[GTER] RES: ENC: squid x firewall

Diego HC Silva dhcsilva at mentat.com.br
Mon Nov 20 08:53:35 -02 2006


Bom dia pessoal,

Andei lendo sobre o TPROXY e parece que é isso mesmo. Vou ver como aplicá-lo aqui.

Obrigado pela força

[.]´s

Diego.

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Ricardo Kleber
Enviada em: sábado, 18 de novembro de 2006 02:08
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] ENC: squid x firewall

Sim. Acho que era exatamente isso que ele queria.. Usar o proxy mantendo o 
endereço de origem. O tproxy que você citou cai como uma luva nessa 
situação.
Só que a segunda pergunta era se isso poderia ser feito somente pelo 
squid, sem o iptables. E minha resposta foi que não. Alguém tem que fazer 
o redirecionamento, este caso, o iptables (mesmo usando o módulo tproxy).

[]'s

Ricardo Kléber

On Fri, 17 Nov 2006, Julio Arruda wrote:

> Pelo que entendi, resolve exatamente o problema dele, ou estou enganado ?
>
> A maquina Squid teria que estar rodando o tproxy c/ patches e etc, e
> cada request chegaria no router para Internet com o endereco das
> estacoes 'originais', certo ?
>
> Ricardo Kleber wrote:
>> Julio,
>>
>> O artigo que você menciona cita o TPROXY que nada mais é que uma extensão
>> do Iptables (target adicional para fazer spoofing no endereço de origem
>> após passar pelo proxy na ida e no endereço de destino na volta).
>> Depende, sim, do iptables para fazer o NAT, como expliquei ao Diego.
>>
>> []'s
>>
>> Ricardo Kléber
>>
>>
>> On Fri, 17 Nov 2006, Julio Arruda wrote:
>>
>>> Ricardo Kleber wrote:
>>>> Diego,
>>>>
>>>> O squid atua em nível de aplicação, a transparência exige que alguém
>>>> realize um NAT de porta e isso só pode ser feito por um software que
>>>> atue em nível de rede e transporte. Esta é uma das funções de
>>>> ferramentas como iptables e/ou ebtables que atuam direto no kernel
>>>> antes, durante e/ou depois do roteamento realizando filtragem e/ou NAT.
>>>>
>>>> []'s
>>>>
>>>> Ricardo Kléber
>>>
>>> Na verdade nao e' bem assim..
>>> Nunca usei no squid , mas o conceito e' comum em Web Cache Redirection.
>>> Se chama IP Spoofing.
>>>
>>> http://www.mail-archive.com/squid-users@squid-cache.org/msg42328.html
>>>
>>>>
>>>> On Fri, 17 Nov 2006, Diego HC Silva wrote:
>>>>
>>>>> Aproveitando a dúvida, existe alguma forma de usar o squid
>>>>> transparente sem precisar de um aplicativo em paralelo como o
>>>>> iptables, algo que dependa do squid e mais ninguem?
>>>>
>>>> ------------------------------------------------------------------------
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> ------------------------------------------------------------------------
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list