Squid3 + локальный трафик

[Phantom]

Есть непрозрачный кальмар. Через него пользователи локальной сети бегают в сеть. Соответственно,чтобы это работало,то присутствует запись о прокси в настройках браузера. На той же железке,где кальмар, сидит icecast и индеец и вещает. А вот теперь проблема... если пользователь попытается постучаться используя браузер к страничке со станциями то будет послан, поскольку трафик инкапсулирован и бежит к порту прокси, ну и далее в сеть наружу.... Внешний DNS конечно ни сном ни духом. Как выход возможно прописать исключение в браузере,но это не выход ибо много людей и за каждым бегать не годится. Использовать возможность домена прописывать сиё автоматом не работает нормально,слишком разношерстная публика. Сделал следующим образом. В hosts шлюза описал, IP интерфейса,что смотрит внутрь и имя. Теперь страничка с радиостанциями при попытке пользователя обратиться к этому имени даже через прокси видит эту самую страницу. Далее в конфиге прокси я создал 2 акла описывающие локальную сеть как источник и локальную сеть как назначение. Ну и соответственно разрешил любой траффик с адресами локальной сети в адреса той же сети. Заработало. Теперь радио ещё и запело. Эдакая петля в прокси. НО. В стате icecast я вижу,что коннекты пользователей приходят с интерфейса,который смотрит наружу. Получается весьма странная цепочка....запрос, интерфейс смотрящий в локальную сеть, прокси, интерфейс смотрящий наружу, опрос DNS начиная с host, и далее полагаю обратно в сеть к icecast. Хрень правда?
Короче вопрос. Как используя прокси гонять трафик локальной сети не задействовав внешний интерфейс. Думал насчет редиректа,но пока не додумал...
ЗЫ Сразу вангуя))) IPTables не годится,поскольку трафик уже инкапсулирован в пакет для прокси.

[Infernal Flame]

Phantom
вариант c WPAD не рассматривал? там в правилах прописать можно, чтобы локальный траф гонял напрямую...

[Phantom]

Phantom
вариант c WPAD не рассматривал? там в правилах прописать можно, чтобы локальный траф гонял напрямую...

Не поверишь. Первый раз слышу. Если оно может конфигурировать все браузеры, то я покурю маны на этот протокол.
ЗЫ Я так понимаю он поднимается на DHCP и не должен быть там же где и прокси.

[Infernal Flame]

Phantom
ему срать где быть... у меня на шлюзе как раз и кальмар и дхцп живут... и прекрасно wpad отрабатывает - в сети разношерстная публика, но wpad не понимает только хром под моей слакварью и андроиды. остальные - за милую душу.
в дополнение для особо одаренных девайсов можешь локальную wpad.domain.name зону замастрячить на хост с wpad-файлом тады точно все будут прогружать настройки

[Raven]

Поднять его можешь где угодно, главное чтобы файл был доступен на 80-м порту - поэтому и не рекомендуют сожительствовать их с проксей (часто прокси еще и прозрачен). Как альтернатива - можно сделать vlan, задать ему ip, повесить на него веб-сервер и раздавать с него .pac. У меня шлюз и dhcp/dns проживают отдельно, я просто накинул до кучи к хосту с dhcpd lighttpd и положил к нему proxy.pac. Настроено оно силами DHCP и DNS, и надо сказать для ie и хрома работает отлично. А вот лиса и опера (которая еще на престе) с wpad сами работать не умеют, поэтому у них нужно ставить галку "Использовать системные настройки прокси". Но вот от сильно умных пользователей это не спасало - многие перебивали проксю вручную на какой-нить китайский ип и шуровали в обход статистики. От таких умельцев оградился доменной политикой.

[Infernal Flame]

Raven
дядька, не соглашусь - огнелис пашет намана в связке с днсом. Плюс ТС написал же, что прокся непрозрачна. Кстати у меня и прозрачная и нет сразу, и файлег на ней же лежит - все нормульно пашет

[Phantom]

С серверами тож зоопарк. Шлюз linux. DHCP&DNS&AD на W2008Server. Я нашел инструкцию как его запилить через DHCP. Там поговаривают порт не важен.
http://www.isaserver.org/articles-tutor ... ients.html
Насчет vlan, ну это я запилю,но вот выделять отдельную железку мне просто не из чего. Поэтому не получится. Пытаюсь сделать на том,что есть.
Кстати в описании предупреждение безопасности о возможности подхватить настройки левого прокси, ну я так понимаю при непрозрачном прокси это не проблема.

[Infernal Flame]

DHCP&DNS&AD на W2008Server.

там я не помню точно какая директива за это дело отвечает в дхцп виндовом, но тоже правится на раз-два... так же и в днсе создать запись - не проблема

[Raven]

так же и в днсе создать запись - не проблема

так вот для функционирования с днс и нужен 80-й порт. В днс-то порт не пропишешь.

[Phantom]

80 порт я попрошу у индейца на шлюзе. Он им в локаль светит. Я вот сейчас с руководством пообщался...со временем переводим всех на огнелиса,а значит надо будет все таки к DNS привязывать данный сервис. Спешить не буду,почитаю ещё,поскольку данный сервис вносит брешь в безопасность, а пользователям работать надо,а не слушать оправдания IT отдела.