[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros
welkson em focusautomacao.com.br
Segunda Junho 21 16:46:02 BRT 2010
Enio Marconcini # www.Enio.Pro.Br escreveu:
> 2010/6/21 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>
>
>
>> Welkson Renny de Medeiros escreveu:
>>
>>> Fiz a pergunta no fórum internacional... vamos ver no que vai dar:
>>> http://forums.freebsd.org/showthread.php?t=15218
>>>
>>> "Ingrês" altamente fuleragem =
>>>
>> Pessoal,
>>
>> Ainda continuo levando surra do rdr (pf) e squid transparente em
>> máquinas separadas.
>> http://forums.freebsd.org/showthread.php?t=15218
>>
>> Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega
>> certinho no servidor do proxy (monitorando via tcpdump), mas não
>> navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o
>> NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do
>> cliente).
>>
>> Sejam solidários nesse meu sofrimento kkkkkkkkkkkkk
>>
>> --
>> Welkson Renny de Medeiros
>> Desenvolvimento / Gerência de Redes
>> Focus Automação Comercial
>> FreeBSD Community Member
>>
>>
>
>
> bom aqui eu tenho um gateway com o freebsd, ele cuida das conexões de
> diversos usuários da empresa, porém o banco de dados está em outro servidor,
> eu uso apenas um RDR pra redirecionar as conexões sem fazer nat
>
> tipo:
>
> ip_banco = "192.168.1.1"
> table <ips_usuarios> { 10.1.1.0/24 }
>
> rdr on $nic_X inet proto tcp from <ips_usuarios> to any port 3050 ->
> $ip_banco
>
>
> quando eu analiso (com netstat mesmo) no server com o banco de dados,
> aparece as conexções dos ips 10.1.1.X vinda dos clientes, nada de nat... é
> claro, o server com banco de dados sabe como alcançar a rede 10.1.1.X
>
> voltando pro lado do squidão, vi um amigo fazer uns testes com um cenário
> parecido, , ele tinha um server separado que era o proxy/cache, usando linux
> em ambos, lembro que ele usou o iptables, nateou as conexões, e chegou o IP
> do gateway no servidor cache, e não o IP dos clientes.... neste caso a acl
> redes_liberadas dele teve que ser substituida apenas pelo IP do gateway,
> assim o squid aceitava conexões daquele ip
>
Enio,
O problema é que tenho DEZENAS de acl's por IP, etc... sem falar do
Dansguardian... o ip poderia até pode chegar errado no proxy, mas o
X_FORWARDFOR não! Se nessa variável estivesse correto, eu ativaria a
configuração de log's e acl's para usar xforwardfor, e não IP de
origem... o problema é que até essa variável está indo errado =( (para
ver o xfowardfor -> http://pgl.yoyo.org/http/browser-headers.php)
Esse ambiente de IP único chegando ao squid pra mim não funciona... tem
que vir o ip correto.
Estou certo (e já li em vários lugares) que a forma recomendada de
trabalhar é separar serviços do firewall, por isso decidi fazer... hoje
meu servidor tem quase 20 serviços, tudo junto com o firewall, controle
de banda... etc... quando preciso fazer um reboot, derrubo quase 100
pessoas, ferro banco de dados, etc... quero diminuir esse risco!
Quando comecei a separar o proxy do gateway eu sabia que teria algumas
dificuldades (exatamente com isso), mas pensei que muitas pessoas da
comunidade teriam servidores instalados da MESMA FORMA... e que eu
encontraria ajuda sem muitos problemas... =(
Ou eu não estou sabendo passar o problema (não acredito ser o caso, tem
detalhes até demais =), ou realmente a galera instala tudo em um
servidor só! =(
Enfim, continuo aqui na batalha! Espero em breve dar a boa notícia pra
vocês! E dessa vez vou escrever um artigo COMPLETO, sobre como instalar
SQUID, Dansguardian, com Proxy Transparente e em servidores separados =)
Abraço,
--
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member
Mais detalhes sobre a lista de discussão freebsd