Proxy transparente em outro servidor
PROXY TRANSPARENTE EM OUTRA MÁQUINA
O esquema da rede é a seguinte:
-------------------
gateway+firewall
10.1.1.150
-------------------
-------------------
proxy
10.1.1.254
-------------------
Atualmente não estamos utilizando proxy, mas agora surgiu a necessidade de se usar um proxy transparente para fazer um controle de acesso e histórico de acesso. Foi montado um servidor debian 6 com proxy transparente e sarg para efetuar esse trabalho. Agora a questão é a seguinte:
PS: Foi feito teste no proxy setando o proxy manualmente e ele está funcionado 100%
- O atual gateway+firewall_dhcp faz MASQUERADE total da rede interna.
- Conexões para internet (porta 80) deverá passar pelo proxy.
Foi tentado fazer um DNAT da seguinte maneira no gateway:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.1.1.254:3128
Monitorando os logs do access.log ele está recebendo as requisições do gateway conforme abaixo:
1305039927.965 8783 10.1.1.150 TCP_MISS/200 20108 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.973 8821 10.1.1.150 TCP_MISS/200 20209 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.985 8863 10.1.1.150 TCP_MISS/200 20310 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039927.993 8906 10.1.1.150 TCP_MISS/200 20411 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.005 8952 10.1.1.150 TCP_MISS/200 20512 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.013 8990 10.1.1.150 TCP_MISS/200 20613 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.025 9036 10.1.1.150 TCP_MISS/200 20714 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
1305039928.039 9080 10.1.1.150 TCP_MISS/200 20815 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.55.5.233 text/html
A questão é que as estações não navegam depois de aplicado a regra.
Uma outra questão, utilizando este redirecionamento, eu vou perder os ips para os relatórios do sarg, pois as requisições que o proxy vai receber serão sempre do gateway com ip 10.1.1.150 e não as estações. Teria como fazer o redirecionamento e manter os ips das estações?
Obrigado pela atenção galera.
Re: Proxy transparente em outro servidor
topologia...
no caso é preciso posicionar o proxy entre a rede cliente e o gateway de saída
a topologia que usamos aqui é a seguinte:
firewall/gateway rede cliente --> proxy --> firewall de borda
redirecionando (no firewall/gateway rede cliente) as requisições com destino a porta 80 para a porta 3128 do proxy
dessa maneira temos um relatório redondinho por cliente no proxy.
Re: Proxy transparente em outro servidor
Entendi, atualmente minha topologia está assim e creio que é por isso que não está funcionado.
MODEM ADSL <--> GATEWAY/FIREWALL (10.1.1.150)
.......................|
.......................-- ESTACAO1 (10.1.1.50)
.......................-- ESTACAO2 (10.1.1.51)
.......................-- ESTACAON (10.1.1.XX)
.......................-- PROXY (10.1.1.254)
Desta maneira eu só consegui fazer navegar setando o proxy nos navegadores, quando eu tentei aplicar a regra de DNAT, ele redirecionou pois eu visualizava nos logs, mas as máquinas não navegavam. E estando assim todas as requisições que o proxy recebeu, foram do ip 10.1.1.150, omitindo os ips dos usuários e não sendo possível gerar os relatórios.
Terei que colocar meu proxy entre o GATEWAY e o MODEM ADSL então? Ficando a topologia assim:
MODEM ADSL <--> PROXY(10.1.1.254) <--> GATEWAY/FIREWALL (10.1.1.150)
..............................................|
.............................................. -- ESTACAO1 (10.1.1.50)
...............................................-- ESTACAO2 (10.1.1.51)
.............................................. -- ESTACAON (10.1.1.52)
Sua topologia está desta maneira como descrevi acima?
Obrigado pelas dicas aí por enquanto.