squid3 два провайдера

Ответить
Аватара пользователя
kresh resh
Сообщения: 2
Зарегистрирован: 28 фев 2017 07:23
Контактная информация:

squid3 два провайдера

Сообщение kresh resh »

Добрый день.
Имею

Код: Выделить всё

dc0 samba4.2, gw0 squid3.2, на debian8.4
На dc0 две группы пользователей.

Код: Выделить всё

FastInet@DOMAIN.COM 
RegularInet@DOMAIN.COM
На шлюзе два провайдера интернета

Код: Выделить всё

eth0 192.168.1.10
gateway 192.168.1.1# Dom.ru

eth1 192.168.0.10
gateway 192.168.0.1 #Rostelekom

eth2 192.168.50.10 #Lan
Конфиг squid

Код: Выделить всё

auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth  -s GSS_C_NO_NAME
auth_param negotiate children 100
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid3/basic_ldap_auth -b "dc=domain,dc=com" -R -D proxy_auth@domain.com -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
auth_param basic children 100
auth_param basic realm Squid Basic Auth
auth_param basic credentialsttl 2 hours

##fill squid acl with external data (checks if user %LOGIN is in suggested group
external_acl_type fastgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@DOMAIN.COM
external_acl_type slowgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g RegularInet@DOMAIN.COM


acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

acl AD_users proxy_auth REQUIRED

## ACL for users with speed inet access
acl AD_FastInet external fastgroup_krb

##ACL for users with regular inet access
acl AD_RegularInet external slowgroup_krb
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow AD_FastInet
http_access allow AD_RegularInet

http_access deny AD_users
http_access deny all
http_port 192.168.1.254:3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .
Как мне сделать так чтобы пользователи из группы

Код: Выделить всё

 FastInet@DOMAIN.COM Ходили через
eth0 192.168.1.10
gateway 192.168.1.1# Dom.ru
А пользователи

Код: Выделить всё

 RegularInet@DOMAIN.COM
eth1 192.168.0.10
gateway 192.168.0.1 #Rostelekom
Я создал две дополнительные таблицы маршрутизации

Код: Выделить всё

cat /etc/iproute2/rt_tables

101     Domru
102     Rostelekom
Дальше я затрудняюсь, что делать, создавать скрипт маршрутизации или метить трафик?, подскажите пожалуйста.....
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: squid3 два провайдера

Сообщение Алексей Максимов »

Здравствуйте.

Вы хотите отталкиваться от членства в доменных группах. А что будет, если получится так, что пользователь входит и в ту, и в другую группу?
Пользователи расположены в разных сетях? Может имеет смысл раскидывать подключения по WAN в зависимости от сети клиента?
Есть такая директива tcp_outgoing_address. Попробуйте поиграться с ней.

tcp_outgoing_address 192.168.1.10 <ACLClientsFromNetwork1>
tcp_outgoing_address 192.168.0.10 <ACLClientsFromNetwork2>
Аватара пользователя
kresh resh
Сообщения: 2
Зарегистрирован: 28 фев 2017 07:23
Контактная информация:

Re: squid3 два провайдера

Сообщение kresh resh »

Пользователь состоит только в одной группе, т.е. пользуется услугами одного провайдера.
Ответить

Вернуться в «Прокси-сервер Squid»