Squid Iptables
Victor Hernandez M.
vhernandez en munistgo.cl
Vie Jul 22 14:32:13 CLT 2011
Estimados, haber si alguien me puede dar una mano ... :d
En un laboratorio que hago para una futura implementación el esquema es el siguiente:
LAN - SQUID/IPTABLES - ASA - INTERNET
Ya está configurado y todo anda bien, el Proxy es transparente y solo posee una interfaz de red,
el Proxy no enmascara las direcciones IP desde la LAN por que el ASA posee reglas explicitas respecto a otros
servicios y necesita conocer las IPs reales del origen ( LAN ), el problema es que en los logs del ASA el
tráfico al puerto 80 se enmascara ( solo el puerto 80, con otros puertos funcionan perfecto ) con la dirección IP del SQUID, ejemplo:
TCP Internet 65.54.48.49:80 red_LAN 172.16.16.1:53792
TCP Internet 204.0.86.9:80 red_LAN 172.16.16.1:60209
Siendo 172.16.16.1 la IP del SQUID.
Esta es la regla del Squid que redirecciona y no posee una para enmascarar.
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
El esquema no puede ser alterado, obviamente hay soluciones si se saca por ejemplo el ASA
y se agrega una interfaz mas de red pero no es posible realizarlo de acuerdo a ciertos requerimientos.
El tema no es el ASA, sino la salida de la petición al puerto 80 desde el SQUID hacia el Firewall.
¿Existirá alguna manera de no enmascarar el tráfico de ese puerto?
Se agradece cualquier comentario.
Saludos a todos.
Víctor Hernández M.
Más información sobre la lista de distribución Linux