On 23/07/2011 5:06 AM, Victor Hernandez M. wrote:
Estimados, haber si alguien me puede dar una mano ... :d
[...]
El tema no es el ASA, sino la salida de la petición al puerto 80
desde el SQUID hacia el Firewall.
¿Existirá alguna manera de no enmascarar el tráfico de ese puerto?
que version de squid tienes ??
http://www.squid-cache.org/Doc/config/forwarded_for/
Gracias Victor por contestar.
Saludos Cordiales,
Víctor Hernández M.
Forwarded_for es util solo en la capa 7 (de aplicaciones) y no en la 3,
por que es una variable de la cabecera HTTP.
Algunas observaciones:
1) Enmascarar es alterar la direccion/puerto de Origen/Destino y
recordar de algun modo los valores originales. Esto sucede en tiempo
real y mientras esta establecida la conexion.
2) Los proxys NO enmascaran nada. Ellos efectivamente DEBEN crear una
segunda conexion hacia el destinto.
Las IP/Puerto que registra tu ASA "detras" del proxy son creadas en esa
maquina y no en el Host original.
Ademas, cuando el numero de conexiones "entre el Host y el Proxy" es
mayor que "entre el Proxy e Internet", significa que un Cache esta
trabajando.
No obstante, lei agluna vez que existe un approach llamado Full o Fully
Transparent Mode en donde la direccion IP origen del cliente se maniente
intacta. Ultil por si quieres hacer algun filtering o QoS despues que el
trafico sale del proxy. Lo que no he investigado es si SQUID lo soporta y .
En todo caso ese mapeo es muy costoso en procesamiento y quizas debas
parchar tu kernel (no lo recomendaria para alto trafico). Dale un
vistaso a tproxy
Saludos,
=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
[email protected]
http://linkedin.com/in/mikeaustralia
Linux User: # 483188 - counter.li.org
=====================================
