Squid + AD + несколько каналов. Хелп.

[korjik]

Начну с того, что связать сквид и АД не представляется сложным на первый взгляд, но вот про разделение по каналам пользоваетелей, этого я нигде не читал.
Условие такое:
есть Ubuntu сервер в сформированной большой сети 10.10.10.0/24  лан адрес которого  10.10.10.1. и 2 канала быстрый лимитный и медленный безлимитный. вопрос: пустить нужных пользователей по нужным каналам,с с авторизацией в АД. как бы возможно пускать по разным портам,на например по 3128 на ван1, по 8080 на ван 2, но это тоже вроде проблематично. я уверен, с этим сталкивались. расскажите кто, что знает?

[aleks-new]

Посмотри в сторону директивы сквида tcp_outgoing_address http://www.squid-cache.org/Doc/config/tcp_outgoing_address/

[korjik]

Статья:

(Нажмите, чтобы показать/скрыть)

tcp_outgoing_address


   Allows you to map requests to different outgoing IP addresses
   based on the username or source address of the user making
   the request.

   tcp_outgoing_address ipaddr [[!]aclname] ...

   Example where requests from 10.0.0.0/24 will be forwarded
   with source address 10.1.0.1, 10.0.2.0/24 forwarded with
   source address 10.1.0.2 and the rest will be forwarded with
   source address 10.1.0.3.

   acl normal_service_net src 10.0.0.0/24
   acl good_service_net src 10.0.2.0/24
   tcp_outgoing_address 10.1.0.1 normal_service_net
   tcp_outgoing_address 10.1.0.2 good_service_net
   tcp_outgoing_address 10.1.0.3

   Processing proceeds in the order specified, and stops at first fully
   matching line.

   Note: The use of this directive using client dependent ACLs is
   incompatible with the use of server side persistent connections. To
   ensure correct results it is best to set server_persistent_connections
   to off when using this directive in such configurations.


        IPv6 Magic:

   Squid is built with a capability of bridging the IPv4 and IPv6 internets.
   tcp_outgoing_address as exampled above breaks this bridging by forcing
   all outbound traffic through a certain IPv4 which may be on the wrong
   side of the IPv4/IPv6 boundary.

   To operate with tcp_outgoing_address and keep the bridging benefits
   an additional ACL needs to be used which ensures the IPv6-bound traffic
   is never forced or permitted out the IPv4 interface.

   acl to_ipv6 dst ipv6
   tcp_outgoing_address 2002::c001 good_service_net to_ipv6
   tcp_outgoing_address 10.1.0.2 good_service_net !to_ipv6

   tcp_outgoing_address 2002::beef normal_service_net to_ipv6
   tcp_outgoing_address 10.1.0.1 normal_service_net !to_ipv6

   tcp_outgoing_address 2002::1 to_ipv6
   tcp_outgoing_address 10.1.0.3 !to_ipv6

   WARNING:
     'dst ipv6' bases its selection assuming DIRECT access.
     If peers are used the peername ACL are needed to select outgoing
     address which can link to the peer.

на неделе буду реализовывать конфиг. выложу. спасибо за то, что ткнули носом в самое ТО-ЧТО-НУЖНО.  но задача решается с помощью подсетей.....

[korjik]

есть идеи?

[korjik]

ап
Пользователь решил продолжить мысль [time]Fri Nov  6 17:12:58 2009[/time]:Короче, тема такая.

Установил сервер, настроил интерфейс локальной сети: eth0, интерфйс быстрого лимитного прова: eth1. ну и  третий- медленный безлимитный eth2.

на eth1 накрутил ППТП сервер. вот правила для ната, чтоб к серверу терминалов под виндой были пинги:
#NAT portforvarding for PPTP-VPN
echo "1" >  /proc/sys/net/ipv4/ip_dynaddr
echo "1" >  /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ! eth1 -j MASQUERADE
iptables --append INPUT --protocol 47 --jump ACCEPT
iptables --append INPUT --protocol tcp --match tcp --destination-port 1723 --jump ACCEPT

Хочется сделать так : юзвери, которые  ссылаются на этот шлюз как на дефолт, получали инет через нат от eth2. А прокси настроить на eth1, чтоб раздавало интернет оттуда.

правило для ната на eth2:
#NAT portforvarding for Internet Routing of Data-Group
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Вопрос перый: как настроить сквид, чтоб он ходил через eth2?
Вопрос второй: во время поднятия двух интерфейсов, в роутах появляются 2 дефолтных роута, на оба интерфейса, ну и соответственно, НЕ работают вместе, а как-то рандомно друг друга опускают.  что с этим можно придумать?

разделить на подсети нельзя, потому как юзвери сидят через тонкие клиенты в терминале под вин2к3.

[AnrDaemon]

Проксятнику указать внешний интерфейс eth1, дефолтный роут забить на eth2.
Классика же.

[korjik]

tcp_outgoing_address [eth1_address] fast_inet
tcp_outgoing_address [eth2_address] slow_inet

где  fast_inet и  slow_inet - acl c вбитыми  юзверями. как вы думаете так пойдёт?

ситуёвина такая, что только 1 из этих адресов реальный, второй - нет.  сделал это всё, поднял второй интерфейс и ребутнул серв,  и там произошёл конфликт роутов) и не видно теперь его с интернета) во я лопух.

если при поднятии роутов уже есть 2 дефолтных, как при загрузке сделать так, чтоб роут был 1? в /etc/rc.local добавить?
route add default gw <eth2_address> eth2
?
тогда, думаю, добавится роут и всё. как удалить дефолтный роут от eth1?

[AnrDaemon]

Смотря как вообще сеть настроена.

[korjik]

Ёлы палы. Есть конкретная команда, чтоб убруть дефолтный роут?
Пользователь решил продолжить мысль [time]Sat Nov  7 07:11:34 2009[/time]:$route del default <eth2_gw_addr> eth2 - вот команда удаления ненужного дефолтного роута.  
Пользователь решил продолжить мысль [time]Sat Nov  7 11:20:05 2009[/time]:Нашёл статейку: http://www.opennet.ru/base/net/squid_ipvs_keepalived.txt.html

Код: [Выделить]

  Создадим две дополнительные таблицы маршрутизации T1, T2:

           # echo 200 T1 " /etc/iproute2/rt_tables
           # echo 201 T2 " /etc/iproute2/rt_tables


   Завернем пакеты с src 172.16.1.10 в таблицу T1, и трафик с src
   10.0.0.20 в таблицу T2:

           # ip rule add from 172.16.1.10 table T1
           # ip rule add from 10.0.0.20   table T2


   Пропишем маршруты по умолчанию для трафика, который попал в таблицы T1,T2:

           # ip route add default via 172.16.1.1 table T1
           # ip route add default via 10.0.0.1   table T2



После последнего действия, у меня почему-то оба интерфейса заваливаются нах) Кто что видит римиального?



ЗЫ. Помогите мне, я после напишу афигительный ман по этому, если получится настроить.