2 канала в интернет и прокси.

classic Classic list List threaded Threaded
29 messages Options
12
Reply | Threaded
Open this post in threaded view
|

2 канала в интернет и прокси.

shax_muzzz@rambler.ru
Здравствуйте.

Опишу вкратце ситуацию: Есть машинка с OpenBSD 4.2 на борту, выполняющая
роль шлюза. К ней прицеплены два внешних канала и соответственно
локальная сетка. Нужно рулить юзерами - одних в один канал, других в
другой. Но.., помимо всего прочего, необходим также контроль над
определёнными видами проходящего трафика (разного рода фильтрация). С
этой целью на OpenBSD подняты прокси серверы. Вот тут-то и проблема:
никак не могу придумать как можно раскидывать по каналам трафик идущий с
проксей в соостветствии с  юзерами, создающими этот трафик. На данный
момент одна группа юзеров ходит через прокси и шлюз по-умолчанию, а
вторая правилом pf route-to заворачивается в обход проксей во второй канал.

Была идея  метить  приходящие из локальной сети пакеты (наподобии
линуксового connmark), а потом на выходе из pf, в зависимости от метки,
рулить, но все поиски в данном направлении ни к чему даже отдалённо
похожему не привели. Подскажите пожалуйста, если кто знает, возможно ли
это, пускай даже теоритически (например модификацией какого-либо поля в
пакете - тот же ToS к примеру) решить такую задачу.

Спасибо.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

irix
Hello shax,

Упрости схему.

Monday, February 25, 2008, 11:43:09 AM, you wrote:

srr> Здравствуйте.

srr> Опишу вкратце ситуацию: Есть машинка с OpenBSD 4.2 на борту, выполняющая
srr> роль шлюза. К ней прицеплены два внешних канала и соответственно
srr> локальная сетка. Нужно рулить юзерами - одних в один канал, других в
srr> другой. Но.., помимо всего прочего, необходим также контроль над
srr> определёнными видами проходящего трафика (разного рода фильтрация). С
srr> этой целью на OpenBSD подняты прокси серверы. Вот тут-то и проблема:
srr> никак не могу придумать как можно раскидывать по каналам трафик идущий с
srr> проксей в соостветствии с  юзерами, создающими этот трафик. На данный
srr> момент одна группа юзеров ходит через прокси и шлюз по-умолчанию, а
srr> вторая правилом pf route-to заворачивается в обход проксей во второй канал.

srr> Была идея  метить  приходящие из локальной сети пакеты (наподобии
srr> линуксового connmark), а потом на выходе из pf, в зависимости от метки,
srr> рулить, но все поиски в данном направлении ни к чему даже отдалённо
srr> похожему не привели. Подскажите пожалуйста, если кто знает, возможно ли
srr> это, пускай даже теоритически (например модификацией какого-либо поля в
srr> пакете - тот же ToS к примеру) решить такую задачу.

srr> Спасибо.






--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
То есть с текущим инструментарием OpenBSD это невозможно реализовать?
Или я вообще велосипед изобретаю?

irix пишет:
> Hello shax,
>
> Упрости схему.
>
>  
Спасибо Вам за ответ.


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
Hello shax,
Ты сам наверно де догнал что написал. Упрости схему. И всё поймёшь. Я
приблизительно понял чего ты хочешь, но самое главное что-бы ты сам
это понял :) Всё что ты написал, всё реализуемо.



Monday, February 25, 2008, 12:51:24 PM, you wrote:

srr> То есть с текущим инструментарием OpenBSD это невозможно реализовать?
srr> Или я вообще велосипед изобретаю?

srr> irix пишет:
>> Hello shax,
>>
>> Упрости схему.
>>
>>  
srr> Спасибо Вам за ответ.






--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
irix пишет:
> ... но самое главное что-бы ты сам
> это понял :)
>  
откровенно сказать возможно в этом то и был первоначальный вопрос....
понять пытаюсь давно :)... но пока безуспешно к сожалению.

