Miguel, Gracias por tu respuesta y sorry por el tiempo que pasó.
He probado tproxy sin buenos resultados.
Si bien funciona SQUID aún el ASA sigue viendo el tráfico del puerto 80
con la IP de la máquina SQUID.
Al parecer si o si, será necesario hacer algún cambio en el esquema
o simplemente ejecutar las tareas en la máquina Linux en vez de en el
Firewall core.
Saludos.
----- Original Message -----
From: "Miguel Oyarzo" <[email protected]>
To: "Discusion de Linux en Castellano" <[email protected]>
Sent: Friday, July 22, 2011 9:27 PM
Subject: Re: Squid Iptables
On 23/07/2011 5:06 AM, Victor Hernandez M. wrote:
Estimados, haber si alguien me puede dar una mano ... :d
[...]
El tema no es el ASA, sino la salida de la petición al puerto 80 desde
el SQUID hacia el Firewall.
¿Existirá alguna manera de no enmascarar el tráfico de ese puerto?
que version de squid tienes ??
http://www.squid-cache.org/Doc/config/forwarded_for/
Gracias Victor por contestar.
Saludos Cordiales,
Víctor Hernández M.
Forwarded_for es util solo en la capa 7 (de aplicaciones) y no en la 3,
por que es una variable de la cabecera HTTP.
Algunas observaciones:
1) Enmascarar es alterar la direccion/puerto de Origen/Destino y recordar
de algun modo los valores originales. Esto sucede en tiempo real y
mientras esta establecida la conexion.
2) Los proxys NO enmascaran nada. Ellos efectivamente DEBEN crear una
segunda conexion hacia el destinto.
Las IP/Puerto que registra tu ASA "detras" del proxy son creadas en esa
maquina y no en el Host original.
Ademas, cuando el numero de conexiones "entre el Host y el Proxy" es mayor
que "entre el Proxy e Internet", significa que un Cache esta trabajando.
No obstante, lei agluna vez que existe un approach llamado Full o Fully
Transparent Mode en donde la direccion IP origen del cliente se maniente
intacta. Ultil por si quieres hacer algun filtering o QoS despues que el
trafico sale del proxy. Lo que no he investigado es si SQUID lo soporta y
.
En todo caso ese mapeo es muy costoso en procesamiento y quizas debas
parchar tu kernel (no lo recomendaria para alto trafico). Dale un vistaso
a tproxy
Saludos,
=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
[email protected]
http://linkedin.com/in/mikeaustralia
Linux User: # 483188 - counter.li.org
=====================================
