Перейти к содержимому
Калькуляторы

Перенаправление трафика cisco

есть схема сети

Пользователь ---> Cisco 2960 ---> Cisco 3750x ---> Cisco 2851---> Inet

Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

инфы в нете маловато про wccp и forefront...

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты

 

поставить перед маршрутизатором компьютер с прокси и двумя сетевухами.

на одну поцепить локалку и поставить тот ip, что был на 2851

а вторую соединить с маршрутизатором какой-нибудь левой подсетью.

если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно,

то никто ничего и не заметит.

 

в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть прокся MS Forefront, как сделать заворот трафика чтоб пользователи это не заметили (нужен именно 80 порт)?

Форефонт, бывший иса, сам прекрасно умеет прозрачно заворачивать 80 и другие порты (по желанию) на свой веб кеш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и не одного примера настройки forefront с кощкой я не встретил... а без wccp есть варианты

 

поставить перед маршрутизатором компьютер с прокси и двумя сетевухами.

на одну поцепить локалку и поставить тот ip, что был на 2851

а вторую соединить с маршрутизатором какой-нибудь левой подсетью.

если настроить правила на прокси, так чтобы весь трафик кроме http пропускался свободно,

то никто ничего и не заметит.

 

в принципе можно сервер и с одной сетевой картой, но настроить будет чуть веселее.

 

вставил вторую сетевуху, щас буду колдовать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вставил вторую сетевуху, щас буду колдовать

 

будьте готовы к тому, что за тотальный контроль над веб-контентом придется иметь некоторые проблемы с трафиком (ftp, https на нестандартных портах и еще что-то, не помню).

по крайней мере в исе такие ньансы возникали. правда все они счастливо разрешались гуглением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня на исе 2006 иногда повреждался кеш (может из за ребутов по питанию, хз), и некоторые сайты переставали нормально работать. Видимо был повреждён закешированный на долго контент, который всё ломал.

Прозрачный сквид таких проблем никогда не создавал, после правильной настройки кеширования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставил форофронт. поставил 2 сетевухи. правила работают всё ограничивает. Но добавляю пользователей в исключения из AD а всё равно не пускает, в логах пишет пользователь анонимус... естественно не каких форофронт клиент я не ставлю. подскажите куда копнуть. почему форофронт не видит пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

откуда взялась аутентификация? в первом посте была ж прозрачность для юзеров?

если аутентификация на исе, то прикладной прокси (нужно настраивать в браузере) или клиент брандмауэра.

если прикладной прокси, то ставить сервер в разрыв не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

получается следующее создаю правила блокировки ненужных сайтов для всех.

а избранных через проксю(или клиента)(или правило для ip адреса)...по другому не как... всё я верно понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше через клиента или по айпи, т.к. випам прокся может не понравиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фишка форефонта(исы) в её клиенте, а польза только когда всё (большинство) в домене, иначе сплошной вред и бред будет. (пускать по IP можно, но тогда и фаерфонт как таковой не нужен)

Можно ещё впад через дхцп раздать (в самой исе есть автонастройка браузера), но работает только с ИЕ где стоит галочка автонастройка, тогда браузер будет ходить через проксю сам, и авторизовывать текущего юзера, опять же в домене.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пускать по IP можно, но тогда и фаерфонт как таковой не нужен

 

там фильтрация на уровне прикладных протоколов, не то что бы выдающаяся, но легко настраиваемая и неплохо отрабатывает.

плюс межсетевой экран тоже простой. плюс статистика какая-никакая. плюс публикация ресурсов локалки в веб.

те железки, что у тс контентную фильтрацию не умеют на таком уровне делать.

Изменено пользователем 7net7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы оба пришли сюда рекламировать эту хрень?

 

 

Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями.

Фаервол там неудобный, и не понятный, в сравнении с любым штатным под фрёй/линухом, настраиваемым из текстового редактора.

Считает трафик эта хрень только на L4, кое как, отчёты ппц - ничерта не понятно, сторонние генерилки/анализаторы стоят денег и глючные.

 

Единственная фишка - фаервол клиент, который позволяет на терминальном сервере разделить трафик пользователей, и позволяет идентифицировать приложение, ну ещё до кучи умеет прозрачно пробрасывать порты с сервера на клиента, аналог UPnP.

 

Ещё, в иса 2004-2006 был очень "приятный" глюк: когда она сама поднимает ппп соединение для выхода в инет. Если такое соединение падает, то эта хрень все пакеты ставит в очередь, и подключится удалённо к такому серверу уже нельзя. Если было соединение, то оно работает. После восстановления подключения она эти все пакеты из очереди начинает обрабатывать, в результате инет простояв час в отключке ещё минут 10-30 будет в таком же состоянии, пока сервер там чего то внутри разгребает.

Про то как иногда повреждается веб кеш я рассказывал, каждый раз когда это случалось некоторые сайты странно "работали" и каждый раз найти источник проблемы было не просто.

 

Вдоволь наевшись этой куеты за несколько лет (2005-2008), я больше не хочу с ней связываться, даже если её бесплатно будут раздавать в месте с винсервером и другим не советую: эти мелкие плюшки не стоят таких денег (ххК.руб железо + 30К.руб сервер + ххК.руб форефонт) и такой головной боли.

 

Поставил на шлюз фрю/линук и забыл о проблемах. А уж сетевых плюшек там просто тьма, и бесплатно.

Даже мыльницы длинка (для бизнеса, не для дома) куда без проблемнее и функциональнее, тот же дфл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Контентная фильтрация нафик не нужна, как правило, а если нужно, то обычно для хттп, это умеет сквид и ещё с десяток других софтин, вполне бесплатных, с широкими возможностями.

 

для ТС: можно попробовать squid вместо майкрософта, он должен поддерживать wccp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.