[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)

Tiago N. Sampaio tnsampaio em bsd.com.br
Quarta Junho 16 16:42:02 BRT 2010


Nesse caso vc tem que colocar o proxy numa faixa diferente, ou ele vai
tentar responder direto pra maquina que inicialmente solicitou a pagina,
o que naum funciona.

Coloca uma nova faixa entre o proxy e o fw, que ai vai funfar.

Abraços

Em Qua, 2010-06-16 às 15:25 -0300, Welkson Renny de Medeiros escreveu:
> Welkson Renny de Medeiros escreveu:
> > Welkson Renny de Medeiros escreveu:
> >   
> >> Pessoal,
> >>
> >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o 
> >> cabeçalho do ip, mudando o ip de origem (source)?
> >>
> >> Vou tentar explicar melhor:
> >>
> >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site 
> >> na porta 80... o gateway intercepta (192.168.0.254).... faz o NAT e 
> >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP 
> >> que chega na 250 vai está 0.200 ou 0.254 como origem/source?
> >>
> >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso 
> >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem 
> >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem 
> >> no pacote?
> >>     
> >
> > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a 
> > conexão chega ao 250, já chega com o ip do servidor que fez o NAT 
> > (afinal NAT serve pra isso mesmo).
> >
> > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao 
> > servidor de proxy (monitorei lá também com tcpdump) com o IP correto, 
> > mas não funciona... testei também com reply... sem sucesso!
> >
> > Estava lendo esse artigo:
> > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html
> >
> > Onde tem "Caveats and gotchas" diz o seguinte:
> > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't 
> > also the traffic interceptor. You can correct this by using destination 
> > NAT instead of packet redirection, and making sure the proxy routes all 
> > traffic back through the intercepting box, including traffic to its 
> > clients. (Alternatively, ensure that the proxy is the intercepting box.)"
> >
> > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? 
> > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no 
> > rc.conf, etc... tudo OPEN).
> >
> > Sugestões?
> >
> >   
> 
> Eita... pequena correção: onde tem "Eu teria que usar PROXY também no 
> servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY".
> 
> Meu inglês técnico para leitura é muito bom... mas na hora de 
> escrever.... =(  mas vai ser o jeito eu fazer uma pergunta lá no fórum 
> internacional do freebsd... já falei com vários amigos pelo Talk e não 
> consigo achar solução para essa bronca...  Fazia tempo que eu não levava 
> uma surra dessas no BSD =)
> 
> Vou continuar na batalha! abraço a todos!
> 
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 198 bytes
Descr.: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem
	assinada digitalmente
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20100616/1279ff89/attachment.bin 


Mais detalhes sobre a lista de discussão freebsd