Inet-Admins mailing list archive (inet-admins@info.east.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[inet-admins] transparent proxy
Hi!
ier> Voobshemto takaya shema rabotaet uje kak god :) (ne.. ne tot kotoryi
ier> upthere:) Basil mojet podtverdit ;)
Так цель моего документа - просто задокументировать это. А то поиск в
FAQ/dejanews/altavista/rambler/UGU/доках на ipfilter не дал _ничего_
работоспособного. Задокументировали бы и положили в "отстойник" - о чем
собственно я речь и веду.
ier> Iz opasnyh grablei kotorye hotelos by obsudit - MTU path discovery pri
ier> dannoi sheme.
Так тут более-менее понятно что делать. Заворачивать icmp 'packet too big'
на ту же машину, где работает proxy, скармливать их там программе, которая
будет делать NAT lookup и соответственно принимать во внимание или отсылать
дальше по роутингу (если через ту же Cisco, то нужно тогда подменять source
addr у этого icmp на fake и для fake-адресов не делать policy routing).
Эта схема опробована и работает в RadioMSU, правда там на основе natd.
Соответственно, конкрентных вариантов решения видится два - либо делать на базе
natd (и тогда оставаться в рамках Free/Net/OpenBSD), либо ковырять ipfilter
на предмет нужного фильтрования. Пока меня не припекло (а у меня везде MTU
1500) я этим если и буду заниматься, то очень лениво.
С уважением,Alex Tutubalin
--- GoldED 2.42.G1114+
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
|
