начали с суперлюмина ... кончили сквидом.
на третье: у меня от сквида впечатление, что у него совсем не здраво в работе с диском. BM с томами на TFS вот наш идеал скорости. SLN в этом плане шаг вперед (режет кеш разделы в своем формате (unknown partition type) и работает мимо OS и сам кеширует отьедая к что-то около 6,5гб из 8 на стенде).
на второе: viewtopic.php?f=2&t=11421&hilit=squidtrust
на первое: Цитата крейга
Since Nemesis static NAT is not a one-to-one IP address-to-IP address
mapping, but instead maps per port number, the address
conservation idea of a proxy doesn’t even apply.
Ну то есть в их понимании статик нат проброс порта а не IP<->IP (при этом входящий валит к нам на secondary ip, транслируются dest ip, dest port а исходящий уходит наружу не с secondary ip а с главного внешнего ip через динамический нат ). Как говорят производители - руками дергать iptables и вообще что-либо настраивать вручную противопоказано тк у SLN конфиг один в XLM виде настраиваемый через вебморду и он все настройки берет оттуда
(Сам видел - наконфигуряешь к примеру АПАЧЪ - /etc/apache2/listener.conf а он раз в сутки по шаблонам его восстанавливает - помогает правка шаблона правда но разрабы дружно говорят мол это "not-supported !!!!"). Разрабы говорят мол этоу нас тн Appliance и так было задумано. А на вопрос почему нельзя было сделать аналог STATIC нат как в БМ (блин SNAT зачем в iptables ?) ане ответили мол _мы используем как основу SuSE Firewall а он такого мол не позволяет_. Накой мне такой Suse Firewall ???? Накой мне такой СуперЛюмин ???
Четвертое: рассмотрим BM как мотор+колеса+кузов. То есть Прокси + VPN + Firewall.
Опустим VPN. Если прокси с прозрачной авторизацией это будет squid+squidtrust (правда с плайн-текст конфигами и без гуя - не пинать - все ходят в отпуска и их кто-то подменяет). То файрволл это пусть будет fwbuilder (то есть chconfig SuSE_firewall2 off, fwbuilder on) без отговорок что мол у нас апплайнс и никак по другому ничего не завернуть.