Squid Iptables

Victor Hernandez M. vhernandez en munistgo.cl
Mar Ago 2 13:22:02 CLT 2011


Miguel, Gracias por tu respuesta y sorry por el tiempo que pasó.
He probado tproxy sin buenos resultados.

Si bien funciona SQUID aún el ASA sigue viendo el tráfico del puerto 80
con la IP de la máquina SQUID.

Al parecer si o si, será necesario hacer algún cambio en el esquema
o simplemente ejecutar las tareas en la máquina Linux en vez de en el 
Firewall core.

Saludos.

----- Original Message ----- 
From: "Miguel Oyarzo" <miguelaustro en gmail.com>
To: "Discusion de Linux en Castellano" <linux en listas.inf.utfsm.cl>
Sent: Friday, July 22, 2011 9:27 PM
Subject: Re: Squid Iptables


> On 23/07/2011 5:06 AM, Victor Hernandez M. wrote:
>>> Estimados, haber si alguien me puede dar una mano ... :d
>>
>>> [...]
>>
>>> El tema no es el ASA, sino la salida de la petición al puerto 80 desde 
>>> el SQUID hacia el Firewall.
>>> ¿Existirá alguna manera de no enmascarar el tráfico de ese puerto?
>>
>>> que version de squid tienes ??
>>> http://www.squid-cache.org/Doc/config/forwarded_for/
>>
>> Gracias Victor por contestar.
>>
>> Saludos Cordiales,
>> Víctor Hernández M.
>>
>
> Forwarded_for  es util solo en la capa 7 (de aplicaciones) y no en la 3, 
> por que es una variable de la cabecera HTTP.
>
> Algunas observaciones:
>
> 1) Enmascarar es alterar la direccion/puerto de Origen/Destino y recordar 
> de algun modo los valores originales. Esto sucede en tiempo real y 
> mientras esta establecida la conexion.
>
> 2) Los proxys NO  enmascaran nada. Ellos efectivamente DEBEN crear una 
> segunda conexion hacia el destinto.
> Las IP/Puerto que registra tu ASA "detras" del proxy son creadas en esa 
> maquina y no en el Host original.
> Ademas, cuando el numero de conexiones "entre el Host y el Proxy" es mayor 
> que "entre el Proxy e Internet", significa que un Cache esta trabajando.
>
> No obstante, lei agluna vez que existe un approach llamado Full o Fully 
> Transparent Mode en donde la direccion IP origen del cliente se maniente 
> intacta. Ultil por si quieres hacer algun filtering o QoS despues que el 
> trafico sale del proxy. Lo que no he investigado es si SQUID lo soporta y 
> .
>
> En todo caso ese mapeo es muy costoso en procesamiento y quizas debas 
> parchar tu kernel (no lo recomendaria para alto trafico). Dale un vistaso 
> a tproxy
>
> Saludos,
>
> =====================================
> Miguel Oyarzo O.
> ICT Network Engineer
> Melbourne, Australia
> miguelaustro en gmail.com
> http://linkedin.com/in/mikeaustralia
> Linux User: # 483188 - counter.li.org
> =====================================
>
> 



Más información sobre la lista de distribución Linux