Eu estou tentando simplificar a rede aqui da empresa (com 50 estações aproximadamente) que em virtude dos programas do governo (dentre outros, mas especialmente do governo), onde fico mudando script para acrescentar portas, ips, etc... num volume em que o script já se tornou uma bela macarronada, mesmo ele sendo modularizado e importando sites de arquivos .txt separadamente.
Para simplificar estou querendo fazer o seguinte:
Atualmente, meu gateway(gw) hipoteticamente 192.168.1.254 e meu proxy (hipoteticamente 192.168.1.253 com squid instaldo) são máquinas separadas. O gw é o que tem o modem/roteador de acesso à internet e o acesso do proxy e de outras estações se dá por ele. A rede tá configurada para os navegadores se autoconfigurarem sozinhos. Isso tudo funciona e tá perfeito, mas como lhes falei dá um belo trabalho fazer manutenção no script iptables do gw.
Para simplificar, estou pensando em mudar meu gw atual para permitir navegação transparente apenas do proxy.
Então em transformar o squid no novo gateway de minha rede, ficando um gw+proxy no mesmo computador, porém este seria o único a ter o gw 192.168.1.254(o que tem de fato acesso a internet). No restante da rede, o gw seria 192.168.1.253 (gw+proxy).
Acrescentaria em 192.168.1.253 (gw+proxy) no script de iptables uma instrução que encaminharia requisições da porta 80/443 para o squid e assim, aplicativos que se comunicam diretamente com os seus servidores na internet e que não usam a porta 80/443 estariam automaticamente liberados para qualquer destino.
Sei que existe o risco de um programa maléfico ficar desbloqueado se ele não usar porta 80/443, mas aqui, as instalações são bloqueadas e o risco é baixo.
O que acham da idéia?
Como vocês fazem para redirecionar a porta 80/443 para o proxy squid, sem necessariamente bloquear o próprio squid?
Qualquer opinião é bem vinda.