[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Tiago N. Sampaio
tnsampaio em bsd.com.br
Quarta Junho 16 16:42:02 BRT 2010
Nesse caso vc tem que colocar o proxy numa faixa diferente, ou ele vai
tentar responder direto pra maquina que inicialmente solicitou a pagina,
o que naum funciona.
Coloca uma nova faixa entre o proxy e o fw, que ai vai funfar.
Abraços
Em Qua, 2010-06-16 Ã s 15:25 -0300, Welkson Renny de Medeiros escreveu:
> Welkson Renny de Medeiros escreveu:
> > Welkson Renny de Medeiros escreveu:
> >
> >> Pessoal,
> >>
> >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o
> >> cabeçalho do ip, mudando o ip de origem (source)?
> >>
> >> Vou tentar explicar melhor:
> >>
> >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site
> >> na porta 80... o gateway intercepta (192.168.0.254).... faz o NAT e
> >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP
> >> que chega na 250 vai está 0.200 ou 0.254 como origem/source?
> >>
> >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso
> >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem
> >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem
> >> no pacote?
> >>
> >
> > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a
> > conexão chega ao 250, já chega com o ip do servidor que fez o NAT
> > (afinal NAT serve pra isso mesmo).
> >
> > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao
> > servidor de proxy (monitorei lá também com tcpdump) com o IP correto,
> > mas não funciona... testei também com reply... sem sucesso!
> >
> > Estava lendo esse artigo:
> > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html
> >
> > Onde tem "Caveats and gotchas" diz o seguinte:
> > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't
> > also the traffic interceptor. You can correct this by using destination
> > NAT instead of packet redirection, and making sure the proxy routes all
> > traffic back through the intercepting box, including traffic to its
> > clients. (Alternatively, ensure that the proxy is the intercepting box.)"
> >
> > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado?
> > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no
> > rc.conf, etc... tudo OPEN).
> >
> > Sugestões?
> >
> >
>
> Eita... pequena correção: onde tem "Eu teria que usar PROXY também no
> servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY".
>
> Meu inglês técnico para leitura é muito bom... mas na hora de
> escrever.... =( mas vai ser o jeito eu fazer uma pergunta lá no fórum
> internacional do freebsd... já falei com vários amigos pelo Talk e não
> consigo achar solução para essa bronca... Fazia tempo que eu não levava
> uma surra dessas no BSD =)
>
> Vou continuar na batalha! abraço a todos!
>
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome : não disponÃvel
Tipo : application/pgp-signature
Tam : 198 bytes
Descr.: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem
assinada digitalmente
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20100616/1279ff89/attachment.bin
Mais detalhes sobre a lista de discussão freebsd