[FUG-BR] RES: RES: RES: Squid transparente e Https

Renato Frederick frederick em dahype.org
Sexta Fevereiro 2 15:48:56 BRST 2007 

Questão de conceito aqui do modelo OSI...

> 
> sim, mas o site do meuip.com.br não sabe que eu tenho uma rede
> interna... e mesmo não tendo o proxy (se eu usar 'nat puro') no site
> do meuip.com.br também aparece o ip do proxy (gateway)
> 

Claro, porque daí ele faz  apenas translação de IP.
uma camada abaixo do modelo OSI.
O NAT não quer saber se o que tem ali é ssl, se é XYZ, ele apenas altera o
IP e o MAC, no caso de ser roteador também.


> (sim.. estou falando de um ambiente onde há clientes (internos) com
> ips não válidos para a internet e o único ip válido para a internet é
> o gateway - então passando ou não pelo proxy... as conexões que vão
> para a internet têm sempre o ip do gateway)

Sem problemas :)

> 
> com ou sem o proxy... o cliente interno originou o pacote com o ip
> 192.168.1.7... após o nat (ou após o proxy) o pacote tem o ip de
> origem de 200.200.200.199 (ip do gateway)
> 
Sim, mas o proxy transparente alterou uma camada acima, ele abriu o
datagrama que seu cliente tinha formatado "bonitinho" e informou que o
destino à porta 80 seria desviada para a porta 3128 do squid. O squid por
sua vez alterou de novo isto para falar que a origem é ele, e obviamente não
interpretou o que o seu browser gerou, logo, descartou

Como falei acima, um NAT não faz isto, ele apenas sabe que a origem e
destino é uma e devolve o pacote, sem alterar o que tem dentro dele.

> Ou seja.. no servidor lá da internet (um banco ou outra coisa
> qualquer) sempre chega o ip do meu gateway (200.200.200.199) mesmo
> passando pelo proxy ou com apenas um 'nat puro'....

Sim e não.
Chega o IP do seu proxy.
Mas as informações contidas dentro do datagrama(logo, dentro da sessão SSL)
estão intactas, conforme citado acima

Por isto a sessão SSL é fechada com sucesso.
Por "mexer" no pacote é que o Proxy transparente atrapalha.


> 
> Abraços!
> 
> --
> Marcelo Rossi
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd