Re: Transparenter Squid
Hallo,
Andreas Kretschmer <andreas.kretschmer@schollglas.com>:
>Örks. Nun bin ich verwirrt:
>Die Sache funktioniert Out-of-The-Box, wenn ich Masquerading für das
>Netz einschalten. Will ich aber eher nicht. Muß ich das zwingend?
Das erhärtet den Verdacht, dass es auf dem Router mehr iptables-Regeln
als nur die genannte gibt.
Falls Du Filterregeln mit Connection Tracking (-m state) verwendest,
dann ist Dein Netz möglicherweise empfindlich gegenüber asymmetrischem
Routing. Genau das bekommst Du aber mit der genannten DNAT Regel, denn
die Antwortpakete des Proxy-Rechners gehen nicht über den Router.
Eine mögliche Abhilfe ist, die Client-Zugriffe gegenüber dem Proxy-Rechner
zu MASQUERADEn. Sie hat aber den Nachteil, dass man im Proxy-Log die Quelle
der Anfragen nicht mehr sieht. Eine andere Möglichkeit ist ein ACCEPT für
alle Pakete mit "-i $INTDEV -o INTDEV" (ohne -m state).
Gruß, Harald
--
Harald Weidner hweidner@gmx.net
Reply to: