透明重定向到雲上的 squid 代理伺服器
我們在雲上有一個 squid 代理,IP 地址為 50.xyz,偵聽 tcp 埠 3128 並以透明模式執行。該代理伺服器執行 Debian 6.0,位於數據中心。
在我們的辦公室裡,我們有一個帶有公共 IP 203.xyz/29 和私有 IP 192.168.1.1/24 的 Cisco 路由器。本地 LAN 網路是 192.168.1.0/24。我在 squid.conf 文件中允許了公共 IP 203.xyz/29,因此 LAN 使用者可以使用這個 squid 代理瀏覽網際網路。我想知道是否可以將所有網路流量透明地重定向到在數據中心執行的 squid 伺服器?
請注意,如果我在本地 LAN 中有代理伺服器,我完全知道可以使用路由映射或 WCCP 完成此操作,並且我可以使用 WPAD 進行自動代理檢測,但我想要透明重定向。
我唯一能想到的就是某種形式的隧道。您只需將具有隨機全域目標 IP 地址的埠 80 流量路由到您的雲代理。如果沒有路由基礎設施中的某種支持,這是不可能做到的。
無論如何,您可能希望在您的網路和雲實例之間建立一個 IPsec 隧道以確保安全。如果您目前的路由器不支持此類功能,我建議您使用Vyatta Core進行體驗,將一些測試工作站指向 Vyatta 路由器作為其預設網關。然後,他們的 Vyatta 將被配置為通過終止於雲實例的 IPsec 隧道(如果您不關心安全性,甚至是 GRE 或 IP-in-IP)重定向所有公共綁定的 TCP-port-80 流量。
請注意,無論何時涉及隧道,您都會遇到 MTU 問題,因此您應該確保您沒有在任何防火牆(甚至是工作站本地)中阻止 ICMP 數據包太大的消息,並且您可能會重寫 TCP 握手數據包中的 TCP 最大段大小被維亞塔看到。
老實說,代理自動配置將更容易處理。如果您有一個活動目錄域,您甚至可以通過組策略為 IE 和 Google Chrome 強制執行代理配置,並為訪問者/Macs/Linux/Firefox 使用者使用代理自動配置。