透過プロキシのための構成について

現在、ADSLモデム--Buffaloルーター(BBR-4MG、ＰＰＰＯＥ認証の仕事をさせている) 経由で各パソコンがWAN側に出れる状態です。スイッチングハブも使用して、5台のクライアントPCとプロキシサーバー(CentOS5.2 Squid)がスイッチングハブ及びルーターに接続されている状況です。

各クライアントPCはIEのプロキシ設定をしています。　CentOSはSquidと、ログ解析ツールlightsquidを導入しているだけです。

各クライアントPCがプロキシの設定をしなくても、プロキシサーバー経由でWAN側に出るように透過プロキシの設定をしたいと思っています。現在の構成のままで可能でしょうか。プロクシサーバーはNIC一枚挿しです。　サーバーのiptables及びselinuxは無効にしております。

サーバーにDHCPを導入、iptablesを有効にして強制的にプロキシサーバーを経由するように設定する必要があるのでしょうか。

よろしくお願いします。

ベストアンサー maesen 回答No.1

＞各クライアントPCがプロキシの設定をしなくても、プロキシサーバー経由でWAN側に出るように透過プロキシの設定をしたいと思っています。現在の構成のままで可能でしょうか。

前の質問で透過型プロキシの話が出たときにこのような疑問となるように思いましたが、既に質問が締め切られてしまったのでこちらに回答します。

透過型プロキシはクライアント側にプロキシサーバがあることを意識させない仕組みですが、
squid側の設定だけでなく必要な通信がsquidを通るような環境を構成する必要があります。

方法は大まかに2つあると思います。
(1)ルータでパケットをプロキシサーバに転送する
(2)プロキシサーバをデュアルホームゲートウェイ（つまりルータみたいにする）

(1)はたぶん書かれているルータにはLAN側でパケットを転送する機能は無い可能性が高いのでちょっと難しいと思われます。

(2)が現実的のように思います。

プロキシサーバのNICを2枚差しにして下記のような接続にします。
PC -- スイッチ -- (eth0)プロキシサーバ(eth1) -- Buffaloルータ -- ADSLモデム

PCのデフォルトゲートウェイはプロキシサーバになります。

プロキシサーバのeth1にPPPoEを組み込めばBuffaloルータは無くても良いです。
後はiptablesなどに適切な設定をすることになります。

＞サーバーにDHCPを導入、iptablesを有効にして強制的にプロキシサーバーを経由するように設定する必要があるのでしょうか。

これは使用者に管理者権限があるのでIPアドレスが変更できるのでNGと認識していたのですが。。。

これがOKならばNICを2枚差しにする必要は必ずしもなくなります。
ただ、１つのNICで行って来いになるのでちょっとパフォーマンスに影響します。

お礼 2014/09/12 20:50

再度、ご回答いただき、ありがとうございます。

NICを1枚追加しました。サーバーをルーター化する必要があると思ってます。eth0(192.168.1.10)のデフォルトゲートウェイ(192.168.1.1はBuffaloルーターのIPアドレスにしています。

追加したeth１は192.168.2.1にしています。eth1に繋がるクライアントPCを192.168.2.2に固定しました。　クライアントPCからeth１(192.168.2.1)及びeth0(192.168.1.10)にpingは通りますが、Wan側に出れません。Buffaloルーター(192.168.1.1)にpingが通らないので繋がるわけがないですね。

後はeth1にぶら下がるクライアントPCがeth0(192.168.1.10)をディフォルトゲートウェイとしてWAN側出れるようにルーティング設定をすればよいのかと思っています。

現時点でルーティングの設定をどうすれば良いか、思考中です・・・・・・