[PLUTO-security] Squid e trasparent proxy...

[Andrea Dinale]

Alle 17:50, martedì 29 luglio 2003, Fabio Panigatti ha scritto:

>Come commento aggiuntivo, personalmente non mi piace molto la soluzione 
>del
>transparent proxy, a meno di specifiche realta' in cui lo scopo e' piu' 
>che
>altro quello di limitare l'occupazione di banda.

Ciao Maestro!
Visto che devo implementare un proxy ti chiedo:
Per quali motivi non ti piace il trasparent proxy? sicurezza? 
affidabilita? etica?
Trovo che sia molto comodo inserire un proxy in una rete e non dover 
configurare alcun client, ma se il gioco non vale le candela e` meglio 
non farlo :-)

>Ah, giusto... c'e' anche un altro potenziale problema: quello del 
>routing mantenendo la coerenza del socket. Il server squid aprira' 
>un socket del tipo:
>           192.168.0.100:3128      <-> <ip client>:<porta client> 
>a fronte di un socket lato client
>        <ip client>:<porta client> <-> <server remoto>:80
>
>Non essendoci una corrispondenza tra i due non puo' esere stabilita
>una connessione: squid inviera' il suo SYN+ACK a <ip client> da un
>ip e da una porta che non sono quelle che il client si aspetta e la
>sessione verra' resettata.
>
>Per risolvere il problema quando il proxy e' nella stessa subnet dei
>client devi fare anche SNAT.

Ho capito quelo che intendi, ma quello che non capisco e` come sono 
riuscito a far funzinare il tutto a casa :-) ???

per prova, nel mio server[ino] domestico, ho installato squid, ho 
aggiunto le quattro direttive httpd_accel_* nello squid.conf ed ho 
inserito una regola che fa il redirect della porta da 80 a 3128.
e tutto funziona.

> Mi sono dimenticato un pezzo: il problema e' che il server squid vede
> che <ip client> e' nella sua stessa subnet e, quindi, tenta di
> inviare direttamente a lui il traffico, senza passare nuovamente dal
> firewall.
 
intendi il traffico "di ritorno"? non ho capito molto bene.

ciao
Andrea