[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)

Quarta Junho 16 16:31:59 BRT 2010

cara você já deve ter visto mas tem um exemplo aqui com IPFW

http://free.bsd.com.br/noticia.php3?CAD=1&NOT=157

Em 16 de junho de 2010 15:25, Welkson Renny de Medeiros <
welkson em focusautomacao.com.br> escreveu:

> Welkson Renny de Medeiros escreveu:
> > Welkson Renny de Medeiros escreveu:
> >
> >> Pessoal,
> >>
> >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o
> >> cabeçalho do ip, mudando o ip de origem (source)?
> >>
> >> Vou tentar explicar melhor:
> >>
> >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site
> >> na porta 80... o gateway intercepta (192.168.0.254).... faz o NAT e
> >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP
> >> que chega na 250 vai está 0.200 ou 0.254 como origem/source?
> >>
> >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso
> >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem
> >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem
> >> no pacote?
> >>
> >
> > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a
> > conexão chega ao 250, já chega com o ip do servidor que fez o NAT
> > (afinal NAT serve pra isso mesmo).
> >
> > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao
> > servidor de proxy (monitorei lá também com tcpdump) com o IP correto,
> > mas não funciona... testei também com reply... sem sucesso!
> >
> > Estava lendo esse artigo:
> > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html
> >
> > Onde tem "Caveats and gotchas" diz o seguinte:
> > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't
> > also the traffic interceptor. You can correct this by using destination
> > NAT instead of packet redirection, and making sure the proxy routes all
> > traffic back through the intercepting box, including traffic to its
> > clients. (Alternatively, ensure that the proxy is the intercepting box.)"
> >
> > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado?
> > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no
> > rc.conf, etc... tudo OPEN).
> >
> > Sugestões?
> >
> >
>
> Eita... pequena correção: onde tem "Eu teria que usar PROXY também no
> servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY".
>
> Meu inglês técnico para leitura é muito bom... mas na hora de
> escrever.... =(  mas vai ser o jeito eu fazer uma pergunta lá no fórum
> internacional do freebsd... já falei com vários amigos pelo Talk e não
> consigo achar solução para essa bronca...  Fazia tempo que eu não levava
> uma surra dessas no BSD =)
>
> Vou continuar na batalha! abraço a todos!
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Rafael Rodrigues de Oliveira
Jesus Christ's Blood Purifies Us of All Sin
Linux #357492 / FreeBSD #BSD051202
CISCO CCNA Loading .ılı..ılı.
http://lmgtfy.com/