предлагаю разобрать ситуацию более детально.

Допустим:

есть Вася, у Васи есть компьютер в локальной сети с адресом 192.168.0.100.
Вася хочет залезть на ya.ru.
Мне Васю надо направить в канал #1 (он же маршрут по-умолчанию).
Его http-запрос приходит на LAN-интерфейс шлюза. Прокси на шлюзе для
Васи прозрачен, поэтому далее правилами pf для LAN-интерфейса этот
запрос заворачивается на локальный интерфейс, на котором слушает squid
(т.е. на 127.0.0.1:8080).  Сквид записывает адрес Васи, делает свои
манипуляции над Васиным запросом, и пересылает запрос непосредственно
адресату (т.е. ya.ru). Перед отправкой этот запрос снова попадает в pf и
проходит набор правил уже для внешних интерфесов, но в запросе в
качестве отправителя вместо Васиного адреса стоит адрес сквида (в моём
случае тот, что прописан в defaultroute). То есть Вася пошёл туда куда
ему и следовало идти - по каналу #1.

далее...
есть в тойже сети Маша. Адрес у Машиного компьютера 192.168.0.200.
хочет она тоже посетить ya.ru, но мне Машу надо направить по каналу #2
(по объективным причинам :).
Снова запрос приходит на LAN-интерфейс шлюза, pf его заворачивает на
сквид и т.д.  И вот перед отправкой  выясняется, что этот запрос снова
будет отправлен через defaultroute. И даже если бы я хотел его отправить
через второй канал, то непосредственно перед отправкой, когда запрос
проходит набор правил для внешних интерфейсов, нет никакой возможности
отличить Васю от Маши, т.к. у обоих адрес отправителя одинаков :)

Извиняюсь за дотошность... но примерно так оно и выглядит. Если есть
какойто способ отделить одного от другого, поделитесь пожалуйста. (я
честно говоря не вижу как можно упростить схему, потому и задал вопрос).

Спасибо.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

Igor Grabin
On Mon, Feb 25, 2008 at 11:01:43PM +1000, [hidden email] wrote:

> есть Вася, у Васи есть компьютер в локальной сети с адресом 192.168.0.100.
> Вася хочет залезть на ya.ru.
> Мне Васю надо направить в канал #1 (он же маршрут по-умолчанию).
> Его http-запрос приходит на LAN-интерфейс шлюза. Прокси на шлюзе для
> Васи прозрачен, поэтому далее правилами pf для LAN-интерфейса этот
> запрос заворачивается на локальный интерфейс, на котором слушает squid
> (т.е. на 127.0.0.1:8080).  Сквид записывает адрес Васи, делает свои
> манипуляции над Васиным запросом, и пересылает запрос непосредственно
> адресату (т.е. ya.ru). Перед отправкой этот запрос снова попадает в pf и
> проходит набор правил уже для внешних интерфесов, но в запросе в
> качестве отправителя вместо Васиного адреса стоит адрес сквида (в моём
> случае тот, что прописан в defaultroute). То есть Вася пошёл туда куда
> ему и следовало идти - по каналу #1.

ингридиенты для решения:
1. acl в сквидяре, в котором ловятся юзера, выпадающие из дефолта.
acl nondefault_users src 192.168.1.13
acl nondefault_users src 192.168.1.29

2. tcp_outgoing_address второй_канал nondefault_users

3. pf.conf:
pass out on $primary_dev route-to ($secondary_dev $secondary_gw) from
$secondary_if to any keep state

бодяжить по вкусу.
--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
In reply to this post by shax_muzzz@rambler.ru
Hello shax,

Я, уже говорил упрости схему.
Например: "А зачем нам вообще лишняя деталь squid ?".


Monday, February 25, 2008, 3:01:43 PM, you wrote:

srr> irix пишет:
>> ... но самое главное что-бы ты сам
>> это понял :)
>>  
srr> откровенно сказать возможно в этом то и был первоначальный вопрос....
srr> понять пытаюсь давно :)... но пока безуспешно к сожалению.

srr> предлагаю разобрать ситуацию более детально.

srr> Допустим:

srr> есть Вася, у Васи есть компьютер в локальной сети с адресом 192.168.0.100.
srr> Вася хочет залезть на ya.ru.
srr> Мне Васю надо направить в канал #1 (он же маршрут по-умолчанию).
srr> Его http-запрос приходит на LAN-интерфейс шлюза. Прокси на шлюзе для
srr> Васи прозрачен, поэтому далее правилами pf для LAN-интерфейса этот
srr> запрос заворачивается на локальный интерфейс, на котором слушает squid
srr> (т.е. на 127.0.0.1:8080).  Сквид записывает адрес Васи, делает свои
srr> манипуляции над Васиным запросом, и пересылает запрос непосредственно
srr> адресату (т.е. ya.ru). Перед отправкой этот запрос снова попадает в pf и
srr> проходит набор правил уже для внешних интерфесов, но в запросе в
srr> качестве отправителя вместо Васиного адреса стоит адрес сквида (в моём
srr> случае тот, что прописан в defaultroute). То есть Вася пошёл туда куда
srr> ему и следовало идти - по каналу #1.

srr> далее...
srr> есть в тойже сети Маша. Адрес у Машиного компьютера 192.168.0.200.
srr> хочет она тоже посетить ya.ru, но мне Машу надо направить по каналу #2
srr> (по объективным причинам :).
srr> Снова запрос приходит на LAN-интерфейс шлюза, pf его заворачивает на
srr> сквид и т.д.  И вот перед отправкой  выясняется, что этот запрос снова
srr> будет отправлен через defaultroute. И даже если бы я хотел его отправить
srr> через второй канал, то непосредственно перед отправкой, когда запрос
srr> проходит набор правил для внешних интерфейсов, нет никакой возможности
srr> отличить Васю от Маши, т.к. у обоих адрес отправителя одинаков :)

srr> Извиняюсь за дотошность... но примерно так оно и выглядит. Если есть
srr> какойто способ отделить одного от другого, поделитесь пожалуйста. (я
srr> честно говоря не вижу как можно упростить схему, потому и задал вопрос).

srr> Спасибо.






--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

Igor Grabin
On Mon, Feb 25, 2008 at 03:21:11PM +0200, irix wrote:
> Я, уже говорил упрости схему.
> Например: "А зачем нам вообще лишняя деталь squid ?".
можно и так, но если у дяди между клиентами и окружающим миром не
торчит хоть что-нибудь, то есть у клиентов есть nat на всё - ой не
завидую я такому дяде.

никакой профессор кашпировский не спасёт.
:-)

--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
Igor Grabin пишет:
> On Mon, Feb 25, 2008 at 03:21:11PM +0200, irix wrote:
>  
>> Я, уже говорил упрости схему.
>> Например: "А зачем нам вообще лишняя деталь squid ?".
>>    
Ох... даже не знаю... наверное придёться признаться...
Свид был взят только для примера про Васю с Машей. На самом деле проксей
на гейте штук пять под разный трафик (спросите зачем - люблю всё
контролировать). Вот и получается, что сквид то умеет, но как быть с
остальными проксями... Да и лазить по разным конфигам при необходимости
переключения юзера с одного канала на другой тоже не есть гут. Я почему
и завёл разговор про метки на пакеты... по моему разумению с ними всё
получилось бы гораздо элегантнее... Вопрос по прежнему открыт.

Спасибо за мнение.


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
Hello shax,
Так что ты хочешь от нас ?
Если всё от нас скрываешь и после этого просишь нам рассказать как
ответить на вопрос который ты даже не удасужился сформулировать, "пойди туда не знаю
куда, расскажи то не знаю что" ???.

Monday, February 25, 2008, 3:43:53 PM, you wrote:

srr> Igor Grabin пишет:
>> On Mon, Feb 25, 2008 at 03:21:11PM +0200, irix wrote:
>>  
>>> Я, уже говорил упрости схему.
>>> Например: "А зачем нам вообще лишняя деталь squid ?".
>>>    
srr> Ох... даже не знаю... наверное придёться признаться...
srr> Свид был взят только для примера про Васю с Машей. На самом деле проксей
srr> на гейте штук пять под разный трафик (спросите зачем - люблю всё
srr> контролировать). Вот и получается, что сквид то умеет, но как быть с
srr> остальными проксями... Да и лазить по разным конфигам при необходимости
srr> переключения юзера с одного канала на другой тоже не есть гут. Я почему
srr> и завёл разговор про метки на пакеты... по моему разумению с ними всё
srr> получилось бы гораздо элегантнее... Вопрос по прежнему открыт.

srr> Спасибо за мнение.






--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
In reply to this post by shax_muzzz@rambler.ru
Hello shax,

Чего ты хочешь ?




--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
In reply to this post by irix
irix пишет:
> Hello shax,
> Так что ты хочешь от нас ?
> Если всё от нас скрываешь и после этого просишь нам рассказать как
> ответить на вопрос который ты даже не удасужился сформулировать, "пойди туда не знаю
> куда, расскажи то не знаю что" ???.
>
>  
Да ничего я не скрываю. Извиняюсь если сложилось такое впечатление.
Я просто хотел абстрагироваться от конкретики. В конце концов не важно
какой именно прокси сервер будет использоваться в том или ином случае.
Есть такая сборка www.comixwall.org
Речь о ней. Проксей там придостаточно, но расчитана она на один внешний
канал.  Я же пытаюсь адаптировать её под два.
А нужно мне чтобы одна группа клиентов ходила через один канал, а другая
через второй, но при этом чтобы всё они отмечались на этих самых проксях.

Спасибо.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

Pavel Labushev
In reply to this post by shax_muzzz@rambler.ru
[hidden email] пишет:

> Здравствуйте.
>
> Опишу вкратце ситуацию: Есть машинка с OpenBSD 4.2 на борту, выполняющая
> роль шлюза. К ней прицеплены два внешних канала и соответственно
> локальная сетка. Нужно рулить юзерами - одних в один канал, других в
> другой. Но.., помимо всего прочего, необходим также контроль над
> определёнными видами проходящего трафика (разного рода фильтрация). С
> этой целью на OpenBSD подняты прокси серверы. Вот тут-то и проблема:
> никак не могу придумать как можно раскидывать по каналам трафик идущий с
> проксей в соостветствии с  юзерами, создающими этот трафик. На данный
> момент одна группа юзеров ходит через прокси и шлюз по-умолчанию, а
> вторая правилом pf route-to заворачивается в обход проксей во второй канал.

1. Запускаете в системе два одинаковых набора проксей на каждую из двух
групп пользователей. Каждая прокся (процесс) должна работать с правами
уникального юзера.
2. С помощью PF заворачиваете трафик каждой группы пользователей на
соответствующую группу проксей.
3. На выходе с помощью PF распределяете трафик по каналам по признаку
уникального юзера каждой прокси. PF это умеет.

Кроме того, как уже сказали, тот же squid сам умеет работать с разных
внешних адресов, в зависимости от клиентского адреса и прочих acl-ов.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
Pavel Labushev пишет:

>
> 1. Запускаете в системе два одинаковых набора проксей на каждую из
> двух групп пользователей. Каждая прокся (процесс) должна работать с
> правами уникального юзера.
> 2. С помощью PF заворачиваете трафик каждой группы пользователей на
> соответствующую группу проксей.
> 3. На выходе с помощью PF распределяете трафик по каналам по признаку
> уникального юзера каждой прокси. PF это умеет.
>
> Кроме того, как уже сказали, тот же squid сам умеет работать с разных
> внешних адресов, в зависимости от клиентского адреса и прочих acl-ов.
>
>

