[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Res: iptables + squid

Felipe,
primeiro obrigado pela ajuda. Vc acha que se eu passar para proxy transparente teria condições de de estabecer esta regra ?

um abraço,

Leandro Soares

----- Mensagem original ----
De: Felipe Augusto van de Wiel (faw) <felipe@cathedrallabs.org>
Para: debian-user-portuguese@lists.debian.org
Enviadas: Segunda-feira, 30 de Abril de 2007 1:01:50
Assunto: Re: iptables + squid

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 04/25/2007 11:44 AM, Leandro Soares wrote:
> Amigos,
>
> tenho o seguinte cenário na minha rede:
>  
> 1) Router DLINK fazendo balanceamento de duas wan´s.
> 2) Um proxy (squid) + Firewall com autenticação.
>  
> |----------|  <---WAN1
> |  DLINK |      
> |----------|  <---WAN2
>        |
>        |
> |----------|
> | PROXY |      
> |----------|
>    |  |  |  |
>    |  |  |  |
> maquinas rede interna.
>
>
> Todas as maquina na rede acessam via Proxy que faz as requisições ao
> DLINK que faz o balanceamento do dois links.
> Meu problema é que tenho que fazer algumas configuração no DLINK para
> determinadas maquinas passarem só pela WAN1 e para fazer isso ele
> (DLINK) tem que identificar que a requisição esta vindo desta maquina e
> não do Proxy. Pergunto, tem alguma rede no iptables que  faça o DLINK
> identificar  a maquina interna que esta fazendo a requisição ?

    *Teoricamente*, você poderia ter dois proxies, isso
envolveria ter dois IPs na rede interna e dois IPs entre o
proxy e o DLINK, mas isso permitiria alguns justes de quem
vai pra onde.

    Como você não faz proxy transparente, as regras de
firewall teriam que ser feitas na saída, e nesse momento já
é o SQUID trabalhando, _talvez_ no squid.conf você possa
entrar algo para usar ACLs e definir diferentes ações, a
idéia seria fazer com que os pacotes chegassem com origens
diferentes no DLINK (ou seja, ter dois IPs de saída no
proxy), mas isso também dependeria da topologia da sua rede
(não poderia ser um cabo cross, a menos que o DLINK suportasse
IPs virtuais).


> um abraço,
> Leandro Soares

    Abraço,

- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGNWouCjAO0JDlykYRAg9CAJ9EX6+LVOKW/WiRHqog8SwHiQ23NQCdH1wP
eEYajU6AFeCn0h/qw0U69Aw=
=Z3wC
-----END PGP SIGNATURE-----


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/
Reply to: