[GTER] squid x firewall
Ricardo Kleber
rk at ufrnet.br
Sat Nov 18 00:47:33 -02 2006
Diego,
Talvez não esteja claro pra você o conceito de Proxy...
A função do Proxy é exatamente esta... As conexões são redirecionadas para
ele, que intercepta, realiza a conexão de fato (ou em caso de proxy cache pode
retornar a página em cache), recebe a resposta e entrega à máquina que originou
a conexão.
O fato de ser "transparente" não é transparente para o teu firewall externo,
mas, a transparência está na intermediação independente do conhecimento ou
alterações no cliente. O IP de origem será o IP da máquina em que está o proxy
pois é quem realmente realiza da conexão externa.
Se você quer fazer alguma filtragem baseada no IP de onde partiu realmente a
conexão isso tem que ser feito antes de chegar no proxy (ou nas próprias regras
do proxy, via acl, por exemplo).
Abraço,
Ricardo Kléber
On Fri, 17 Nov 2006, Diego HC Silva wrote:
> Bom dia amigos,
>
> Estou com um problema e gostaria de saber se vc´s tem alguma idéia que possa
> me ajudar.
>
> Tenho um proxy transparente trabalhando em cima de um linux em bridge mode
> (usando ebtables e brctl) e fazendo redirecionamento da porta 80 para a 3128
> com iptables. Até ae tudo bem, padrão.
>
> Meu problema é que o ip de requisição que está chegando ao meu firewall, é o
> ip do linux e não da estação.
>
> Desenho:
>
> |-----------| |-------| |-----------------------|
> |--------------------| |------------------|
> |Estação A | | | |Linux Bridge Mode | |
> | | |
> |IP:10.0.0.4|----------|Switch
> |--------|Squid/Ebtables/Iptables|-------|Firewall |------|Router
> |--------- INTERNET
> |GW:10.0.0.1| | | |IP: 10.0.0.3 | |IP:
> 10.0.0.1 | |IP 200.200.200.XXX|
> | | | | |GW: 10.0.0.1 | |GW:
> 200.200.200.XXX | | |
> |-----------| |-------| |-----------------------|
> |--------------------| |------------------|
>
> Existe alguma forma de deixar isso realmente transparente para o firewall, de
> forma que o ip da estação passe pelo proxy, gere o log e o cache como padrão
> e efetue um registro no firewall mantendo o ip da estação ao invés de efetuar
> o registro com o ip do proxy.
>
> Desde de já agradeço.
>
> [.]´s
>
> Diego
More information about the gter
mailing list