[rlug] Re: routare sau redirect ?

Thu, 06 Dec 2001 05:21:25 -0800 


From: "Bogdan Luca" <[EMAIL PROTECTED]>

> Problema e ca un request de http direct != un request de http prin proxy
> (primul e ceva gen "GET / HTTP/1.{0,1}\nHost: www.whatever.com\n...", in
> timp ce al doilea arata ceva de genul "GET
> http://www.whatever.com/\n...";).

In principiu ai dreptate. Si cu toate astea la mine merge bec.

Requestul direct contine suficiente date ca proxyul sa stie sa faca cu el
(datorita "Host:" din header), si squid-ul o face. Nu-mi amintesc daca am
configurat ceva pentru asta.

E valabil si invers. Daca faci request de tip proxy la un server http, merge
si fara "Host:". Testat de mine pe Apache 1.3.19 si IIS.

Nu stiu daca povestea asta e standard, dar functioneaza. Iar daca browser-ul
nu stie sa puna "Host:" in header, oricum va rata multe site-uri (mai exact
toate site-urile virtuale).

Deci... it works for me.

Revenind la problema initiala (pe care eu n-am priceput-o foarte bine), am
sa descriu scenariul de la mine, poate ajuta cuiva.

Proxy: (eth0, IP rutabil), eth1: 192.168.0.3/24;
Router: (eth0 IP rutabil), eth1: 192.168.0.254/24, eth2: 192.168.1.254/24
Clienti: 192.168.0.0/24, 192.168.1.0/24

Sectiunea relevanta din scriptul de nat arata cam asa:

#######################

# dnat http packets to our proxy
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/23 -d !
192.168.0.0/23 --dport 80 -j DNAT --to-destination 192.168.0.3:3128

# fix trasparent proxy for 192.168.0.0/24
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.3 -j
SNAT --to-source 192.168.0.254

#######################

Prima regula "schimba" inlocuieste destinatia request-urilor http cu ip-ul
proxyului meu. In momentul asta reteaua 192.168.1.0/24 e deja fericita.

A doua regula introduce un "fix" pentru reteaua 192.168.0.0/24, fara care
pachetele s-ar intoarce de la proxy la client fara a trece prin router
intai, drept pentru care clientul ar fi foarte confuzat (ca el nu la ip-ul
ala s-a conectat)

Fara mark, fara ip route. A, si fara http_accel* and friends. Dar, vorba
aia, YMMV.

Bibliografie: http://www.linuxdoc.org/HOWTO/mini/TransparentProxy-6.html
http://netfilter.samba.org/unreliable-guides/NAT-HOWTO/NAT-HOWTO.linuxdoc-10
.html

Mihai


---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to 
unsubscribe from this list.

Raspunde prin e-mail lui