[GTER] Squid + DMZ

Christian Lyra lyra at pop-pr.rnp.br
Fri Feb 25 12:57:21 -03 2005 

Oi,

>  em uma rede, há um típico cenário onde o firewall com IP externo
> 200.xxx.xxx.xxx realiza um NAT para uma máquina interna, na DMZ
> (192.168.1.0/24), onde está o web-server. Até aí tudo Ok e sem
> problemas, pois o firewall tb é o DNS do domínio e tudo funciona sem
> problemas. Ambos funcionam perfeitamente para o mundo externo.
> O problema vem na rede interna, pois nesta mesma mqna, onde está o
> firewall e o DNS, tb está o proxy, o qual funciona perfeitamente para
> qq endereço externo como UOL, Terra, etc... mas qdo **PROBLEMA**, a
> partir de uma mqna na rede interna (192.168.0.0/24) tenta-se acessar
> a página localizada no web-server da DMZ, o squid retorna erro '
> .Connection Failed ' e não acessa a página, ou as páginas, pois
> existem mais de um domínio lá e nenhum deles funciona. Se eu retirar
> a conf. de proxy das estações, da rede interna todos acessam as
> páginas normalmente.
>
 Hm... ja ouvi esse tipo de problema antes. Provavelmente o problema é 
que o teu dns informa para o proxy/sua maquina que o IP do servidor 
onde está a página que vc quer acessar é o ip válido (ip externo). Dai 
o teu proxy e/ou máquina tenta acessar esse ip externo, usando um ip 
interno.

 Isso dá um nó no firewall, porque ele recebe uma requisição para o ip 
externo vindo da interface de lan. Se o teu fw tem regras anti-spoof, 
já era... tá armada a confusão.

 O que é indicado fazer é que seu dns responda o ip interno dos seus 
dominios para as maquinas que estao na LAN e com o ip externo para as 
maquinas da Internet. É o chamado split-horizont...

 Talvez a maneira mais simples de fazer isso, no teu caso específico, é 
simplesmente colocar no teu /etc/hosts os ips dos teus dominios. Como 
por padrão é consultado primeiro o /etc/hosts e depois o dns, isso deve 
resolver o teu problema...



> Alguém tem uma idéia do que pode estar ocorrendo, pois estou tentando
> entender pq o squid não consegue pegar a página na DMZ.
>
> Esses são os logs do squid sobre uma requisição ao site:
> 1109340825.036   5822 192.168.0.13 TCP_REFRESH_HIT/200 4503 GET
> http://www.xxxx.org.br/ - NONE/- text/html
> 1109340825.235   178 192.168.0.13 TCP_REFRESH_HIT/200 1631 GET
> http://www.xxxxx.org.br/icons/debian/openlogo-25.jpg - NONE/-
> text/html 1109340825.235   178 192.168.0.13 TCP_REFRESH_HIT/200 2698
> GET http://www.xxxx.org.br/icons/apache_pb.gif - NONE/- text/html
> 1109340825.236   199 192.168.0.13 TCP_REFRESH_HIT/200 17549 GET
> http://www.xxxx.org.br/icons/jhe061.gif - NONE/- text/html
> 1109340825.457   220 192.168.0.13 TCP_MISS/503 1445 GET
> http://www.xxxx.org.br/favicon.ico - NONE/- text/html
>
> outro detalhe é que esta mqna é um Debian, mas o servidor na rede
> interna é um IIS na primeira tentativa, sempre a página default do
> apache aparece e se dou um reload, aparece a página do squid dizendo
> .Connection Failed

 Se é Debian então é bom :-)

-- 
Christian Lyra
POP-PR - RNP

http://lyra.soueu.com.br
http://wecanstopspam.org

  The programmers of old were mysterious and profound. We cannot fathom 
their thoughts, so all we do is describe their appearance. 
  Aware, like a fox crossing the water. Alert, like a general on the 
battlefield. Kind, like a hostess greeting her guests. Simple, like 
uncarved blocks of wood. Opaque, like black pools in darkened caves. 
      The Tao Of Programing

More information about the gter mailing list