишет: >> >>> Pavel Gaidai wrote: >>> >>>> Плуталовский Дмитрий пишет: >>>> >>>> >>>>> Здравствуйте. >>>>> Проблемка такая: настроил свой первый шлюз на Etch 4.0, >>>>> ip прямой, письма валятся прямо на него. Поставил сквид (не >>>>> прозрачный, сделал простые настройки). Весь офис ходит в инет через >>>>> сквид, >>>>> Есть банк-клиент, для которого пришлось делать iptables -t nat -A >>>>> POSTROUTING -o eth0 -j MASQUERADE. >>>>> Проблема в том, что я не могу (точнее не знаю) как пустить этот >>>>> банк-клиент через прокси, чтобы убрать маскарадинг. >>>>> Звонил в поддержку в банк, мне сказали, что самое простое нужно в >>>>> прокси включить NAT, такого прокси как сквид они не слышали :) >>>>> Сказали, что можно попробвать вписать вместо их ip и порта свой >>>>> прокси и его порт. Там забит их прямой Ip и порт 1750, я попробовал >>>>> вписать ip сквида и порт 3128 - не соединяется банк-клиент. В сквиде >>>>> нашел раздел Safe_port и вписал туда 1750 - не работает. >>>>> Я конечно извиняюсь за возможные ляпы, только осваиваю. >>>>> Подскажите пожалуйста как можно эту ситуацию разрешить? >>>>> Спасибо. >>>>> >>>>> >>>>> >>>> можно попробовать сначала завернуть 1750 порт в сквид(как советовали >>>> раньше), >>>> >>>> for iface in $LOCAL_IFACES; do >>>> $iptables -t nat -A PREROUTING -p tcp --destination-port 1750 \ >>>> -i $iface -j REDIRECT --to-ports $SQUID_PORT >>>> >>>> >>>> >>>> >>>> а в сквиде разрешить метод коннект на 1750 порт >>>> >>>> acl SSL_ports port 443 1750 >>>> acl CONNECT method CONNECT >>>> http_access deny CONNECT !SSL_ports >>>> >>> А еще можно попрыгать с бубном. >>> Нафига, если нужно всего-лишь пропустить клиент-банк по нужному порту >>> на нужный адрес, и делается это средствами iptables? >>> >>> >> если сквидом считать весь трафик, тогда есть смысл >> >> > 1. клиент-банков обычно 1-2, и живут они на 1 компе > 2. траффика они вряд ли сьедят насколько много, чтобы имело смысл > учитывать я не знаю насколько, не проверял :( > 3. пинги и DNS-запросы тоже squid считает? Если нет (т.е. НЕ ВЕСЬ > ТРАФФИК идёт через squid) - не проще ли не париться и обойтись iptables? А вы видели как секретарши пингуют ;) Для минимизации днс запросов есть DNS Proxy
Attachment:
signature.asc
Description: OpenPGP digital signature