vadimbn

В 3proxy я таких опций не нашел. Возможно в squid есть Mаршрутизируемый адрес нужен. Наиболее простой путь - делаем VPN-соединение, ставим при этом галочку "Использовать для выхода в Интернет", появляется еще одно соединение. Тогда адрес этого соединения можно указывать в 3proxy. Сложнее - надо будет мутить с маршрутами или iptables.

А безопаснее вот так (нет соединений на внешних интерфейсах): daemon pidfile /opt/var/run/3proxy.pid nscache 65536 nserver 127.0.0.1 config /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/counters monitor /opt/etc/3proxy/passwd monitor /opt/etc/3proxy/bandlimiters log /opt/var/log/3proxy.log D rotate 60 counter /opt/etc/3proxy/3proxy.3cf #users $/opt/etc/3proxy/passwd include /opt/etc/3proxy/counters include /opt/etc/3proxy/bandlimiters auth none allow * proxy -d -iLOCAL.IP.ADDRESS -pPORT_HTTP_HTTPS_FTP -eEXTERNAL.IP.ADDRESS -n socks -d -iLOCAL.IP.ADDRESS -pPORT_SOCKS -eEXTERNAL.IP.ADDRESS flush allow admin admin -iLOCAL.IP.ADDRESS -pPORT_ADMIN LOCAL.IP.ADDRESS - локальный IP-адрес роутера (например, 192.168.1.1) EXTERNAL.IP.ADDRESS - реальный IP-адрес WAN-интерфейса PORT_HTTP_HTTPS_FTP - порт для проксирования протоколов HTTP, HTTPS, FTP, не занятый другими протоколами (например, 5080) PORT_SOCKS - порт для проксирования SOCKS 4/5, не занятый другими протоколами (например, 5081) PORT_ADMIN - порт страницы администрирования прокси-сервера, на которой, впрочем, нет почти ничего интересного. Это простейший конфиг, в 3proxy много опций для запретов/разрешений, можно ограничивать доступ с некоторых IP, и прочее.

Он всегда активен. Просто через него не проходит маршрут по умолчанию. А проксировать пакеты на него используя 3proxy можно. Желательно купить услугу "белый IP" для обоих WAN. Вот рабочий конфиг 3proxy daemon pidfile /opt/var/run/3proxy.pid nscache 65536 nserver 127.0.0.1 config /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/3proxy.cfg monitor /opt/etc/3proxy/counters monitor /opt/etc/3proxy/passwd monitor /opt/etc/3proxy/bandlimiters log /opt/var/log/3proxy.log D rotate 60 counter /opt/etc/3proxy/3proxy.3cf #users $/opt/etc/3proxy/passwd include /opt/etc/3proxy/counters include /opt/etc/3proxy/bandlimiters auth strong deny * * 127.0.0.1 allow * proxy -n auth none allow * proxy -d -iLOCAL.IP.ADDRESS -p5080 -eEXTERNAL.IP.ADDRESS -n socks -d -iLOCAL.IP.ADDRESS -p5081 -eEXTERNAL.IP.ADDRESS flush allow admin admin -p8080

Squid, 3proxy из Entware. Второй лучше, легкий, проще настраивается.

Реально. На внешнем сервере - хоть по каждому клиенту в сети. Инструменты для этого есть - сенсор NetFlow, сервер SNMP.

Ну тогда попробуйте вместо GigabitEthernet0/Vlan1010 вбить Bridge1010 interface Bridge1010 mac address YOUR:OLD:MAC exit system configuration save

Если у вас это GigabitEthernet0/Vlan1010, то именно его и надо настраивать. interface GigabitEthernet0/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save

А что там может ограничивать-то? Конечно, вы можете менять любые настройки сколько угодно раз.

Командами interface GigabitEthernet1/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save

Да, интерфейс есть, поднят, но подключения нет. Как вариант - идет проверка сетевого оборудования по MAC-адресу. Решить эту проблему можно двумя путями, первый - прописать этому VLAN-интерфейсу MAC-адрес старого роутера, второй - позвонить провайдеру и попросить перерегистрировать MAC.

Судя по этому - да. Зайдите в CLI (используя Telnet) и посмотрите свойства интерфейса, в котором есть сочетание букв и цифр Vlan1010 (обычно он называется GigabitEthernet0/Vlan1010), командой show interface GigabitEthernet0/Vlan1010

Конфигурируя отдельный VLAN, Вы создали новый сетевой интерфейс. Его надо настраивать отдельно. Вам выдали данные соединения в этом VLAN? IP-адрес интерфейса, шлюз, серверы имен?

up

Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.

Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.