Re: Transparenter Squid

To: debian-user-german@lists.debian.org
Subject: Re: Transparenter Squid
From: Harald Weidner <hweidner-lists@gmx.net>
Date: Thu, 13 Nov 2003 17:14:13 +0000 (UTC)
Message-id: <[🔎] bp0e55$f4t$2@shadowland.metal.loc>
In-reply-to: <[🔎] 20031113144012.GA17998@Pinguin.wug-glas.de>

Hallo,

Andreas Kretschmer <andreas.kretschmer@schollglas.com>:

>Örks. Nun bin ich verwirrt:
>Die Sache funktioniert Out-of-The-Box, wenn ich Masquerading für das
>Netz einschalten. Will ich aber eher nicht. Muß ich das zwingend?

Das erhärtet den Verdacht, dass es auf dem Router mehr iptables-Regeln
als nur die genannte gibt.

Falls Du Filterregeln mit Connection Tracking (-m state) verwendest,
dann ist Dein Netz möglicherweise empfindlich gegenüber asymmetrischem
Routing. Genau das bekommst Du aber mit der genannten DNAT Regel, denn
die Antwortpakete des Proxy-Rechners gehen nicht über den Router.

Eine mögliche Abhilfe ist, die Client-Zugriffe gegenüber dem Proxy-Rechner
zu MASQUERADEn. Sie hat aber den Nachteil, dass man im Proxy-Log die Quelle
der Anfragen nicht mehr sieht. Eine andere Möglichkeit ist ein ACCEPT für
alle Pakete mit "-i $INTDEV -o INTDEV" (ohne -m state).

Gruß, Harald

-- 
Harald Weidner                           hweidner@gmx.net

Reply to:

Follow-Ups:
- Re: Transparenter Squid
  - From: Andreas Kretschmer <kretschmer@kaufbach.delug.de>

References:
- Re: Transparenter Squid
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>

Prev by Date: Re: Re: fetchmail für alle Benutzer?
Next by Date: Re: Lehmann's neue Debian(-basierte) Installations-DVD
Previous by thread: Re: Transparenter Squid
Next by thread: Re: Transparenter Squid
Index(es):
- Date
- Thread