Спасибо Вам Павел. У меня тоже была такая мысль, но я не был уверен, что
так делать грамотно,  да и железка может всё это добро не вывезти.
Если это единственный вариант, тогда буду смотреть именно в эту сторону.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

Igor Grabin
In reply to this post by shax_muzzz@rambler.ru
On Mon, Feb 25, 2008 at 11:43:53PM +1000, [hidden email] wrote:

> Igor Grabin пишет:
> >On Mon, Feb 25, 2008 at 03:21:11PM +0200, irix wrote:
> >>Я, уже говорил упрости схему.
> >>Например: "А зачем нам вообще лишняя деталь squid ?".
> Ох... даже не знаю... наверное придёться признаться...
> Свид был взят только для примера про Васю с Машей. На самом деле проксей
> на гейте штук пять под разный трафик (спросите зачем - люблю всё
> контролировать). Вот и получается, что сквид то умеет, но как быть с
> остальными проксями... Да и лазить по разным конфигам при необходимости
> переключения юзера с одного канала на другой тоже не есть гут. Я почему
> и завёл разговор про метки на пакеты... по моему разумению с ними всё
> получилось бы гораздо элегантнее... Вопрос по прежнему открыт.
секундочку.

я процитировал те вещи, которые у меня решают в точности тот же
вопрос, который Вы описали.

http://mail.openbsd.ru/lists/openbsd/2008.02/0033.html

Вам хочется этот вопрос решить как-то иначе?

или нужны более развернутые примеры?

--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
Hello Igor,
Проблема сегоднешних специалистов, в том что они не ведают что творят
:)))

Monday, February 25, 2008, 6:26:11 PM, you wrote:

IG> On Mon, Feb 25, 2008 at 11:43:53PM +1000, [hidden email] wrote:

>> Igor Grabin пишет:
>> >On Mon, Feb 25, 2008 at 03:21:11PM +0200, irix wrote:
>> >>Я, уже говорил упрости схему.
>> >>Например: "А зачем нам вообще лишняя деталь squid ?".
>> Ох... даже не знаю... наверное придёться признаться...
>> Свид был взят только для примера про Васю с Машей. На самом деле проксей
>> на гейте штук пять под разный трафик (спросите зачем - люблю всё
>> контролировать). Вот и получается, что сквид то умеет, но как быть с
>> остальными проксями... Да и лазить по разным конфигам при необходимости
>> переключения юзера с одного канала на другой тоже не есть гут. Я почему
>> и завёл разговор про метки на пакеты... по моему разумению с ними всё
>> получилось бы гораздо элегантнее... Вопрос по прежнему открыт.
IG> секундочку.

IG> я процитировал те вещи, которые у меня решают в точности тот же
IG> вопрос, который Вы описали.

IG> http://mail.openbsd.ru/lists/openbsd/2008.02/0033.html

IG> Вам хочется этот вопрос решить как-то иначе?

IG> или нужны более развернутые примеры?




--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re[2]: 2 канала в интернет и прокси.

irix
In reply to this post by Pavel Labushev
Hello Pavel,

Зачем такой бутерброд городить ?

Monday, February 25, 2008, 6:07:52 PM, you wrote:

PL> [hidden email] пишет:

>> Здравствуйте.
>>
>> Опишу вкратце ситуацию: Есть машинка с OpenBSD 4.2 на борту, выполняющая
>> роль шлюза. К ней прицеплены два внешних канала и соответственно
>> локальная сетка. Нужно рулить юзерами - одних в один канал, других в
>> другой. Но.., помимо всего прочего, необходим также контроль над
>> определёнными видами проходящего трафика (разного рода фильтрация). С
>> этой целью на OpenBSD подняты прокси серверы. Вот тут-то и проблема:
>> никак не могу придумать как можно раскидывать по каналам трафик идущий с
>> проксей в соостветствии с  юзерами, создающими этот трафик. На данный
>> момент одна группа юзеров ходит через прокси и шлюз по-умолчанию, а
>> вторая правилом pf route-to заворачивается в обход проксей во второй канал.

