Proxy transparente em outro servidor

[cristianff]

PROXY TRANSPARENTE EM OUTRA MÁQUINA

O esquema da rede é a seguinte:

-------------------
gateway+firewall
10.1.1.150
-------------------

-------------------
proxy
10.1.1.254
-------------------

Atualmente não estamos utilizando proxy, mas agora surgiu a necessidade de se usar um proxy transparente para fazer um controle de acesso e histórico de acesso. Foi montado um servidor debian 6 com proxy transparente e sarg para efetuar esse trabalho. Agora a questão é a seguinte:

PS: Foi feito teste no proxy setando o proxy manualmente e ele está funcionado 100%

- O atual gateway+firewall_dhcp faz MASQUERADE total da rede interna.
- Conexões para internet (porta 80) deverá passar pelo proxy.

Foi tentado fazer um DNAT da seguinte maneira no gateway:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.1.1.254:3128

Monitorando os logs do access.log ele está recebendo as requisições do gateway conforme abaixo:

1305039927.965 8783 10.1.1.150 TCP_MISS/200 20108 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.973 8821 10.1.1.150 TCP_MISS/200 20209 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.985 8863 10.1.1.150 TCP_MISS/200 20310 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.993 8906 10.1.1.150 TCP_MISS/200 20411 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.005 8952 10.1.1.150 TCP_MISS/200 20512 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.013 8990 10.1.1.150 TCP_MISS/200 20613 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.025 9036 10.1.1.150 TCP_MISS/200 20714 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.039 9080 10.1.1.150 TCP_MISS/200 20815 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html

A questão é que as estações não navegam depois de aplicado a regra.

Uma outra questão, utilizando este redirecionamento, eu vou perder os ips para os relatórios do sarg, pois as requisições que o proxy vai receber serão sempre do gateway com ip 10.1.1.150 e não as estações. Teria como fazer o redirecionamento e manter os ips das estações?

Obrigado pela atenção galera.

[xandeact]

topologia...

no caso é preciso posicionar o proxy entre a rede cliente e o gateway de saída

a topologia que usamos aqui é a seguinte:

firewall/gateway rede cliente --> proxy --> firewall de borda

redirecionando (no firewall/gateway rede cliente) as requisições com destino a porta 80 para a porta 3128 do proxy

dessa maneira temos um relatório redondinho por cliente no proxy.

[cristianff]

Entendi, atualmente minha topologia está assim e creio que é por isso que não está funcionado.

MODEM ADSL <--> GATEWAY/FIREWALL (10.1.1.150)
.......................|
.......................-- ESTACAO1 (10.1.1.50)
.......................-- ESTACAO2 (10.1.1.51)
.......................-- ESTACAON (10.1.1.XX)
.......................-- PROXY (10.1.1.254)

Desta maneira eu só consegui fazer navegar setando o proxy nos navegadores, quando eu tentei aplicar a regra de DNAT, ele redirecionou pois eu visualizava nos logs, mas as máquinas não navegavam. E estando assim todas as requisições que o proxy recebeu, foram do ip 10.1.1.150, omitindo os ips dos usuários e não sendo possível gerar os relatórios.

Terei que colocar meu proxy entre o GATEWAY e o MODEM ADSL então? Ficando a topologia assim:

MODEM ADSL <--> PROXY(10.1.1.254) <--> GATEWAY/FIREWALL (10.1.1.150)
..............................................|
.............................................. -- ESTACAO1 (10.1.1.50)
...............................................-- ESTACAO2 (10.1.1.51)
.............................................. -- ESTACAON (10.1.1.52)

Sua topologia está desta maneira como descrevi acima?

Obrigado pelas dicas aí por enquanto.