Прозрачное проксирование и подсчёт трафика.

Аватар пользователя DRVTiny

Намучился я с изучением этой темы изрядно, так что в конечном итоге решил обратиться сюда - вдруг кто-нибудь знает ответ на один из следующих вопросов:
1) Возможно ли, - а если возможно, то как, - выходить в инет через прозрачный прокси непосредственно с той машины, на которой он запущен (т.е. использовать его локально)?
2) Возможно ли прозрачное проксирование SSL-соединений (HTTP over SSL)? На каком-то форуме я читал, что вроде бы HTTPS-трафик прозрачному проксированию не поддаётся/ но с другой стороны, существует же Copfilter, который, насколько я понимаю, с прозрачным проксированием SSL вполне справляется, используя при этом самый обыкновенный SQUID;
3) Нужно ли на шлюзе разрешать прохождение каких-либо пакетов INPUT и OUTPUT или достаточно ращрешить только (фильтруемый по заголовкам пакетов, разумеется) FORWARD, если сам по себе шлюз никаких запросов не принимает и не генерирует (как во внутреннюю, так и во внешнюю сети)? А если запросы транслируются на шлюзе через таблицу nat и при этом проходят через запущенные на шлюзе сервисы прокси (антивирусные сканирующие, фильтрующие, кеширующие и т.д.), то, наверное, нужно разрешить все INPUT/OUTPUT со стороны внутренней сети на стандартные порты (80,25,110), если они проксируются прозрачным образом и непосредстенно на порты (INPUT) | с портов (OUTPUT) соответствующих сервисов (8443), если перенаправлять к ним запросы прозрачно не представляется возможным в принципе;
4) Как считать трафик по каждому из клиентов локальной сети, если к программе-анализатору предъявляются следующие требования:
а) Она не должна "парсить логи" прокси-сервера SQUID
б) По возможности она должна работать в интерактивном режиме (как, например, iptraf, умеющий считать только суммарный входящий/исходящий трафик, прошедший через сетевой интерфейс, или tcpdump, или ethereal)
в) Очень желательно, чтобы программа с определённой периодичностью генерировала графики на статичных HTML-страницах, так чтобы их потом можно было просматривать в браузере, как обычный локальный HTML, без использования Apache
4) Как сделать так, чтобы клиенты локальной сети могли выходить в интернет через шлюз только после авторизации (просто ссылку на соотв. материалы по настройке SQUID, а желательно - какого-нибудь другого прокси, дайте, пожалуйста)

Всё вроде бы... Если кто-нибудь что-нибудь может рассказать по жтому поводу - поделитесь, пожалуйста, с начинающим сисадмином своими знаниями :good:

RSS-материал