Enio Marconcini # www.Enio.Pro.Br escreveu: > 2010/6/21 Welkson Renny de Medeiros <welk...@focusautomacao.com.br> > > >> Welkson Renny de Medeiros escreveu: >> >>> Fiz a pergunta no fórum internacional... vamos ver no que vai dar: >>> http://forums.freebsd.org/showthread.php?t=15218 >>> >>> "Ingrês" altamente fuleragem = >>> >> Pessoal, >> >> Ainda continuo levando surra do rdr (pf) e squid transparente em >> máquinas separadas. >> http://forums.freebsd.org/showthread.php?t=15218 >> >> Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega >> certinho no servidor do proxy (monitorando via tcpdump), mas não >> navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o >> NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do >> cliente). >> >> Sejam solidários nesse meu sofrimento kkkkkkkkkkkkk >> >> -- >> Welkson Renny de Medeiros >> Desenvolvimento / Gerência de Redes >> Focus Automação Comercial >> FreeBSD Community Member >> >> > > > bom aqui eu tenho um gateway com o freebsd, ele cuida das conexões de > diversos usuários da empresa, porém o banco de dados está em outro servidor, > eu uso apenas um RDR pra redirecionar as conexões sem fazer nat > > tipo: > > ip_banco = "192.168.1.1" > table <ips_usuarios> { 10.1.1.0/24 } > > rdr on $nic_X inet proto tcp from <ips_usuarios> to any port 3050 -> > $ip_banco > > > quando eu analiso (com netstat mesmo) no server com o banco de dados, > aparece as conexções dos ips 10.1.1.X vinda dos clientes, nada de nat... é > claro, o server com banco de dados sabe como alcançar a rede 10.1.1.X > > voltando pro lado do squidão, vi um amigo fazer uns testes com um cenário > parecido, , ele tinha um server separado que era o proxy/cache, usando linux > em ambos, lembro que ele usou o iptables, nateou as conexões, e chegou o IP > do gateway no servidor cache, e não o IP dos clientes.... neste caso a acl > redes_liberadas dele teve que ser substituida apenas pelo IP do gateway, > assim o squid aceitava conexões daquele ip >
Enio, O problema é que tenho DEZENAS de acl's por IP, etc... sem falar do Dansguardian... o ip poderia até pode chegar errado no proxy, mas o X_FORWARDFOR não! Se nessa variável estivesse correto, eu ativaria a configuração de log's e acl's para usar xforwardfor, e não IP de origem... o problema é que até essa variável está indo errado =( (para ver o xfowardfor -> http://pgl.yoyo.org/http/browser-headers.php) Esse ambiente de IP único chegando ao squid pra mim não funciona... tem que vir o ip correto. Estou certo (e já li em vários lugares) que a forma recomendada de trabalhar é separar serviços do firewall, por isso decidi fazer... hoje meu servidor tem quase 20 serviços, tudo junto com o firewall, controle de banda... etc... quando preciso fazer um reboot, derrubo quase 100 pessoas, ferro banco de dados, etc... quero diminuir esse risco! Quando comecei a separar o proxy do gateway eu sabia que teria algumas dificuldades (exatamente com isso), mas pensei que muitas pessoas da comunidade teriam servidores instalados da MESMA FORMA... e que eu encontraria ajuda sem muitos problemas... =( Ou eu não estou sabendo passar o problema (não acredito ser o caso, tem detalhes até demais =), ou realmente a galera instala tudo em um servidor só! =( Enfim, continuo aqui na batalha! Espero em breve dar a boa notícia pra vocês! E dessa vez vou escrever um artigo COMPLETO, sobre como instalar SQUID, Dansguardian, com Proxy Transparente e em servidores separados =) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd