-
1 Anexo(s)
Ainda estou com problemas, minha situação é o seguinte, tenho meu firewall e roteador da minha rede, meu servidor proxy e msn-proxy e minhas estações, não estou conseguinte fazer o msn-proxy funcionar com essa topologia, só que é o seguinte, não posso mudar essa topologia, pois os serviços que estão rodando nesse entorno já estão criticos e complexos.
Preciso fazer o msn-proxy funcionar com a topologia atual, no meu ambiente de teste funciona blz, pois uso o proxy como roteador. Mas no abiente de produção vai ser conforme o atual.
https://under-linux.org/forums/attac...1&d=1213649584
-
Como estão as regras do firewall??
O problema provavelmente é devido ao redirecionamento com Nat...
-
Use o Layer7 para jogar o MSN para seu msn-proxy.
-
Coloquei o IP do Proxy/msn-proxy representado com IP 10.0.0.2, e assim estão minhas regras no Firewall e Proxy/msn-proxy.
Ex.:
Regra do Firewall
iptables -t nat -A PREROUTING -i eth0 -p tcp -s ! 10.0.0.2/255.255.255.255 --dport 1863 -j DNAT --to-destination 10.0.0.2:1863
Regra do Proxy/msn-proxy
iptables -t nat -I PREROUTING -p tcp --dport 1863 -j REDIRECT --to-port 1863
-
Cara, é 99,9% de certeza que o seu problema é o seguinte:
Quando seu gateway recebe os pacotes de MSN ele executa a seguinte regra: iptables -t nat -A PREROUTING -i eth0 -p tcp -s ! 10.0.0.2/255.255.255.255 --dport 1863 -j DNAT --to-destination 10.0.0.2:1863
Que altera o IP de destino dos pacotes para 10.0.0.2.
Vou explicar passo a passo:
vamos supor que a máquina esteja usando o MSN tenha o IP 10.0.0.30, que o gateway seja o 10.0.0.1 e o MSN-proxy o 10.0.0.2.
Quando o host gera o pacote ele contem os campos IP de origem e IP de destino que respectivamente são os IP: 10.0.0.30 e 10.0.0.1.
Quando o gateway recebe esse pacote ele altera o IP de destino, de 10.0.0.1 para 10.0.0.2 e roteia o pacote.
Quando o MSN-proxy recebe o pacote ele processa e tenta responder, ao tentar responder ele envia diretamente para o host 10.0.0.30, uma vez que ambos estão na mesma rede (10.0.0.0/24) ele não encaminha o pacote para o gateweay.
Quando o host recebe o pacote com IP de origem 10.0.0.2 e IP de destino 10.0.0.30 (ele mesmo), ele simplesmente descarta esse pacote, pois ele requisitou essa conexão com o IP 10.0.0.1 e não com o 10.0.0.2! Deu pra entender ne?! Se esse pacote voltasse pelo gateway esse DNAT seria desfeito, e o host aceitaria a conexão...
Agora vamos pra solução:
1. Criar um SNAT, porém para o MSN-proxy todas as conexões estarão sendo abertas pelo gateway, 10.0.0.1 devido ao SNAT.
2. Mover esse MSN-proxy para outra rede (o que você disse que era inviável).
Qualquer dúvida posta ai...