[PLUTO-security] Squid e trasparent proxy...
Fabio Panigatti
ml-panigatti at minerprint.it
Tue Jul 29 18:48:07 CEST 2003
> iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport http -j
> DNAT --to-destination 192.168.0.100:3128
>
> L'indirizzo 192.168.0.100 corrisponde al pc con squid
Ah, giusto... c'e' anche un altro potenziale problema: quello del
routing mantenendo la coerenza del socket. Il server squid aprira'
un socket del tipo:
192.168.0.100:3128 <-> <ip client>:<porta client>
a fronte di un socket lato client
<ip client>:<porta client> <-> <server remoto>:80
Non essendoci una corrispondenza tra i due non puo' esere stabilita
una connessione: squid inviera' il suo SYN+ACK a <ip client> da un
ip e da una porta che non sono quelle che il client si aspetta e la
sessione verra' resettata.
Per risolvere il problema quando il proxy e' nella stessa subnet dei
client devi fare anche SNAT.
Fabio
More information about the pluto-security
mailing list