Jump to content
Калькуляторы

nat + proxy + сорм

Reply to this topic

Kumarik   

Kumarik
Posted

Добрый день

сначала опишу схему, а ниже сам вопрос)

nw1.jpg

есть микротик на нем реализован нат, паралельно микротику прикручен прокси сервер для блокировки запрещенного контента.

принцип работы прокси - он скачивает файлик со списком запрещенных сайтов, переконвертирует эти сайты в адреса и создает маршруты которые по bgp уходят на микротик.

все запросы уходящие от абонентов сверяются с адресами пришедшими по bgp от прокси и если он есть в этом списке на экране появляется "сайт заблокирован". НО если это какая то соц сеть или ютуб, то запрос абонента проходит сквозь прокси и обращается к ресурсу уже не с белого адреса закрепленного за серой сетью, а с адреса прокси (77.75.1.1). Все это работает и как бы нет проблем, кроме сбора инфы для сорма.

статистика по всем интерфейсам собирается и отсылается через netflow v9. и в результате получается каша, а именно исходя из статистики - запрос на ok.ru поступает одновременно от 3-х адресов

192.168.90.106:49161 (серый адрес абонента) 217.20.155.58:80

77.75.1.1:49161 (белый адрес прокси) 217.20.155.58:80

77.75.15.15:49161 (белый адрес nat пула) 217.20.155.58:80

 

может уже кто либо сталкивался с такой ситуацией, как решить эту проблему??

в идеале нужно получить строчку вида (ip и порт клиента)192.168.90.106:49161 (белый нат адрес и порт )77.75.15.15:49161 (адрес и порт ресуса)217.20.155.58:80

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Вам просто надо поставить еще один микротик, который будет работать простым маршрутизатором и ничего более, с него и будете снимать статистику по трафику, дублирования не будет.

Share this post

Link to post
Share on other sites

Kumarik   

Kumarik
Posted

Вам просто надо поставить еще один микротик, который будет работать простым маршрутизатором и ничего более, с него и будете снимать статистику по трафику, дублирования не будет.

т.е. на одном МТ будут натится абоненты и лазить на прокси, а на втором МТ поднять сессию на аплинк и снимать статистику со второго. верно понял?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Вам просто надо поставить еще один микротик, который будет работать простым маршрутизатором и ничего более, с него и будете снимать статистику по трафику, дублирования не будет.

т.е. на одном МТ будут натится абоненты и лазить на прокси, а на втором МТ поднять сессию на аплинк и снимать статистику со второго. верно понял?

 

Нет, на одном микротике у вас будет BGP и там же маршруты для заворота на прокси, на втором будет НАТ, который и сливает данные на СОРМ, а перед ним шейпер, который ограничивает скорость. Тогда при увеличении размеров сети, можете поставить параллельно 2 НАТ и 2 шейпера, параллельно сливая данные на СОРМ.

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted

Нет, на одном микротике у вас будет BGP и там же маршруты для заворота на прокси, на втором будет НАТ, который и сливает данные на СОРМ,

:) Зеркалирован должен быть весь клиентский трафик, а не то что в инет-из-инета. тут только нормальный mirror-port и спасает, да еще чтобы пакеты в мирроре не терялись. А туннели ppp,pppoe - ихняя железяка легко декодирует, равно как и sip/h323.

Share this post

Link to post
Share on other sites

Kumarik   

Kumarik
Posted

я еще придумал схему - правда не знаю насколько она бредова)

а если заворачивать абонентские сети(серые) до ната на прокси (при условии, что он прозрачен) и только после прохождения запросов через прокси натить их. как думаете возможен такой вариант?

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted

я еще придумал схему - правда не знаю насколько она бредова)

а если заворачивать абонентские сети(серые) до ната на прокси (при условии, что он прозрачен) и только после прохождения запросов через прокси натить их. как думаете возможен такой вариант?

Это как ? nat должен держать внутри себя все трансляции, но внутри. Или придумали какой-то распределённый nat ?

Share this post

Link to post
Share on other sites

Kumarik   

Kumarik
Posted

 

Это как ? nat должен держать внутри себя все трансляции, но внутри. Или придумали какой-то распределённый nat ?

 

я очень расчитываю, что в данной схеме прокси будет выступать просто в роли ACL который постоянно будет блочить еще на "взлете", а если все таки прошел через прокси, то милости прошу в nat

Share this post

Link to post
Share on other sites

Kumarik   

Kumarik
Posted

и может чуть не в тему вопрос, но все же из-за чего может возникать такая проблема

Трассировка маршрута к vk.com [87.240.131.119]

с максимальным числом прыжков 30:

 

1 10 ms 14 ms 14 ms 13.13.13.13

2 15 ms 15 ms 15 ms 192.168.210.2 - адрес прокси

3 15 ms 15 ms 15 ms srv119-131-240-87.vk.com [87.240.131.119]

4 15 ms 15 ms 15 ms srv119-131-240-87.vk.com [87.240.131.119]

5 31 ms 31 ms 31 ms srv119-131-240-87.vk.com [87.240.131.119]

6 31 ms 30 ms 31 ms srv119-131-240-87.vk.com [87.240.131.119]

7 31 ms 30 ms 31 ms srv119-131-240-87.vk.com [87.240.131.119]

8 * Превышен интервал ожидания для запроса.

9 * Превышен интервал ожидания для запроса.

10 30 ms 31 ms 31 ms srv119-131-240-87.vk.com [87.240.131.119]

Трассировка завершена.

 

почему на каждом хопе один и тот же адрес отдается?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...