Daniele Santini Jacinto wrote:
Estou redirecionando todo pacote que se origina na eth1 (rede interna) com destino a porta 80 para o meu proxy:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Imaginando que ap�s este redirecionamento passar pelo meu proxy ir� ser criado um pacote com destino a porta 80 para algum lugar da Internet, estou tentando enviar este pacote para o proxy principal:
iptables -t nat -A PREROUTING -i eth0 --dport 80 -j DNAT --to "$proxy_principal"
E depois ocorre o NAT:
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
Daniele,
a target REDIRECT n�o funciona do jeito que voc� est� pensando. Ela serve para voc� direcionar o pacote para uma porta LOCAL, ou seja, essa regra tamb�m altera o destino para o IP da pr�pria m�quina que est� fazendo o NAT (e n�o apenas o IP de destino). N�o adianta colocar uma regra seguinte alterando o destino novamente, pois o netfilter para na primeira regra na qual o pacote se "encaixa". Depois de executar a primeira, ele considera que o pacote foi tratado e para. A target DNAT que voc� usou � suficiente para promover a altera��o do IP e porta de destino, basta usar "-j DNAT --to IP:PORTA". Quanto ao MASQUERADE, os documentos do iptables s�o bastante claros. Essa target s� deve ser usada quando voc� n�o pode saber quais tipos de ips est�o passando pela regra (como no caso de conex�o dial-up). Sugiro que voc� substitua o MASQUERADE por SNAT. A sintaxe � como a do DNAT: "-j SNAT IP:PORTA". Naturalmente, tanto no SNAT quanto no DNAT, a porta s� � alterada se voc� especificar, caso contr�rio ela permanece intacta. Outro detalhe importante a ser levado em conta, � que voc� est� fazendo alera��es numa camada abaixo da camada nas quais rodam servidores web e proxy. Eu fiz um breve teste, e notei que a maneira como um cliente se comunica com um proxy � igual � maneira que ele se comunica com um servidor web, mas isso foi apenas num teste simples que eu fiz. Se ele realmente se comportar assim o tempo todo, ent�o uma simples altera��o de destino de ip e porta, for�a o uso do squid, por�m isso n�o � garantido. Recomendo que voc� d� uma estudada nos RFCs que protocolam o funcionamento do HTTP e dos PROXIES, para se certificar que isso pode ser feito. -- [[]]'s Eduardo M. Bragatto _______________________________________________ slack-users mailing list [EMAIL PROTECTED] http://www.linuxmag.com.br/mailman/listinfo/slack-users
