[PLUTO-security] Squid e trasparent proxy...

Andrea Dinale andrea at dinale.it
Wed Jul 30 17:31:29 CEST 2003


Alle 14:21, mercoledì 30 luglio 2003, Fabio Panigatti ha scritto:
> > Ciao Maestro!
>
> Piantala3 :-)

lo sapevo che rispondevi cosi :-P

> Mi autoquoto da icsv:

Mi sono letto tutto il thread, come al solito chiaro ed esplicativo.

Questo e` l'URLo per chi lo volesse leggere
http://www.google.it/groups?hl=it&lr=&ie=UTF-8&oe=UTF-8&threadm=MPG.1985e694b4f5328b989fe2%40powernews.libero.it&rnum=1&prev=/groups%3Fq%3D%2B%2522Durante%2Bil%2Bbrowsing%2Bdel%2Bweb%2Bcapita%2Bmolto%2Bspesso%2B%2522%2Bgroup:it.comp.sicurezza.varie%26hl%3Dit%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26selm%3DMPG.1985e694b4f5328b989fe2%2540powernews.libero.it%26rnum%3D1

> necessaria, ma la cosa diventa complicata e la configurazione
> automatica del client con proxy.pac e' meno onerosa IMHO.

Ok, il proxy.pac lo conosco solo di nome e di fama, ma non ho mai visto 
una sua implementazione. 
Vabbe'... echo "documentarsi su proxy.pac" > to-do
(vedi che l'ho letto davvero il thread :-)

Ma il metodo proxy.pac e` completamente "trasparente" come il proxy 
trasparente??? (che schifo di frase).
Cioe' e' il client che deve richiedere al webserver la pagina proxy.pac, 
e dopo puo` cominciare a navigare, giusto?

> Se invece lo scopo e' solo la riduzione del traffico sulla
> connessione all'isp il proxy trasparente e' comodo, perche' senza
> toccare i client (che uscirebbero comunque con il routing) riesci a
> fare il caching della maggior parte del traffico (almeno quello su
> 80/tcp e 443/tcp).

si, questa e` la soluzione che sto cercando (per adesso), infatti il 
traffico in uscita e` regolato da netfilter. Non e` ancora una 
soluzione ottimale, infatti (come hai fatto notare) un malware sarebbe 
cmq in grado di uscire su internet usando la porta 80.
Tieni conto che fino a ieri il proxy non c'era.

> Se fai REDIRECT funziona...

si, ora e` tutto chiaro, non avevo letto bene il post iniziale e non mi 
sono accorto che parlava di DNAT e non di REDIRECT :-(

> >intendi il traffico "di ritorno"? non ho capito molto bene.
>
> Si, il traffico di ritorno: se <ip client> tenta di connettersi a un
[CUT]
Chiarissimo, non potevo sperare in una spiegazione migliore!

> stati sostituiti gli header con quelli corretti. Un possibile
> workaround puo' essere quello di usare una netmask a 32 bit sul
> proxy: in questo modo tutto il traffico ripassera' comunque dal
> default gateway (si presume che sia il firewall, in questo caso) e
> dovrebbe essere reinstradato al client con gli header corretti (non
> l'ho mai provato ma dovrebbe andare). Se no... SNAT, ma si perde
> l'informazione su quale ip ha visto quale sito.

ma se setti una netmask a 32 bit riesce a raggiungere il defalt gateway? 
In teoria anche il gateway dovrebbe essere fuori dalla sua subnet e 
nemmeno pingabile, giusto?

ciao
Andrea








More information about the pluto-security mailing list