+ Responder ao Tópico



  1. #1

    Padrão Proxy transparente em outro servidor

    PROXY TRANSPARENTE EM OUTRA MÁQUINA

    O esquema da rede é a seguinte:

    -------------------
    gateway+firewall
    10.1.1.150
    -------------------

    -------------------

    proxy
    10.1.1.254
    -------------------

    Atualmente não estamos utilizando proxy, mas agora surgiu a necessidade de se usar um proxy transparente para fazer um controle de acesso e histórico de acesso. Foi montado um servidor debian 6 com proxy transparente e sarg para efetuar esse trabalho. Agora a questão é a seguinte:

    PS: Foi feito teste no proxy setando o proxy manualmente e ele está funcionado 100%

    - O atual gateway+firewall_dhcp faz MASQUERADE total da rede interna.
    - Conexões para internet (porta 80) deverá passar pelo proxy.

    Foi tentado fazer um DNAT da seguinte maneira no gateway:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.1.1.254:3128

    Monitorando os logs do access.log ele está recebendo as requisições do gateway conforme abaixo:

    1305039927.965 8783 10.1.1.150 TCP_MISS/200 20108 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.973 8821 10.1.1.150 TCP_MISS/200 20209 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.985 8863 10.1.1.150 TCP_MISS/200 20310 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039927.993 8906 10.1.1.150 TCP_MISS/200 20411 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.005 8952 10.1.1.150 TCP_MISS/200 20512 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.013 8990 10.1.1.150 TCP_MISS/200 20613 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.025 9036 10.1.1.150 TCP_MISS/200 20714 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
    1305039928.039 9080 10.1.1.150 TCP_MISS/200 20815 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html

    A questão é que as estações não navegam depois de aplicado a regra.

    Uma outra questão, utilizando este redirecionamento, eu vou perder os ips para os relatórios do sarg, pois as requisições que o proxy vai receber serão sempre do gateway com ip 10.1.1.150 e não as estações. Teria como fazer o redirecionamento e manter os ips das estações?

    Obrigado pela atenção galera.

  2. #2

    Padrão Re: Proxy transparente em outro servidor

    topologia...

    no caso é preciso posicionar o proxy entre a rede cliente e o gateway de saída

    a topologia que usamos aqui é a seguinte:

    firewall/gateway rede cliente --> proxy --> firewall de borda

    redirecionando (no firewall/gateway rede cliente) as requisições com destino a porta 80 para a porta 3128 do proxy

    dessa maneira temos um relatório redondinho por cliente no proxy.



  3. #3

    Padrão Re: Proxy transparente em outro servidor

    Entendi, atualmente minha topologia está assim e creio que é por isso que não está funcionado.

    MODEM ADSL <--> GATEWAY/FIREWALL (10.1.1.150)
    .......................|
    .......................-- ESTACAO1 (10.1.1.50)
    .......................-- ESTACAO2 (10.1.1.51)
    .......................-- ESTACAON (10.1.1.XX)
    .......................-- PROXY (10.1.1.254)

    Desta maneira eu só consegui fazer navegar setando o proxy nos navegadores, quando eu tentei aplicar a regra de DNAT, ele redirecionou pois eu visualizava nos logs, mas as máquinas não navegavam. E estando assim todas as requisições que o proxy recebeu, foram do ip 10.1.1.150, omitindo os ips dos usuários e não sendo possível gerar os relatórios.

    Terei que colocar meu proxy entre o GATEWAY e o MODEM ADSL então? Ficando a topologia assim:

    MODEM ADSL <--> PROXY(10.1.1.254) <--> GATEWAY/FIREWALL (10.1.1.150)
    ..............................................|
    .............................................. -- ESTACAO1 (10.1.1.50)
    ...............................................-- ESTACAO2 (10.1.1.51)
    .............................................. -- ESTACAON (10.1.1.52)

    Sua topologia está desta maneira como descrevi acima?

    Obrigado pelas dicas aí por enquanto.