Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Pedro M. López wrote:
>>Gracias por tu explicacion. Sé lo que es y como se configura un
>>cache/proxy transparente, de hecho en un correo de hace un par de horas,
>>lo recomende ;)
>>Lo que no me quedo claro de tu correo es porque afirmas que al usar un
>>proxy transparente, dejas al cliente resolver los nombres y como lo haces.
>>No es lo habitual y dudo que sea recomendable.
>>Saludos!
>
>
> A ver si te aclaro estas dudas... pero que conste que no soy un buen
> profesor :-)
>
> Cuando se usa un proxy transparente, se "raptan" las peticiones de conexiones
> al puerto 80, y se redirigen al proxy.
De alli el nombre de "transparente": el usuario nunca se entera de ello
y no debe configurar absolutamente nada.
> Si actúas a ese nivel de conexión, estas interceptando conexiones a nivel TCP,
> que se dirigen no a www.google.es si no a la ip 216.239.59.10.
Tengo mis dudas acerca de esto, voy a investigar al respecto.
>
> La resolución de nombres funciona igual que cuando no hay proxy, a menos por
> supuesto que también interceptes las peticiones de resolución (UDP 53).
Eso es lo logico, y por eso le pregunte porque a el le funcionaba asi.
No tiene sentido "transparentar" un servicio pero no otro, no?
> Por tanto la resolución de nombres la hace el navegador, y es en el siguiente
> paso cuando actúa el proxy.
EMHO, insisto, no tiene sentido.
Yo uso (y recomiendo) el paquete dnsmasq para esto, el cual, me da otros
beneficios adicionales:
ricardo@kebek:~ $ sudo aptitude show dnsmasq
Paquete: dnsmasq
Nuevo: sí
Estado: sin instalar
Versión: 2.22-2
Prioridad: opcional
Sección: universe/net
Desarrollador: Simon Kelley <simon@thekelleys.org.uk>
Tamaño sin comprimir: 299k
Depende de: netbase, libc6 (>= 2.3.4-1)
Sugiere: resolvconf
Tiene conflictos con: pdnsd, resolvconf (< 1.15)
Descripción: A small caching DNS proxy and DHCP server.
Dnsmasq is lightweight, easy to configure DNS forwarder and DHCP
server. It is designed to provide DNS and, optionally,
DHCP, to a small network. It can serve the names of local machines
which are not in the global DNS. The DHCP server
integrates with the DNS server and allows machines with DHCP-allocated
addresses to appear in the DNS with names
configured either in each host or in a central configuration file.
Dnsmasq supports static and dynamic DHCP leases and
BOOTP for network booting of diskless machines.
.
>
> Ten en cuenta además que cuando el navegador pide que se le sirva una página,
> suele mandar un comando GET del HTTP 1.1, que incluye la URL que se desea,
> paso que puede aprovechar el proxy para usar el cache o bien actualizarlo.
> http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.23
>
> Por todo esto es por lo que digo que es el navegador el que hace resolución de
> nombres.
Aqui es donde no puedo darte aun toda la razon.
> Por supuesto puedes complicar todo esto y aumentar tu nivel de
> seguridad si consideras que las resoluciones de nombres pueden ser
> peligrosas, creando un proxy para el DNS,
O usas un proxy (arriba te doy una solucion) o rediriges el puerto al
server.
> o alguna solución más complicada
> (que existe, pero que no voy a explicar ahora, más que nada porque me
> llevaría un buen rato y es la hora del desayuno).
>
> De todas formas, recomiendo la lectura de
> http://people.netfilter.org/~rusty/ipchains/spanish/HOWTO-3.html
> Sobre todo el punto 3.5, y además en castellano!
>
Bastante bien como profesor, te dire :)
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFEBvTqkw12RhFuGy4RAkb6AKCC29aqzNKDT2ErS2QzpRnujmmG3ACeO1nS
8y9hZfkiYXGX2gREE3mfeDA=
=jt7f
-----END PGP SIGNATURE-----
Reply to: