PROXY TRANSPARENTE EM OUTRA MÁQUINA
O esquema da rede é a seguinte:
-------------------
gateway+firewall
10.1.1.150
-------------------
-------------------
proxy
10.1.1.254
-------------------
Atualmente não estamos utilizando proxy, mas agora surgiu a necessidade de se usar um proxy transparente para fazer um controle de acesso e histórico de acesso. Foi montado um servidor debian 6 com proxy transparente e sarg para efetuar esse trabalho. Agora a questão é a seguinte:
PS: Foi feito teste no proxy setando o proxy manualmente e ele está funcionado 100%
- O atual gateway+firewall_dhcp faz MASQUERADE total da rede interna.
- Conexões para internet (porta 80) deverá passar pelo proxy.
Foi tentado fazer um DNAT da seguinte maneira no gateway:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.1.1.254:3128
Monitorando os logs do access.log ele está recebendo as requisições do gateway conforme abaixo:
1305039927.965 8783 10.1.1.150 TCP_MISS/200 20108 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.973 8821 10.1.1.150 TCP_MISS/200 20209 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.985 8863 10.1.1.150 TCP_MISS/200 20310 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.993 8906 10.1.1.150 TCP_MISS/200 20411 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.005 8952 10.1.1.150 TCP_MISS/200 20512 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.013 8990 10.1.1.150 TCP_MISS/200 20613 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.025 9036 10.1.1.150 TCP_MISS/200 20714 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.039 9080 10.1.1.150 TCP_MISS/200 20815 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
A questão é que as estações não navegam depois de aplicado a regra.
Uma outra questão, utilizando este redirecionamento, eu vou perder os ips para os relatórios do sarg, pois as requisições que o proxy vai receber serão sempre do gateway com ip 10.1.1.150 e não as estações. Teria como fazer o redirecionamento e manter os ips das estações?
Obrigado pela atenção galera.