+ Responder ao Tópico



  1. PROXY TRANSPARENTE EM OUTRA MÁQUINA

    O esquema da rede é a seguinte:

    -------------------
    gateway+firewall
    10.1.1.150
    -------------------

    -------------------

    proxy
    10.1.1.254
    -------------------

    Atualmente não estamos utilizando proxy, mas agora surgiu a necessidade de se usar um proxy transparente para fazer um controle de acesso e histórico de acesso. Foi montado um servidor debian 6 com proxy transparente e sarg para efetuar esse trabalho. Agora a questão é a seguinte:

    PS: Foi feito teste no proxy setando o proxy manualmente e ele está funcionado 100%

    - O atual gateway+firewall_dhcp faz MASQUERADE total da rede interna.
    - Conexões para internet (porta 80) deverá passar pelo proxy.

    Foi tentado fazer um DNAT da seguinte maneira no gateway:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.1.1.254:3128

    Monitorando os logs do access.log ele está recebendo as requisições do gateway conforme abaixo:

    1305039927.965 8783 10.1.1.150 TCP_MISS/200 20108 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.973 8821 10.1.1.150 TCP_MISS/200 20209 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.985 8863 10.1.1.150 TCP_MISS/200 20310 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.993 8906 10.1.1.150 TCP_MISS/200 20411 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.005 8952 10.1.1.150 TCP_MISS/200 20512 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.013 8990 10.1.1.150 TCP_MISS/200 20613 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.025 9036 10.1.1.150 TCP_MISS/200 20714 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.039 9080 10.1.1.150 TCP_MISS/200 20815 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html

    A questão é que as estações não navegam depois de aplicado a regra.

    Uma outra questão, utilizando este redirecionamento, eu vou perder os ips para os relatórios do sarg, pois as requisições que o proxy vai receber serão sempre do gateway com ip 10.1.1.150 e não as estações. Teria como fazer o redirecionamento e manter os ips das estações?

    Obrigado pela atenção galera.

  2. topologia...

    no caso é preciso posicionar o proxy entre a rede cliente e o gateway de saída

    a topologia que usamos aqui é a seguinte:

    firewall/gateway rede cliente --> proxy --> firewall de borda

    redirecionando (no firewall/gateway rede cliente) as requisições com destino a porta 80 para a porta 3128 do proxy

    dessa maneira temos um relatório redondinho por cliente no proxy.



  3. Entendi, atualmente minha topologia está assim e creio que é por isso que não está funcionado.

    MODEM ADSL <--> GATEWAY/FIREWALL (10.1.1.150)
    .......................|
    .......................-- ESTACAO1 (10.1.1.50)
    .......................-- ESTACAO2 (10.1.1.51)
    .......................-- ESTACAON (10.1.1.XX)
    .......................-- PROXY (10.1.1.254)

    Desta maneira eu só consegui fazer navegar setando o proxy nos navegadores, quando eu tentei aplicar a regra de DNAT, ele redirecionou pois eu visualizava nos logs, mas as máquinas não navegavam. E estando assim todas as requisições que o proxy recebeu, foram do ip 10.1.1.150, omitindo os ips dos usuários e não sendo possível gerar os relatórios.

    Terei que colocar meu proxy entre o GATEWAY e o MODEM ADSL então? Ficando a topologia assim:

    MODEM ADSL <--> PROXY(10.1.1.254) <--> GATEWAY/FIREWALL (10.1.1.150)
    ..............................................|
    .............................................. -- ESTACAO1 (10.1.1.50)
    ...............................................-- ESTACAO2 (10.1.1.51)
    .............................................. -- ESTACAON (10.1.1.52)

    Sua topologia está desta maneira como descrevi acima?

    Obrigado pelas dicas aí por enquanto.






Tópicos Similares

  1. Redirecionar porta 80 para 3128 em outro servidor proxy.
    Por ivamfabrizo no fórum Servidores de Rede
    Respostas: 3
    Último Post: 01-04-2010, 16:55
  2. qmail relay em outro servidor de email
    Por flanandorj no fórum Servidores de Rede
    Respostas: 3
    Último Post: 30-09-2005, 21:44
  3. Proxy em outro servidor
    Por MoRhY no fórum Servidores de Rede
    Respostas: 5
    Último Post: 17-08-2005, 18:55
  4. Aplicativo java em outro Servidor
    Por PolacoCWB no fórum Servidores de Rede
    Respostas: 0
    Último Post: 01-08-2005, 15:11
  5. sendmail fazendo autenticação em outro servidor smtp
    Por MarceloMartins no fórum Servidores de Rede
    Respostas: 1
    Último Post: 02-03-2004, 11:27

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L