-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Aug 26, 2005, at 3:34 PM, Pignedoli Luca wrote:
Da: straluna <straluna@email.it> A: debian-italian@lists.debian.org Oggetto: Re:configurazione iptables x proxy rete interna Data: 26/8/2005 15:22Alura, se il proxy sta nella stessa subnet del fwall devi lavorare anche di snat perche' le risposte del proxy altrimenti vanno direttamente al client che ha fatto la richiesta, e questo tu non lo vuoi. Tcpdump sul client ti sara' moooolto utile.Ok, ho capito quello che vuoi dire, ma non mi va' bene e ti spiego il perche':Facendo cosi' (cioe' nattando gli ip dei client) per il server proxy le richieste dell pagine internet vengono eseguite sempre dallo stesso host
Questo richiede però che il firewall sia trasparente e che il router che ti fa uscire (che fa NAT per forza) abbia le rotte inverse per far tornare indietro le richieste.
(cioe' il fw), e questo mi impedisce di:1) Creare delle acl sul tipo dei siti da visualizzare per client (ClientA puo' vedere www.tin.it mentre il Client B no) 2) Avere una statistica di siti visualizzati per client.
Beh, potresti mettere snort+mysql+acid sul fw. Crei una regola su snort che ti logga tutte le richieste provenienti dai client (che magari vengono dallla eth0 ad esempio) con destination port = 80... volendo lo fai.
Ciao e grazie ancora.
Figurati! - - Riccardo Tortorici - Linux Registered User #365170 Count yourself @ http://counter.li.org/ ! - -- HTML email can be dangerous, is not always readable, wastes bandwidth and is simply not necessary please don't send them to me! http://www.georgedillon.com/web/netiquette.shtml -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (Darwin) iD8DBQFDDxxPSiJn2/P84wYRAvNbAJ42QBJvYxXr5yfGSmCSWuwLxASg/ACcCu9M B12lkWvml9u8ck4/E0flFX8= =yAZW -----END PGP SIGNATURE-----