PL> 1. Запускаете в системе два одинаковых набора проксей на каждую из двух
PL> групп пользователей. Каждая прокся (процесс) должна работать с правами
PL> уникального юзера.
PL> 2. С помощью PF заворачиваете трафик каждой группы пользователей на
PL> соответствующую группу проксей.
PL> 3. На выходе с помощью PF распределяете трафик по каналам по признаку
PL> уникального юзера каждой прокси. PF это умеет.

PL> Кроме того, как уже сказали, тот же squid сам умеет работать с разных
PL> внешних адресов, в зависимости от клиентского адреса и прочих acl-ов.






--
Best regards,
 irix                            mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
In reply to this post by Igor Grabin
Igor Grabin пишет:

> On Mon, Feb 25, 2008 at 11:43:53PM +1000, [hidden email] wrote:
>  
>> Igor Grabin пишет:
>>    
> секундочку.
>
> я процитировал те вещи, которые у меня решают в точности тот же
> вопрос, который Вы описали.
>
> http://mail.openbsd.ru/lists/openbsd/2008.02/0033.html
>  
Точно так.
> Вам хочется этот вопрос решить как-то иначе?
>
> или нужны более развернутые примеры?
>
>  
вопрос изначально звучал более маштабно: "как можно раскидывать по
каналам трафик идущий с
проксей в соостветствии с  юзерами, создающими этот трафик." Сквид - это
частный случай, я его привёл в пример чтобы понятнее было задачу.


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

shax_muzzz@rambler.ru
In reply to this post by irix
irix пишет:
> Hello shax,
>
> Я, уже говорил упрости схему.
> Например: "А зачем нам вообще лишняя деталь squid ?".
>
>  
Хотелось бы вернуться немного назад.
Убрав сквид, я буду вынужден рулить всем только средствами самого pf?
Но как тогда фильтровать трафик (например теже банеры резать)?


Reply | Threaded
Open this post in threaded view
|

Re: 2 канала в интернет и прокси.

Igor Grabin
In reply to this post by shax_muzzz@rambler.ru
On Tue, Feb 26, 2008 at 03:48:49AM +1000, [hidden email] wrote:
> >секундочку.
> >я процитировал те вещи, которые у меня решают в точности тот же
> >вопрос, который Вы описали.
> >http://mail.openbsd.ru/lists/openbsd/2008.02/0033.html
> Точно так.
> >Вам хочется этот вопрос решить как-то иначе?
> >или нужны более развернутые примеры?

> вопрос изначально звучал более маштабно: "как можно раскидывать по
> каналам трафик идущий с
> проксей в соостветствии с  юзерами, создающими этот трафик." Сквид - это
> частный случай, я его привёл в пример чтобы понятнее было задачу.

масштабный ответ:

в соответствии с юзерами выставляем исходящий ip'шник одного или
другого канала. средствами squid'а. или любой другой прокси.

после чего средствами pf'а удостовериваемся, что реальный трафик ездит
в обе стороны соответственно выставленным ip'шникам.

полуоффтоп - если в точке сливания запроса из серой сети в реальную не
происходит какой-нибудь маркировки - дальше можно уже не рыпаться.

второй полуоффтоп - чесслово, соболезную тем, кто будет пытаться это
натянуть на гирлянду из сквидов. наверное, можно. только сдуру можно и
енк сломать. сколько выстраивал сеть под сумасшедшие запросы
гуманитариев - удавалось вырулить в пределах одного сквида. да, не
вопрос, acl'и получались жуткие.

у меня это работает для squid'а и простого nat'а в пределах трёх
каналов.

хватит флудить, чесслово.
есть такое украинское слово - 'порожнiй'. по-русски читается как
'порожний', переводится как 'пустой'.
и есть народное - 'хватит переливать из пустого в порожнее'.

--
Igor "CacoDem0n" Grabin, http://violent.death.kiev.ua/


12