снова здесь, чтобы попросить вашей помощи ...
На этот раз мне нужно настроить кластер из 2 кэширующих прокси-серверов Squid, чтобы ускорить работу некоторых серверов Apache. Хорошо то, что NAT не задействован, поэтому используется только прямая маршрутизация.
Прямо сейчас я могу перенаправить трафик для определенных IP-адресов, используя маршрутизацию политик на брандмауэрах можжевельника [шлюз] (если диапазон IP dst в пределах xxxx-xxxx и dest port = 80, то маршрутизируйте его через мой IP-адрес squid, но не изменяйте сами пакеты).
Но кое-что, что оставляет мне немного проблем, - это то, как мне перехватить трафик и изменить его так, чтобы он принимался непосредственно ящиком squid, а не перенаправлялся на серверы apache. Очевидно, здесь есть iptables, в которых я не очень хорошо разбираюсь, поэтому, если вы можете оказать мне небольшую помощь в настройке правил, я был бы вам очень благодарен
Ясно, что я хочу достичь всего лишь прозрачного кэширующего прокси для HTTP-трафика, который должен ускорить диапазон IP-адресов (несколько серверов), используя только общедоступные IP-адреса.
Вы хотите добавить правила iptables, которые улавливают один и тот же трафик и перенаправляют его на порт Squid на локальном хосте. Что-то вроде этого должно сделать это:
iptables --table nat --append PREROUTING --destination <apache ip1>,<apache ip2> --protocol tcp --port 80 --jump DNAT --to-destination 127.0.0.1:3128
Другой вариант - заставить брандмауэр Juniper выполнять DNAT вместо простого изменения маршрутизации.