[GTER] ENC: squid x firewall
Felipe Kellermann
stdfk at terra.com.br
Sat Nov 18 01:47:57 -02 2006
On Fri, 17 Nov 2006 10:30pm -0500, Julio Arruda wrote:
> Na verdade nao e' bem assim..
> Nunca usei no squid , mas o conceito e' comum em Web Cache Redirection.
> Se chama IP Spoofing.
>
> http://www.mail-archive.com/squid-users@squid-cache.org/msg42328.html
Transparentes com coisas como o tproxy geralmente são usadas apenas quando
tu não consegue obter, pelo teu esquema de filtragem/tradução (ip-filter,
ipf, netfilter, etc), alguma informação sobre como traduções foram feitas
(getsockopt SO_ORIGINAL_DST, similares em outros ambientes). Um caso onde
isto ocorre é justamente quando tu tem uma separação entre um sistema que
faz a tradução e um que está com o processo fazendo proxying.
Uma informação obrigatória para qualquer ambiente que faça tradução, para
ser realmente útil, é "de qual era o endereço original da conexão", antes
de ela ser traduzida.
Sempre que um processo precisa fazer proxying transparente, ele precisa
ser informado de como foi feita a tradução da conexão original. Assim ele
pode fazer binding (para o endereço sair com o endereço em que foi feito o
direcionamento) e então um connect (para o endereço em que seria a conexão
original).
É isto que o Squid ou qualquer outro similar faz, autoconfed.
--
Felipe Kellermann
felipek at wait4.org
More information about the gter
mailing list