Jump to content
Калькуляторы

Перенаправление трафика cisco

есть схема сети

Пользователь ---> Cisco 2960 ---> Cisco 3750x ---> Cisco 2851---> Inet

Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)?

Share this post


Link to post
Share on other sites

инфы в нете маловато про wccp и forefront...

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты?

Share this post


Link to post
Share on other sites

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты

 

поставить перед маршрутизатором компьютер с прокси и двумя сетевухами.

на одну поцепить локалку и поставить тот ip, что был на 2851

а вторую соединить с маршрутизатором какой-нибудь левой подсетью.

если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно,

то никто ничего и не заметит.

 

в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее.

Share this post


Link to post
Share on other sites
Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)?

Форефонт, бывший иса, сам прекрасно умеет прозрачно заворачивать 80 и другие порты (по желанию) на свой веб кеш.

Share this post


Link to post
Share on other sites

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты

 

поставить перед маршрутизатором компьютер с прокси и двумя сетевухами.

на одну поцепить локалку и поставить тот ip, что был на 2851

а вторую соединить с маршрутизатором какой-нибудь левой подсетью.

если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно,

то никто ничего и не заметит.

 

в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее.

 

вставил вторую сетевуху, щас буду колдовать :)

Share this post


Link to post
Share on other sites

вставил вторую сетевуху, щас буду колдовать

 

будьте готовы к тому, что за тотальный контроль над веб-контентом придется иметь некоторые проблемы с трафиком (ftp, https на нестандартных портах и еще что-то, не помню).

по крайней мере в исе такие ньансы возникали. правда все они счастливо разрешались гуглением.

Share this post


Link to post
Share on other sites

У меня на исе 2006 иногда повреждался кеш (может из за ребутов по питанию, хз), и некоторые сайты переставали нормально работать. Видимо был повреждён закешированный на долго контент, который всё ломал.

Прозрачный сквид таких проблем никогда не создавал, после правильной настройки кеширования.

Share this post


Link to post
Share on other sites

поставил форофронт. поставил 2 сетевухи. правила работают всё ограничивает. Но добавляю пользователей в исключения из AD а всё равно не пускает, в логах пишет пользователь анонимус... естественно не каких форофронт клиент я не ставлю. подскажите куда копнуть. почему форофронт не видит пользователя?

Share this post


Link to post
Share on other sites

откуда взялась аутентификация? в первом посте была ж прозрачность для юзеров?

если аутентификация на исе, то прикладной прокси (нужно настраивать в браузере) или клиент брандмауэра.

если прикладной прокси, то ставить сервер в разрыв не нужно.

Share this post


Link to post
Share on other sites

получается следующее создаю правила блокировки ненужных сайтов для всех.

а избранных через проксю(или клиента)(или правило для ip адреса)...по другому не как... всё я верно понял?

Share this post


Link to post
Share on other sites

лучше через клиента или по айпи, т.к. випам прокся может не понравиться.

Share this post


Link to post
Share on other sites

Фишка форефонта(исы) в её клиенте, а польза только когда всё (большинство) в домене, иначе сплошной вред и бред будет. (пускать по IP можно, но тогда и фаерфонт как таковой не нужен)

Можно ещё впад через дхцп раздать (в самой исе есть автонастройка браузера), но работает только с ИЕ где стоит галочка автонастройка, тогда браузер будет ходить через проксю сам, и авторизовывать текущего юзера, опять же в домене.

Share this post


Link to post
Share on other sites

пускать по IP можно, но тогда и фаерфонт как таковой не нужен

 

там фильтрация на уровне прикладных протоколов, не то что бы выдающаяся, но легко настраиваемая и неплохо отрабатывает.

плюс межсетевой экран тоже простой. плюс статистика какая-никакая. плюс публикация ресурсов локалки в веб.

те железки, что у тс контентную фильтрацию не умеют на таком уровне делать.

Edited by 7net7

Share this post


Link to post
Share on other sites

Вы оба пришли сюда рекламировать эту хрень?

 

 

Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями.

Фаервол там неудобный, и не понятный, в сравнении с любым штатным под фрёй/линухом, настраиваемым из текстового редактора.

Считает трафик эта хрень только на L4, кое как, отчёты ппц - ничерта не понятно, сторонние генерилки/анализаторы стоят денег и глючные.

 

Единственная фишка - фаервол клиент, который позволяет на терминальном сервере разделить трафик пользователей, и позволяет идентифицировать приложение, ну ещё до кучи умеет прозрачно пробрасывать порты с сервера на клиента, аналог UPnP.

 

Ещё, в иса 2004-2006 был очень "приятный" глюк: когда она сама поднимает ппп соединение для выхода в инет. Если такое соединение падает, то эта хрень все пакеты ставит в очередь, и подключится удалённо к такому серверу уже нельзя. Если было соединение, то оно работает. После восстановления подключения она эти все пакеты из очереди начинает обрабатывать, в результате инет простояв час в отключке ещё минут 10-30 будет в таком же состоянии, пока сервер там чего то внутри разгребает.

Про то как иногда повреждается веб кеш я рассказывал, каждый раз когда это случалось некоторые сайты странно "работали" и каждый раз найти источник проблемы было не просто.

 

Вдоволь наевшись этой куеты за несколько лет (2005-2008), я больше не хочу с ней связываться, даже если её бесплатно будут раздавать в месте с винсервером и другим не советую: эти мелкие плюшки не стоят таких денег (ххК.руб железо + 30К.руб сервер + ххК.руб форефонт) и такой головной боли.

 

Поставил на шлюз фрю/линук и забыл о проблемах. А уж сетевых плюшек там просто тьма, и бесплатно.

Даже мыльницы длинка (для бизнеса, не для дома) куда без проблемнее и функциональнее, тот же дфл.

Share this post


Link to post
Share on other sites

Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями.

 

для ТС: можно попробовать squid вместо майкрософта, он должен поддерживать wccp

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this