Redirecionar o tráfego PROXY para a caixa de teste usando IPTABLES

0

marcado como respondido. Eu vou passar tentando fazer isso funcionar. Foi apenas para testes.

Atualmente, estou usando um servidor proxy (squid) que está escutando na porta 8080. Os navegadores dos usuários são configurados com esse proxy.

Eu gostaria de testar outro dispositivo proxy sem ter que reconfigurar nada nas estações de trabalho dos usuários.

A nova caixa requer o uso como gateway padrão. Ele filtra de forma transparente para vírus e conteúdo.

Existe uma maneira de redirecionar o tráfego destinado à porta 8080 no proxy atual para a nova caixa sem executar o NAT? Eu gostaria que os endereços IP de origem permanecessem os mesmos para que possamos ver quem está acessando o quê.

Eu tentei algumas coisas com o IPTABLES, mas não tive sorte. Qualquer ideia seria apreciada.

Obrigado Rod

    
por Rod 16.10.2013 / 16:39

1 resposta

0

Eu posso imaginar 4 opções básicas para alcançar seu objetivo. Eles são listados como duas variantes, cada uma com duas sub-variantes.

  1. Configure o novo dispositivo como um proxy HTTP explícito. É claro que o novo dispositivo deve ter essa possibilidade. Por exemplo, os firewalls Fortinet e Check Point são capazes disso.
    1. No proxy Squid, defina o novo dispositivo como um proxy de fluxo ascendente . O novo dispositivo verá apenas o endereço do proxy do Squid. Ele deve ser capaz de interpretar o cabeçalho X-Forwarded-For HTTP para poder ver os endereços IP dos clientes.
    2. Entre os clientes e o novo dispositivo, execute NAT do endereço de destino (e porta, se necessário). Então, em vez de Squid IP: 8080, os pacotes iriam para o novo IP do dispositivo. Os endereços IP de origem serão os mesmos.
  2. Coloque o novo dispositivo no caminho entre o Squid e a Internet. O dispositivo não funcionará como um proxy HTTP explícito.
    1. As solicitações HTTP virão do endereço IP do Squid, mas se o novo dispositivo entender o X-Forwarded-For cabeçalho HTTP , ele poderá ver os endereços IP dos clientes.
    2. Esta é uma possibilidade teórica, não tenho certeza se existe uma solução de trabalho existente capaz disso. Entre o Squid e o novo dispositivo, execute o endereço IP de origem NAT de volta para os endereços IP dos clientes para que as solicitações que vão do Squid para a Internet pareçam solicitações enviadas diretamente dos clientes.
por 16.10.2013 / 18:06