[GTER] squid x firewall

Ricardo Kleber rk at ufrnet.br
Sat Nov 18 00:47:33 -02 2006 

Diego,

Talvez não esteja claro pra você o conceito de Proxy...
A função do Proxy é exatamente esta...  As conexões são redirecionadas para 
ele, que intercepta, realiza a conexão de fato (ou em caso de proxy cache pode 
retornar a página em cache), recebe a resposta e entrega à máquina que originou 
a conexão.
O fato de ser "transparente" não é transparente para o teu firewall externo, 
mas, a transparência está na intermediação independente do conhecimento ou 
alterações no cliente. O IP de origem será o IP da máquina em que está o proxy 
pois é quem realmente realiza da conexão externa.
Se você quer fazer alguma filtragem baseada no IP de onde partiu realmente a 
conexão isso tem que ser feito antes de chegar no proxy (ou nas próprias regras 
do proxy, via acl, por exemplo).

Abraço,

Ricardo Kléber

On Fri, 17 Nov 2006, Diego HC Silva wrote:

> Bom dia amigos,
> 
> Estou com um problema e gostaria de saber se vc´s tem alguma idéia que possa 
> me ajudar.
> 
> Tenho um proxy transparente trabalhando em cima de um linux em bridge mode 
> (usando ebtables e brctl) e fazendo redirecionamento da porta 80 para a 3128 
> com iptables. Até ae tudo bem, padrão.
> 
> Meu problema é que o ip de requisição que está chegando ao meu firewall, é o 
> ip do linux e não da estação.
> 
> Desenho:
> 
> |-----------|          |-------|        |-----------------------| 
> |--------------------|      |------------------|
> |Estação A  |          |       |        |Linux Bridge Mode      |       | 
> |      |                  |
> |IP:10.0.0.4|----------|Switch 
> |--------|Squid/Ebtables/Iptables|-------|Firewall            |------|Router 
> |--------- INTERNET
> |GW:10.0.0.1|          |       |        |IP: 10.0.0.3           |       |IP: 
> 10.0.0.1        |      |IP 200.200.200.XXX|
> |           |          |       |        |GW: 10.0.0.1           |       |GW: 
> 200.200.200.XXX |      |                  |
> |-----------|          |-------|        |-----------------------| 
> |--------------------|      |------------------|
> 
> Existe alguma forma de deixar isso realmente transparente para o firewall, de 
> forma que o ip da estação passe pelo proxy, gere o log e o cache como padrão 
> e efetue um registro no firewall mantendo o ip da estação ao invés de efetuar 
> o registro com o ip do proxy.
> 
> Desde de já agradeço.
> 
> [.]´s
> 
> Diego

More information about the gter mailing list