[GTER] ENC: squid x firewall

[Felipe Kellermann]

On Fri, 17 Nov 2006 10:30pm  -0500, Julio Arruda wrote:

> Na verdade nao e' bem assim..
> Nunca usei no squid , mas o conceito e' comum em Web Cache Redirection.
> Se chama IP Spoofing.
> 
> http://www.mail-archive.com/squid-users@squid-cache.org/msg42328.html

Transparentes com coisas como o tproxy geralmente são usadas apenas quando 
tu não consegue obter, pelo teu esquema de filtragem/tradução (ip-filter, 
ipf, netfilter, etc), alguma informação sobre como traduções foram feitas 
(getsockopt SO_ORIGINAL_DST, similares em outros ambientes).  Um caso onde 
isto ocorre é justamente quando tu tem uma separação entre um sistema que 
faz a tradução e um que está com o processo fazendo proxying.

Uma informação obrigatória para qualquer ambiente que faça tradução, para 
ser realmente útil, é "de qual era o endereço original da conexão", antes 
de ela ser traduzida.

Sempre que um processo precisa fazer proxying transparente, ele precisa 
ser informado de como foi feita a tradução da conexão original.  Assim ele 
pode fazer binding (para o endereço sair com o endereço em que foi feito o 
direcionamento) e então um connect (para o endereço em que seria a conexão 
original).

É isto que o Squid ou qualquer outro similar faz, autoconfed.


-- 
Felipe Kellermann
felipek at wait4.org