-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pedro M. López wrote: >>Gracias por tu explicacion. Sé lo que es y como se configura un >>cache/proxy transparente, de hecho en un correo de hace un par de horas, >>lo recomende ;) >>Lo que no me quedo claro de tu correo es porque afirmas que al usar un >>proxy transparente, dejas al cliente resolver los nombres y como lo haces. >>No es lo habitual y dudo que sea recomendable. >>Saludos! > > > A ver si te aclaro estas dudas... pero que conste que no soy un buen > profesor :-) > > Cuando se usa un proxy transparente, se "raptan" las peticiones de conexiones > al puerto 80, y se redirigen al proxy.
De alli el nombre de "transparente": el usuario nunca se entera de ello y no debe configurar absolutamente nada. > Si actúas a ese nivel de conexión, estas interceptando conexiones a nivel > TCP, > que se dirigen no a www.google.es si no a la ip 216.239.59.10. Tengo mis dudas acerca de esto, voy a investigar al respecto. > > La resolución de nombres funciona igual que cuando no hay proxy, a menos por > supuesto que también interceptes las peticiones de resolución (UDP 53). Eso es lo logico, y por eso le pregunte porque a el le funcionaba asi. No tiene sentido "transparentar" un servicio pero no otro, no? > Por tanto la resolución de nombres la hace el navegador, y es en el siguiente > paso cuando actúa el proxy. EMHO, insisto, no tiene sentido. Yo uso (y recomiendo) el paquete dnsmasq para esto, el cual, me da otros beneficios adicionales: [EMAIL PROTECTED]:~ $ sudo aptitude show dnsmasq Paquete: dnsmasq Nuevo: sí Estado: sin instalar Versión: 2.22-2 Prioridad: opcional Sección: universe/net Desarrollador: Simon Kelley <[EMAIL PROTECTED]> Tamaño sin comprimir: 299k Depende de: netbase, libc6 (>= 2.3.4-1) Sugiere: resolvconf Tiene conflictos con: pdnsd, resolvconf (< 1.15) Descripción: A small caching DNS proxy and DHCP server. Dnsmasq is lightweight, easy to configure DNS forwarder and DHCP server. It is designed to provide DNS and, optionally, DHCP, to a small network. It can serve the names of local machines which are not in the global DNS. The DHCP server integrates with the DNS server and allows machines with DHCP-allocated addresses to appear in the DNS with names configured either in each host or in a central configuration file. Dnsmasq supports static and dynamic DHCP leases and BOOTP for network booting of diskless machines. . > > Ten en cuenta además que cuando el navegador pide que se le sirva una página, > suele mandar un comando GET del HTTP 1.1, que incluye la URL que se desea, > paso que puede aprovechar el proxy para usar el cache o bien actualizarlo. > http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.23 > > Por todo esto es por lo que digo que es el navegador el que hace resolución > de > nombres. Aqui es donde no puedo darte aun toda la razon. > Por supuesto puedes complicar todo esto y aumentar tu nivel de > seguridad si consideras que las resoluciones de nombres pueden ser > peligrosas, creando un proxy para el DNS, O usas un proxy (arriba te doy una solucion) o rediriges el puerto al server. > o alguna solución más complicada > (que existe, pero que no voy a explicar ahora, más que nada porque me > llevaría un buen rato y es la hora del desayuno). > > De todas formas, recomiendo la lectura de > http://people.netfilter.org/~rusty/ipchains/spanish/HOWTO-3.html > Sobre todo el punto 3.5, y además en castellano! > Bastante bien como profesor, te dire :) - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEBvTqkw12RhFuGy4RAkb6AKCC29aqzNKDT2ErS2QzpRnujmmG3ACeO1nS 8y9hZfkiYXGX2gREE3mfeDA= =jt7f -----END PGP SIGNATURE-----
