Выход в интернет прокси через прокси

[leks3412]

Подскажите знающие люди, я знаю вы все знаете!) В локалке на входе установлен прокси сервер squid и iptables, все компы выходят в инет через него. Сейчас Ростелеком начал поставлять инет через свой прокси. И вот в чем вопрос: можно ли локальный прокси сервер заставить раздавать инте через прокси сервер Ростелекома?

[c47]

Сейчас Ростелеком начал поставлять инет через свой прокси

что вы имеете в виду? и пруфы, конечно же, крайне желательно приложить

[leks3412]

Сейчас, чтобы пк получил выход в инет нужно прописать прокси сервер Ростелекома. Но у меня все пк выходили через свой прокси. Можно ли научить свой локальный прокси, чтобы он выходил через прокси Ростелекома?

[c47]

Сейчас, чтобы пк получил выход в инет нужно прописать прокси сервер Ростелекома

речь про какой интернет: домашний или корпоративный/рабочий?

[leks3412]

Рабочий. В школе.

[c47]

А вот это странно, прокси провайдер обычно не предоставляет (я сам в 3х провайдерах работал, правда ни один из них - не ростелеком, но с госзапупками имел дело, и ни разу это не было в виде прокси). Я всегда полагал, что провайдер даёт тебе физическую лямку (витая пара/PON/конвертер) или порт на коммутаторе и описывает способ подключения, это либо dhcp, либо что-то из l2tp/pppoe/pptp. предоставление оператором прокси - для меня нечто новое. Лучше обратитесь к администратору школьной локалки, если таковой существует в природе (пусть даже уволившийся - проконсультируетесь хотя бы).
Ещё как вариант - возможно ваша школа это несколько корпусов и вы находитесь не в главном корпусе, и ростелеком предоставляет вам vlan, ведущий в главный корпус, где собственно и находится прокси, но по идее это в ведении школы должно быть, а не провайдера, ибо провайдеры лишь предоставляют выход в инет.
Возможно я ошибаюсь, и если РТ действительно предоставляет доступ в сеть через прокси, то в таком случае подождём более продвинутых сетевиков

[Aleksandru]

c47, практически все школы (если не все) подключили к ЕСПД.
На основе ЕСПД сделали контентную фильтрацию, как там это все взаимосвязано я не знаю.
Так вот трафик теперь идет через прокси.
На каждый компьютер теперь нужно устанавливать сертификат и прописывать прокси.

[leks3412]

Я и есть администратор локалки) Недавно школу подключили к ЕСПД, вот и думаю, что делать

[Aleksandru]

leks3412, у вас для чего свой сервер используется?
Я почитал ваши старые комменты вы там всё свою фильтрацию настраивали.
Теперь может быть стоит вырубить свою проксю?

[c47]

Aleksandru, буду знать, а то я уж думаю "что за бред?" а оно вон оно как оказывается.

На каждый компьютер теперь нужно устанавливать сертификат и прописывать прокси.

это же дико муторно, если в школах не запрещены микротики в силу своей нескрепности/вражеского происхождения, то 252 опция сильно помогла бы в данной ситуации

[leks3412]

Я настраивал свой прокси, для фильтрации инета по белым спискам и чтобы из инета в локалку никто не смог залезть. Ну, наверное, squid можно убрать, но фаервол хотелось бы оставить

[Aleksandru]

это же дико муторно, если в школах не запрещены микротики в силу своей нескрепности/вражеского происхождения, то 252 опция сильно помогла бы в данной ситуации

Звучит заманчиво. Я в сетях нуб, но что то мне кажется что и микротик в данном случае не поможет.

[c47]

микротик в данном случае не поможет

У нас на работе (теперь уже прошлой) сеть построена с участием микротиков - это просто великолепные железки и по функционалу, и по стабильности. Умеют всё, только кофе не варят разве что, пользуемсяовался 43, 121(она же 249) и 66 опциями, без них нереально ACS-сервер настроить для PON-сети, гораздо труднее будет сделать распределённую офисную сеть, или поднять сеть из тонких клиентов, которые не знают где dhcp-сервер. Так что я почти уверен - микротик с этим справится на ура

[valrust]

Теоретический вариант.

В настройках squid добавить опцию cache_peer, которая позволяет организовать использование другого прокси сервера для обслуживания запросов.

cache_peer <IP_proxy_Ростелекома> parent <Port_proxy_Ростелекома> 0 no-query default

А ещё опцию never_direct, что бы запретить squid обращаться к серверам напрямую.

acl all src 0.0.0.0/0.0.0.0
http_access allow all
never_direct allow all

И на каждый компьютер установить сертификат от Ростелекома, что бы он мог просматривать сессии по HTTPS.

[leks3412]

Теоретический вариант.

В настройках squid добавить опцию cache_peer, которая позволяет организовать использование другого прокси сервера для обслуживания запросов.

cache_peer <IP_proxy_Ростелекома> parent <Port_proxy_Ростелекома> 0 no-query default

А ещё опцию never_direct, что бы запретить squid обращаться к серверам напрямую.

acl all src 0.0.0.0/0.0.0.0
http_access allow all
never_direct allow all

И на каждый компьютер установить сертификат от Ростелекома, что бы он мог просматривать сессии по HTTPS.

Спасибо! Завтра попробую