Squid Iptables

[Miguel Oyarzo]

On 23/07/2011 5:06 AM, Victor Hernandez M. wrote:
>> Estimados, haber si alguien me puede dar una mano ... :d
>
>> [...]
>
>> El tema no es el ASA, sino la salida de la petición al puerto 80 
>> desde el SQUID hacia el Firewall.
>> ¿Existirá alguna manera de no enmascarar el tráfico de ese puerto?
>
>> que version de squid tienes ??
>> http://www.squid-cache.org/Doc/config/forwarded_for/
>
> Gracias Victor por contestar.
>
> Saludos Cordiales,
> Víctor Hernández M.
>

Forwarded_for  es util solo en la capa 7 (de aplicaciones) y no en la 3, 
por que es una variable de la cabecera HTTP.

Algunas observaciones:

1) Enmascarar es alterar la direccion/puerto de Origen/Destino y 
recordar de algun modo los valores originales. Esto sucede en tiempo 
real y mientras esta establecida la conexion.

2) Los proxys NO  enmascaran nada. Ellos efectivamente DEBEN crear una 
segunda conexion hacia el destinto.
Las IP/Puerto que registra tu ASA "detras" del proxy son creadas en esa 
maquina y no en el Host original.
Ademas, cuando el numero de conexiones "entre el Host y el Proxy" es 
mayor que "entre el Proxy e Internet", significa que un Cache esta 
trabajando.

No obstante, lei agluna vez que existe un approach llamado Full o Fully 
Transparent Mode en donde la direccion IP origen del cliente se maniente 
intacta. Ultil por si quieres hacer algun filtering o QoS despues que el 
trafico sale del proxy. Lo que no he investigado es si SQUID lo soporta y .

En todo caso ese mapeo es muy costoso en procesamiento y quizas debas 
parchar tu kernel (no lo recomendaria para alto trafico). Dale un 
vistaso a tproxy

Saludos,

=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
miguelaustro en gmail.com
http://linkedin.com/in/mikeaustralia
Linux User: # 483188 - counter.li.org
=====================================