Freebsd 6.3, windows клиенты цепляются pptp, обслуживают клиентов mpd4. Никак не могу понять как завернуть средствами pf  80 порт на 3128 конкретно для vpn соединений. Реализовал сейчас по такому правилу:
rdr pass inet proto tcp from any to any port www -> 192.168.3.1 port 3128
Естсена это ну никак меня не устраивает по причине того что на самом сервере, есть еще и сайтик. Да и как то коряво получается.
Интерфейсов ngX порядка 20 и планируется еще больше. Конструкция типа:
$if2 = "ng1"
rdr on $if2 inet proto tcp from any to any port www -> 127.0.0.1 port 3128
не работает ...
Возможно, как вариант, завернуть подсеть ипов которые выдает впн на прокси ? Как реализовать ?
Спасибо.

• редирект пользователей на прокси ,wertik, 18:01 , 13-Мрт-08
• редирект пользователей на прокси ,idle, 10:48 , 14-Мрт-08
  • редирект пользователей на прокси ,Andrey, 11:01 , 14-Мрт-08
    • редирект пользователей на прокси ,idle, 11:06 , 14-Мрт-08
    • редирект пользователей на прокси ,Andrey, 16:55 , 14-Мрт-08
      • редирект пользователей на прокси ,idle, 17:06 , 14-Мрт-08
  • редирект пользователей на прокси ,Andrey, 11:02 , 14-Мрт-08
  • редирект пользователей на прокси ,wertik, 14:48 , 14-Мрт-08

>[оверквотинг удален]
>Естсена это ну никак меня не устраивает по причине того что на
>самом сервере, есть еще и сайтик. Да и как то коряво
>получается.
>Интерфейсов ngX порядка 20 и планируется еще больше. Конструкция типа:
>$if2 = "ng1"
>rdr on $if2 inet proto tcp from any to any port www -> 127.0.0.1 port 3128
>не работает ...
>Возможно, как вариант, завернуть подсеть ипов которые выдает впн на прокси ?
>Как реализовать ?
>Спасибо.

Возможно pf непомню напишу на iptables.

iptables -t nat -A PREROUTING -s 192.168.11.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

>Freebsd 6.3, windows клиенты цепляются pptp, обслуживают клиентов mpd4. Никак не могу
>понять как завернуть средствами pf  80 порт на 3128 конкретно
>для vpn соединений. Реализовал сейчас по такому правилу:
>rdr pass inet proto tcp from any to any port www -> 192.168.3.1 port 3128
>Естсена это ну никак меня не устраивает по причине того что на
>самом сервере, есть еще и сайтик.

Сделайте так:
rdr pass inet proto tcp from any to ! 192.168.3.1 port www -> 192.168.3.1 port 3128
>Да и как то коряво получается.

Почему коряво?

wertik
При чём здесь iptables?

>[оверквотинг удален]
>
>Сделайте так:
>rdr pass inet proto tcp from any to ! 192.168.3.1 port www -> 192.168.3.1 port 3128
>>Да и как то коряво получается.
>
>Почему коряво?
>
>
>wertik
>При чём здесь iptables?

при подключении впн пользователям даються ипы из подсети 10.0.0.1/24  то есть как я понимаю правило такое:
rdr pass inet proto tcp from any to ! 10.0.0.1/24 port www -> 192.168.3.1 port 3128
А коряво потому что на всех бинд апача 0.0.0.0:80. При открытии 192.168.3.1:80 естесна сайтик не работает.

>[оверквотинг удален]
>>
>>Почему коряво?
>>
>>
>>wertik
>>При чём здесь iptables?
>
>при подключении впн пользователям даються ипы из подсети 10.0.0.1/24  то есть
>как я понимаю правило такое:
>rdr pass inet proto tcp from any to ! 10.0.0.1/24 port www -> 192.168.3.1 port 3128

Нет, правило именно такое как я написал выше.
>А коряво потому что на всех бинд апача 0.0.0.0:80. При открытии 192.168.3.1:80
>естесна сайтик не работает.

Именно для этого нужно добавить опцию - обращения к 192.168.3.1:80 не редиректить - to ! 192.168.3.1.

>[оверквотинг удален]
>>
>>
>>wertik
>>При чём здесь iptables?
>
>при подключении впн пользователям даються ипы из подсети 10.0.0.1/24  то есть
>как я понимаю правило такое:
>rdr pass inet proto tcp from any to ! 10.0.0.1/24 port www -> 192.168.3.1 port 3128
>А коряво потому что на всех бинд апача 0.0.0.0:80. При открытии 192.168.3.1:80
>естесна сайтик не работает.

такие правила теперь:
rdr pass inet proto tcp from any to any port www -> 192.168.3.1 port 3128
rdr pass inet proto tcp from any to !192.168.3.1 port www -> 192.168.3.1 port 3128
Таже ошибка сквида (!)

Запрошенный URL не может быть доставлен
Другие узлы открываться без проблем

>[оверквотинг удален]
>>
>>при подключении впн пользователям даються ипы из подсети 10.0.0.1/24  то есть
>>как я понимаю правило такое:
>>rdr pass inet proto tcp from any to ! 10.0.0.1/24 port www -> 192.168.3.1 port 3128
>>А коряво потому что на всех бинд апача 0.0.0.0:80. При открытии 192.168.3.1:80
>>естесна сайтик не работает.
>
>такие правила теперь:
>rdr pass inet proto tcp from any to any port www -> 192.168.3.1 port 3128
>rdr pass inet proto tcp from any to !192.168.3.1 port www -> 192.168.3.1 port 3128

Вы сами не видите, что первое правило перекрывает второе? Оставьте только второе:
rdr pass inet proto tcp from any to !192.168.3.1 port www -> 192.168.3.1 port 3128

>[оверквотинг удален]
>
>Сделайте так:
>rdr pass inet proto tcp from any to ! 192.168.3.1 port www -> 192.168.3.1 port 3128
>>Да и как то коряво получается.
>
>Почему коряво?
>
>
>wertik
>При чём здесь iptables?

при подключении впн пользователям даються ипы из подсети 10.0.0.1/24  то есть как я понимаю правило такое:
rdr pass inet proto tcp from any to ! 10.0.0.1/24 port www -> 192.168.3.1 port 3128
А коряво потому что на всех бинд апача 0.0.0.0:80. При открытии 192.168.3.1:80 естесна сайтик не работает.

>[оверквотинг удален]
>
>Сделайте так:
>rdr pass inet proto tcp from any to ! 192.168.3.1 port www -> 192.168.3.1 port 3128
>>Да и как то коряво получается.
>
>Почему коряво?
>
>
>wertik
>При чём здесь iptables?

что значит причем , невнимательно читаем ?)