[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)

[Welkson Renny de Medeiros]

Welkson Renny de Medeiros escreveu:
> Pessoal,
>
> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o 
> cabeçalho do ip, mudando o ip de origem (source)?
>
> Vou tentar explicar melhor:
>
> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site 
> na porta 80... o gateway intercepta (192.168.0.254).... faz o NAT e 
> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP 
> que chega na 250 vai está 0.200 ou 0.254 como origem/source?
>
> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso 
> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem 
> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem 
> no pacote?

Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a 
conexão chega ao 250, já chega com o ip do servidor que fez o NAT 
(afinal NAT serve pra isso mesmo).

Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao 
servidor de proxy (monitorei lá também com tcpdump) com o IP correto, 
mas não funciona... testei também com reply... sem sucesso!

Estava lendo esse artigo:
http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html

Onde tem "Caveats and gotchas" diz o seguinte:
"You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't 
also the traffic interceptor. You can correct this by using destination 
NAT instead of packet redirection, and making sure the proxy routes all 
traffic back through the intercepting box, including traffic to its 
clients. (Alternatively, ensure that the proxy is the intercepting box.)"

Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? 
(nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no 
rc.conf, etc... tudo OPEN).

Sugestões?

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member