[FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)

Enio Marconcini # www.Enio.Pro.Br eniorm em gmail.com
Segunda Junho 21 15:20:15 BRT 2010 

2010/6/21 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>

> Welkson Renny de Medeiros escreveu:
> > Fiz  a pergunta no fórum internacional... vamos ver no que vai dar:
> > http://forums.freebsd.org/showthread.php?t=15218
> >
> > "Ingrês" altamente fuleragem =
>
> Pessoal,
>
> Ainda continuo levando surra do rdr (pf) e squid transparente em
> máquinas separadas.
> http://forums.freebsd.org/showthread.php?t=15218
>
> Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega
> certinho no servidor do proxy (monitorando via tcpdump), mas não
> navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o
> NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do
> cliente).
>
> Sejam solidários nesse meu sofrimento kkkkkkkkkkkkk
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


bom aqui eu tenho um gateway com o freebsd, ele cuida das conexões de
diversos usuários da empresa, porém o banco de dados está em outro servidor,
eu uso apenas um RDR pra redirecionar as conexões sem fazer nat

tipo:

ip_banco = "192.168.1.1"
table <ips_usuarios> { 10.1.1.0/24 }

rdr on $nic_X inet proto tcp from <ips_usuarios> to any port 3050 ->
$ip_banco


quando eu analiso (com netstat mesmo) no server com o banco de dados,
aparece as conexções dos ips 10.1.1.X vinda dos clientes, nada de nat... é
claro, o server com banco de dados sabe como alcançar a rede 10.1.1.X

voltando pro lado do squidão, vi um amigo fazer uns testes com um cenário
parecido, , ele tinha um server separado que era o proxy/cache, usando linux
em ambos, lembro que ele usou o iptables, nateou as conexões, e chegou o IP
do gateway no servidor cache, e não o IP dos clientes.... neste caso a acl
redes_liberadas dele teve que ser substituida apenas pelo IP do gateway,
assim o squid aceitava conexões daquele ip

-- 
ENIO RODRIGO MARCONCINI
gtalk: eniorm em gmail.com
skype: eniorm
msn: /dev/null

.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!

Mais detalhes sobre a lista de discussão freebsd