Transzparens proxy és átjáró nem ugyan az.

Fórumok

Sziasztok a gondom a következő. Van egy gépem amit szeretnék beállítani transzparens proxynak a hálózatomba, de azt nem tudom megoldani, hogy ő legyen az átjáró. Van hozzáférésem a tűzfalhoz. Mit kéne tennem, hogy működjön a dolog? Próbálkoztam dst-nat-al de valahogy nem jött össze. Bekapcsoltam a sysctl-be a forwardot is. Valaki nem tudna egy részletes leírással megdobni? Ja ha mint proxy megyek rá direktbe akkor müxik. De transzparensként nem. Az ip címe 192.168.1.247 az átjáróé 192.168.1.254 és a 3128-as porton figyel a squid3-om. Köszönet előre is.

Hozzászólások

Proxyn:

Kapja meg az eddigi átjáró ip címét + echo 1 > /proc/sys/net/ipv4/ip_forward + Squid transparens proxy-ként konfigurálni

Átjáró:

Adj egy új ip-t neki + iptables-en a 80-as forgalmat a proxy-ra rányomni.

Klienseken:

Konfiguráció maradhat az eddigi.

tetszik ez a gondolatmenet :)
addig én is úgy csinálnám, hogy a proxy kapja meg az átjáró címét, így lehet ő a transparent squid, de én itt tolnék egy 80 > 3128 portforwardot + nat és az ő átjárója pedig lenne az eddigi átjáró, aminek persze megváltoztatja a címét
mondjuk ennyi erővel ha van hozzáférésed a tűzfalhoz, miért nem az a proxy is?

a tűzfal konfiguráció a kulcsa az egésznek, ahol viszont több trükk is van, amire oda kell figyelni:
- a proxy-t kivételként kell kezelni - csúnya loop lesz abból, ha a proxyról kimenő kérést is redirecteli a tűzfal a proxyhoz :-)
- nem elég a DNAT, hanem SNAT avagy MASQUERADE is kell. Ennek az az oka, hogy a válasz csomagnak ugyanazon az útvonalon kell visszamennie, ahogy a kérés csomag ment. Ha a tűzfal nem maszkol, akkor a proxy gép direktben vissza fogja adni a választ az eredeti kérést szülő gépnek - az viszont nem tud a proxyról, nem is vár választ tőle, így eldobja a csomagot, amire viszont várná a választ, arra sosem fog jönni. A masquerade miatt viszont a proxy a tűzfalnak fogja adni a választ, így ott megtörténik a demask és így már jó válasz fog visszamenni, a proxy innen kezdve működik
a dolog szépség hibája: a proxyhoz minden kérés úgy fog beesni, mintha a tűzfal kérdezne le, így gépre bontott statisztika nem készíthető. mivel a proxy transzparens, így authentikáció sem játszik, tehát user szintű statisztika sem készíthető
a "szép" megoldás, hogy a proxy külön subnetbe kerül - akkor is, ha fizikailag ugyanaz a LAN - és ekkor a tűzfal route-ol a két subnet között. Ebben a felállásban nem kell a SNAT/MASQUERADE.

Nem értem hol itt a gond:

LAN - proxy - tűzfal(router) és készen is vagy!

c