[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Quarta Junho 16 15:25:22 BRT 2010 

Welkson Renny de Medeiros escreveu:
> Welkson Renny de Medeiros escreveu:
>   
>> Pessoal,
>>
>> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o 
>> cabeçalho do ip, mudando o ip de origem (source)?
>>
>> Vou tentar explicar melhor:
>>
>> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site 
>> na porta 80... o gateway intercepta (192.168.0.254).... faz o NAT e 
>> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP 
>> que chega na 250 vai está 0.200 ou 0.254 como origem/source?
>>
>> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso 
>> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem 
>> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem 
>> no pacote?
>>     
>
> Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a 
> conexão chega ao 250, já chega com o ip do servidor que fez o NAT 
> (afinal NAT serve pra isso mesmo).
>
> Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao 
> servidor de proxy (monitorei lá também com tcpdump) com o IP correto, 
> mas não funciona... testei também com reply... sem sucesso!
>
> Estava lendo esse artigo:
> http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html
>
> Onde tem "Caveats and gotchas" diz o seguinte:
> "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't 
> also the traffic interceptor. You can correct this by using destination 
> NAT instead of packet redirection, and making sure the proxy routes all 
> traffic back through the intercepting box, including traffic to its 
> clients. (Alternatively, ensure that the proxy is the intercepting box.)"
>
> Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? 
> (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no 
> rc.conf, etc... tudo OPEN).
>
> Sugestões?
>
>   

Eita... pequena correção: onde tem "Eu teria que usar PROXY também no 
servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY".

Meu inglês técnico para leitura é muito bom... mas na hora de 
escrever.... =(  mas vai ser o jeito eu fazer uma pergunta lá no fórum 
internacional do freebsd... já falei com vários amigos pelo Talk e não 
consigo achar solução para essa bronca...  Fazia tempo que eu não levava 
uma surra dessas no BSD =)

Vou continuar na batalha! abraço a todos!

-- 
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member

Mais detalhes sobre a lista de discussão freebsd