Border: Nat + Proxy = вопрос

[Танин Виктор]

Добрый день. Имеем BM3.8SP5 на Natware 6.5SP6

На сервере используетя прокси и нат в смешанном режиме.

В сервере 2 сетевых платы, на внешнем интерфейсе нексколько внешних адресов.

Необходимо, чтобы прокси сервис использовал один внешний адрес, а динамический нат другой (или несколько других).

Подскажите, возможно ли так настроить?

[Мещеряков Андрей]

Суть вопроса непонятна. Зачем динамический нат, если есть прокси, делающий то же самое, только больше А настроить его на использование... Объявляете адреса прокси public или both, радуемся. А в привязке адреса для нат включаем собственно нат.. Хотя нафига? И смотрим, не выключена ли маршрутизация между внутренними и внешними адресами...

[Танин Виктор]

Через прокси не всё можно выпустить наружу, увы. Разные банк-кдиенты просто не умеют работать с прокси.
Зачем собственно надо - увидеть, сколько трафика съел прокси, а сколько нат. Если прокси и натирование снаружи выглядят как один адрес, то желаемого не добиться

[Мещеряков Андрей]

А им и не надо с прокси наботать. В свое время Аркадий Глазырин описал как пробросить через прокси pop3 и smtp трафик, сейчас работает ssh... И все без нат!

[Alex-M]

Во первых, как уже было сказано, можно реализовать проброс нужных портов, не используя НАТ (а используя GenTCP/GenUDP прокси). Единственная проблема в дженерике - если софт использует динамически выбираемые в процессе работы порты.
Во вторых, НАТ в динамическом и смешанном режиме (точнее его динамическая часть) ВСЕГДА работает через примари адрес соотв. адаптера. Для чисто статик-НАТа такой проблемы нет - его можно повесить на любой адрес. Соответственно, если без дин. НАТа совсем никак - вешаем его на примари адрес, а прокси - на секондари адрес/адреса (это делается в настройках соотв. прокси), и вуаля!

[Танин Виктор]

2 Мещеряков Андрей.
Не так даавно сам пускал для работы ssh через прокси, однако не все приложения можно выпустить с Generic TCP/UDP. Часть идёт на жёстко прописанные в них адреса (ужас программирования). Поэтому используем нат.

2 Alex-M. Спасибо за объяснения. Повесить прокси на секондари адрес как-то и не догадался

[Танин Виктор]

Повесить прокси на secondary адрес не получилось:(
В BM setup - ip addresses стоит внутренний - private, внешний (secondary) - public
Однако прокси цепляется за primary внешний адрес.
Может что-то ещё подкрутить надо?

[Владимир Горяев]

в нвадмине поставь две галки на нужный адрес - паблик и приват. Еще в brdcfg можно both указать на ифейс.

[Alex-M]

Танин Виктор
Не могёт такого быть... Всё должно работать. У меня на паблик привинчено штук пять секондари адресов и никаких проблем с рассадкой проксей и НАТа нету.
Поподробнее - какой именно прокси, какие адреса с какой маской (можно в виде a.b.c.d) на обеих интерфейсах, какие секондари адреса и где (что говорит display secondary ipaddress), как настроены адреса в нвадмине и т.п.
Заодно и тип интерфейса, указываемый в Filtcfg (Prv/Pub) для каждого интерфейса указать можно. Хотя я лично ни разу не видел, чтобы этот параметр хоть на что-то влиял (в отличие от того же параметра в нвадмине).

Кстати, если имеется ввиду строка "TCP/IP Addresses Bound On This Server" на экране NBM Proxy Cache Server - то это фигня, он показывает _примари_ адреса, т.е. для физисських интерфейсов. Надо смотреть чуть ниже - туда, где говорится, например, "Generic TCP Forwarder at TCP/IP address A.B.C.D:XX".

[Владимир Горяев]

Заодно и тип интерфейса, указываемый в Filtcfg (Prv/Pub) для каждого интерфейса указать можно. Хотя я лично ни разу не видел, чтобы этот параметр хоть на что-то влиял (в отличие от того же параметра в нвадмине).

Наскока мне изменяет мой склероз, влияет на создание умолчательных фильтров в brdcfg.

[Танин Виктор]

Alex-M
http-proxy и ftp-proxy
адреса:
внутренний
172.20.0.21/19

внешние
10.10.10.20/24 - primary
10.10.10.21
10.10.10.22
10.10.10.23
10.10.10.24

На экране сервера:
HTTP Proxy at TCP/IP address 172.20.0.21:8080
FTP Proxy at TCP/IP address 172.20.0.21:21

В нвадмине 172.20.0.21 -private, 10.10.10.21 - public

поробую через brdcfg ещё

[Alex-M]

Владимир Горяев А, умолчательные - это да. Я просто их сразу прибиваю и пишу свои, так что как-то не обращал внимания...

Танин Виктор Всё верно - ХТТП и ФТП сидят на привате, на примари адресе. В нвадмине в адресах что указано - поподробнее? Внутренний/примари = приват + внешний/секондари = паблик? А внешний/примари как помечен? Попробуйте вообще убрать внешний/примари из списка адресов для прокси.
А в чём проблема конкретно? Не работает НАТ?

То, что я писал про НАТ и примари адрес относится только к тому интерфейсу, к которому привинчен НАТ - обычно это паблик, а не приват.

[Танин Виктор]

Alex-M
В нвадмине в настройках:

только
Внутренний/примари = приват + внешний/секондари = паблик

внешний/примари нет вообще в списках.

Проблема в том, что и HTTP-proxy, и динамический НАТ висят (и работают, с этим проблем нет) на внешнем/примари адресе. А хочется их разделить, например, чтобы ХТТП висел на внешнем/секондари 10.10.10.21, а НАТ на 10.10.10.20.

НАТ прикручен на внешний интерфейс. НАТ обыный, "прямой", т.е. мои клиенты изнутри сети ходят в инет через НАТ. И используют тот же внешний адрес, что и ХТТП. Не использовать НАТ не получается, а вот считать отдельно трафик ХТТП прокси и НАТа надо.

[Alex-M]

А! Тогда не знаю (пока не знаю), что предложить... Надо копать ТИДы, как отвинтить прокси от примари адреса.

[Dimerson]

Через прокси не всё можно выпустить наружу, увы. Разные банк-кдиенты просто не умеют работать с прокси.
Зачем собственно надо - увидеть, сколько трафика съел прокси, а сколько нат. Если прокси и натирование снаружи выглядят как один адрес, то желаемого не добиться

Человеческие клиент-банки (интернет-банки) умеют юзать проксю.
Нечеловечий софт заворачивается через генерик проксю или сокскап.