El Jueves, 2 de Marzo de 2006 14:36, Ricardo Frydman Eureka! escribió: > Pedro M. López wrote: > >>Gracias por tu explicacion. Sé lo que es y como se configura un > >>cache/proxy transparente, de hecho en un correo de hace un par de horas, > >>lo recomende ;) > >>Lo que no me quedo claro de tu correo es porque afirmas que al usar un > >>proxy transparente, dejas al cliente resolver los nombres y como lo > >> haces. No es lo habitual y dudo que sea recomendable. > >>Saludos! > > > > A ver si te aclaro estas dudas... pero que conste que no soy un buen > > profesor :-) > > > > Cuando se usa un proxy transparente, se "raptan" las peticiones de > > conexiones al puerto 80, y se redirigen al proxy. > > De alli el nombre de "transparente": el usuario nunca se entera de ello > y no debe configurar absolutamente nada. > > > Si actúas a ese nivel de conexión, estas interceptando conexiones a nivel > > TCP, que se dirigen no a www.google.es si no a la ip 216.239.59.10. > > Tengo mis dudas acerca de esto, voy a investigar al respecto. > > > La resolución de nombres funciona igual que cuando no hay proxy, a menos > > por supuesto que también interceptes las peticiones de resolución (UDP > > 53). > > Eso es lo logico, y por eso le pregunte porque a el le funcionaba asi. > No tiene sentido "transparentar" un servicio pero no otro, no? > > > Por tanto la resolución de nombres la hace el navegador, y es en el > > siguiente paso cuando actúa el proxy. > > EMHO, insisto, no tiene sentido. > Yo uso (y recomiendo) el paquete dnsmasq para esto, el cual, me da otros > beneficios adicionales: > > [EMAIL PROTECTED]:~ $ sudo aptitude show dnsmasq > Paquete: dnsmasq > Nuevo: sí > Estado: sin instalar > Versión: 2.22-2 > Prioridad: opcional > Sección: universe/net > Desarrollador: Simon Kelley <[EMAIL PROTECTED]> > Tamaño sin comprimir: 299k > Depende de: netbase, libc6 (>= 2.3.4-1) > Sugiere: resolvconf > Tiene conflictos con: pdnsd, resolvconf (< 1.15) > Descripción: A small caching DNS proxy and DHCP server. > Dnsmasq is lightweight, easy to configure DNS forwarder and DHCP > server. It is designed to provide DNS and, optionally, > DHCP, to a small network. It can serve the names of local machines > which are not in the global DNS. The DHCP server > integrates with the DNS server and allows machines with DHCP-allocated > addresses to appear in the DNS with names > configured either in each host or in a central configuration file. > Dnsmasq supports static and dynamic DHCP leases and > BOOTP for network booting of diskless machines. > > . > > > Ten en cuenta además que cuando el navegador pide que se le sirva una > > página, suele mandar un comando GET del HTTP 1.1, que incluye la URL que > > se desea, paso que puede aprovechar el proxy para usar el cache o bien > > actualizarlo. > > http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.23 > > > > Por todo esto es por lo que digo que es el navegador el que hace > > resolución de nombres. > > Aqui es donde no puedo darte aun toda la razon. > > > Por supuesto puedes complicar todo esto y aumentar tu nivel de > > seguridad si consideras que las resoluciones de nombres pueden ser > > peligrosas, creando un proxy para el DNS, > > O usas un proxy (arriba te doy una solucion) o rediriges el puerto al > server. > > > o alguna solución más complicada > > (que existe, pero que no voy a explicar ahora, más que nada porque me > > llevaría un buen rato y es la hora del desayuno). > > > > De todas formas, recomiendo la lectura de > > http://people.netfilter.org/~rusty/ipchains/spanish/HOWTO-3.html > > Sobre todo el punto 3.5, y además en castellano! > > Bastante bien como profesor, te dire :)
Gracias por lo el comentario, jeje, pero si fuera tan bueno te habría solucionado las dudas de esos puntos que comentas! Me parece que estamos diciendo lo mismo pero de diferente manera. Es decir, en algún momento se tiene que hacer la resolución de la url a ip, pero eso no supone que tenga que salir a internet para hacerlo. Puedes usar el paquete que muestras, o un servidor DNS local para tu red, o algún otro sistema. Pero a lo que me refiero es que el navegador funciona exactamente igual si está tras un proxy transparente que si sale directamente a internet. Otra cosa es que tú interceptes las peticiones de resolución de nombres, y las pases a un proxy, o a un servidor, etc..., pero las peticiones las seguirá haciendo el navegador, y si ese ordenador no es capaz de hacer un dig www.google.es por ejemplo, no va a funcionar. Totalmente diferente es cuando usas un proxy normal. En este caso, el navegador simplemente se conecta al proxy y le pasa las peticiones al mismo, sin resolver nada, y espera a que el proxy le responda. En este caso, el navegador no hace ningún tipo de intento por resolver nombres. Si lo piensas un poco, verás que más o menos es como te comento :-) Y si no lo es, a la espera de tus correcciones!
