сеть:

на дфл настроен pptp сервер.. т.е. к ней подключаются удаленные пользователи.
надо чтобы они могли видеть сеть 192.168.10.0/24, которая за прокси.. причем все хосты, а не некоторые..
прокся заворачивает на squid только 80, 8080 порты остальные nat'ятся..

пробовал прописывать маршрут на дфл в 192.168.10.0 сеть через шлюз=10.0.2.2.. не видят все равно.
что не так? куда копать ? в правилах надо что-то прописывать?

А зачем у вас все разных подсетях? Поставьте dfl-210 в качестве роутера для всех подсетей и будет вам счастье Или придется настраивать хост с проксей

Лучше оставьте прокси и клиентов в единой подсети (или вынесите прокси в dmz) и сделайте прозрачное проксирование.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

при прозрачном проксировании как вести учет трафика и контента пользователей...
для этого собственно она и ставилась..
а при прозрачном разве будет видно 192.168.10.0 удаленным пользователям? сеть то 10.0.2.0 все равно останется.

Python, не совсем понял, что имелось ввиду) поясните, плз
прокси используется для контроля инета пользователей, на дфл канал vpn и pptp сервер.. толку тогда от прокси, если она в другой подсети будет?

Что мешает воткнуть на разные интерфейсы локалку (пользователей), отдельно провайдера и третьим интерфейсом прокси? А еще лучше прокси и пользователей в одну подсеть и один интерфейс. И пусть через прокси ходят, в чем проблема-то? Открыть на роутере фактически доступ наружу только для одного хоста (прокси) - тривиальная задача. Если критично, могу на коленке схему разрисовать.

В принципе, danilovav предлагает сделать тоже самое, но описывает другими словами

Почти то же самое. Моя идея в том, чтобы пользователи и не знали о прокси - весь исходящий трафик просто идет на сквид (использовать SAT+Allow вместо NAT)
Адреса источников при этом сохраняются, поэтому проблем с учетом быть не должно

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Python, если все, через прокси.. а как тогда будут удаленные пользователи видеть пользователей за прокси?
danilovav, т.е. прокси и локался в одной сети? 192.168.10.0/24, а уже на дфл маршрут чтобы в инет через прокси?

ps: авторизация по ip адресу идет на проксе
на проксе настроен просто нат.. надо не так?

Зачем сложности городить? Действительно, можно же и sat сделать, чтобы пользователям все было незаметно. Можно прокси в пользователей в одну подсеть посадить...
danilovav правильные вещи предлагает. Что выбрать - вопрос внутренней политики. Как еще один вариант, можно pptp-пользователям адреса отдавать из той же подсети, что и основной массе пользователей. Такой вариант я использую для парочки избранных своих пользователей


Правила (предполагаем, что на PPTP и LAN разные адреса):
Lan -> PPTP Allow Any
PPTP -> LAN Allow Any
LAN -> WAN SAT (80 и 8080 порты) на squid (куда надо)
LAN -> WAN NAT (кроме, быть может портов 137-139) на WAN

То есть свободный доступ pptp-пользователей в локалку и обратно. Для 80 и 8080 портов все заворачивается на прокси, все остальное стандартно идет через обычный NAT.

Python, спасибо) с картинкой понятнее
только теперь вопрос как для такой схемы должна быть сконфигурирован прокси? там squid+sams..
надо чтобы он принятые пакеты отправлял дальше в wan же.. или я не так понимаю отличия nat от sat..
и при такой схеме получается прокси-сервер пользователям нигде не надо прописывать?

На прокси вообще ничего не надо переделывать, сквид будет работать в соответствии с маршрутизацией - дефолтгейтвей на DFL
По правилам - верно, но чтобы адреса на прокси сохранялись из LAN-сегмента, надо вот так сделать
SAT lan > wan http, SAT: new source = 10.0.0.2
Allow lan > wan http
NAT lan > wan all_services
Дроп самбы, кстати, есть в стандартных правилах - drop lan > wan smb-all

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

т.е. на проксе можно выкинуть вторую сетевуху? )
да! забыл про самбу.. прокся совмещена с файлсервером.. на самбе. компы 192.168.10.0/24 будут видеть его ? и удаленным желательно тоже видеть самбу..

пс.
в iptables на проксе вообще ничего не нужно прописывать?

у меня было прописано:
1. iptables -A INPUT -i lo -j ACCEPT
2. iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.2.2
3. iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

все удалить, или только 2 строчку ?

и еще

/proc/sys/net/ipv4/ip_forward = 1

и еще вопрос.. прокси оставить как есть или надо прозрачным сделать? т.е. http_port 3128 transparent
не уверен будет ли при этом sams считать трафик..

Как обычно, рояль в кустах забыли

Выведя сервер на отдельный интерыфейс, вы зарешаете широковещательное NetBIOS имя (решается WINS) и накладываете ограничиваете на скорость доступа (маршрутизация у DFL-210 порядка 80 мбит). Соответственно, желательно все-таки либо разнести сервера, либо оставить сервер в LAN.
Будет ли работать - проверяйте, у вас все козыри.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc