Доброго дня. Никак не могу понять как исправить (или как бороться)
Итак - внешний трафик приходит на 80 порт и редиректится на прокси 8080.
Прокси раскидывает дальше по правилам (web proxi access) на соответствующие сервера..
Заходя в статистику веб сервера - я вижу, что все входят с одного внешнего ип адреса (который и есть белый айпи микротика). Вот и как вести статистику посещений (или отправлять в стоп лист)
Получается, что при редиректе микротик убирает адрес отправителя запроса и ставит себя. Если натить трафик на собственный прокси - ситуация аналогичная.
Вот и вопрос - как сделать перенаправление входящих запросов на 80-й порт с сохранением адреса отправителя запроса.
Насколько я понял - нужно маркировать входящие\исходящие соединения и как то проводить через прокси.
Пока сделал так:
1. Маркируем соединения входящие на прокси 8080
2. Маркируем соединения исходящие на прокси 8080
3. и 4. Маркируем пакеты входящие\исходящие у которых маркировка пакетов из 1. и 2.
т.е. например: 1 и 2 п. маркировка transpert-proxy-connection у 3. и 4. будет маркировка transpert-proxy-packet
По идее - через прокси должны идти уникальные соединения.. Куда копать дальше ?
Что то интернет особо не распространяется на эту тему. Как только решу проблему - с меня фак про веб сервисы за микротиком.
прокси и транзит входящих адресов
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Какими правилами файерволла заворачиваете пакеты на прокси
посмотрите снниффером пакеты на прокси
посмотрите снниффером пакеты на прокси
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Gudini
- Сообщения: 36
- Зарегистрирован: 14 янв 2013, 14:43
На прокси стоит redirect с 80 порта интернета на 8080 порт.
Самое интересное, что mangle считает пакеты как полагается.
Маркировка простая:
Трафик на прокси попадает так :
Больше всего меня интересует - а есть ли ошибка в рассуждениях ? Может я просто не понимаю - что должно за этим следовать.
В общем - в первую очередь пытаюсь понять хождение трафика через устройство.
Вроде все просто:
Внешний трафик заворачиваем на прокси.
Маркируем соединения на и из прокси.
Маркируем пакеты внутри этих соединений.
Вполне вероятно, что причина кроется в непонимании смысла маркировать пакеты (я так понимаю, что такие пакеты ходят через прокси с не только по идентификаторам, но и с srs адресами)
Пока вопрос без решения.
Самое интересное, что mangle считает пакеты как полагается.
Маркировка простая:
Трафик на прокси попадает так :
Больше всего меня интересует - а есть ли ошибка в рассуждениях ? Может я просто не понимаю - что должно за этим следовать.
В общем - в первую очередь пытаюсь понять хождение трафика через устройство.
Вроде все просто:
Внешний трафик заворачиваем на прокси.
Маркируем соединения на и из прокси.
Маркируем пакеты внутри этих соединений.
Вполне вероятно, что причина кроется в непонимании смысла маркировать пакеты (я так понимаю, что такие пакеты ходят через прокси с не только по идентификаторам, но и с srs адресами)
Пока вопрос без решения.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
скорее всего у вас на правило mascarade стоит маскардинг в том числе в сторону прокси
вот прокси и получчает отмаскараденные пакеты
уберите маскардинг в сторону прокси
dst-adress=0.0.0.0/0
dst-adress-list=!PROXY
в адресс-лист PROXY пишем ип от прокси-сервера
вот прокси и получчает отмаскараденные пакеты
уберите маскардинг в сторону прокси
dst-adress=0.0.0.0/0
dst-adress-list=!PROXY
в адресс-лист PROXY пишем ип от прокси-сервера
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
