Ygor, Obrigado pela dica me ajudou bastante a entender os conceitos. Att.
Leandro Moreira On Fri, 21 Nov 2008 13:57:32 -0200, Ygor Parrera <[EMAIL PROTECTED]> wrote: > > > > Ola Leandro, > > > > Legal que você conseguil resolver o problema :) > > > > Gostaria de expor alguns pontos, para dar uma clareada nas suas idéias > sobre protocolos. Tipo, bridge geralmente são utilizadas para separar o > domínio de colisão, ela segmenta a rede em domínios de colisão > diferentes, dado que os pacotes de broadcast ficam restritos a cada lado da > bridge. Aqui tem uma explicação interessante sobre isso, acho que vai te > dar uma clariada => http://www.catabits.com.br/forum/index.php?topic=33.0 > > > > O caso mais comum onde se usa bridge em linux é quando se deseja por um > firewall "invisivel" na rede. No caso do uso de squid, a maquina precisa > ter IP especificado, pois o squid é um daemon que trabalha em camada de > aplicação (http). ele recebe a conexão, trata e decide o que vai fazer. > > > > Neste caso, torna-se redundante o uso de bridge, pois sendo o proxy com IP > seu gateway da rede, os domínios de broadcast já estarão separados. > > > > Não conheço o squid que roda no microtik (se é compilado sem suporte, > etc), porem para fazer o transparent-proxy no squid do debian basta fazer > como o Thiago disse: > > > > iptables - t nat -i <INTERFACE_INTERNA> -p tcp --dport 80 -j REDIRECT 3128 > > > > e adicionar/modificar no squid.conf => http_port 3128 transparent > > > > No caso da nescessidade de acesso a outras portas não esqueca de abilitar > o forward e criar o mascaramento, como o Thiago disse: > > > > echo "1" > /proc/sys/net/ipv_4/ip_forward > iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE > > > Apenas mais uma informação importante, transparent-proxy não funciona > com proxy autenticado, como vem nos comentários do squid.conf: > > > > # # WARNING: proxy_auth can't be used in a transparent proxy. It > # # collides with any authentication done by origin servers. It may > # # seem like it works at first, but it doesn't. > > > > http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication#head-6793b3454a91802f8e22c3c3a8874bf68056890c > > > > Espero ter ajudado a clarear seu entendimento um pouco mais. > > > > [s]; > > > > Att.: > Ygor da Rocha Parreira. > Consultor de Segurança da Informação. > Security Labs | Intruders Tiger Team Division > http://www.intruders.com.br/ > http://www.securitylabs.com.br/ > > > > -----Mensagem original----- > De: Leandro Moreira <[EMAIL PROTECTED]> > Enviado: Sex 21/11/2008 11:59 > Para: Thiago Silveira Alexandre <[EMAIL PROTECTED]>; > CC: Debian <debian-user-portuguese@lists.debian.org>; > Assunto: Re: Linux em modo bridge > > > Thiago, > Eu realmente vou fazer um nat mas usando o tproxy, e com ele posso usar > sem > problemas o linux em modo bridge, a minha duvida era apenas com a > configuração da bridge mas encontrei um link do focalinux que me ajuda a > eclarecer, foi o que os amigos da lista tinham me falado a bridge as > interfacer (ethX) nao tem ip > bastou eu add a seguinte cfg no meu interfaces: > > auto br0 > iface br0 inet static > address 192.168.0.2 > network 192.168.0.0 > netmask 255.255.255.0 > broadcast 192.168.0.255 > gateway 192.168.0.1 > bridge_ports eth0 eth1 > > E a bridge funcionou, agora vou colocar uma nat: > > iptables -t tproxy -A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY > --on-port 81 > > Ele vai sniffar td o trafego q passa pela bridge, o que for pra porta 80 > ele aplica o nat, vou testar isso amanha de manha funcionando eu posto na > lista. > > Att. > > Leandro Moreira. > > > > > On Fri, 21 Nov 2008 08:38:23 -0300, "Thiago Silveira Alexandre" > <[EMAIL PROTECTED]> wrote: >> eu também acho que o que ele quer é fazer um NAT. >> Seguinte Leandro: >> Primeiro você tem que dar um ip para a interface interna que esteja na >> mesma >> rede que vai ser filtrada pelo proxy, depois da um ip pra interface >> externa >> que vai se comunicar com o gateway. >> Depois de esse comando >> >> echo "1" > /proc/sys/net/ipv_4/ip_forward >> iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE >> >> para compartilhar a conexão e permitir o tráfego entre as placas > interna >> e >> externa, e >> >> iptables - t nat -i eth0 -p tcp --dport 80 -j REDIRECT 3128 >> >> não dou a certeza se a sintaxe dos comando estão corretas, talvez uma > ou >> outra estejam com a sintaxe erradas, qualquer coisa você revisa no >> google.. >> >> >> Em 21/11/08, Allison Vollmann <[EMAIL PROTECTED]> escreveu: >>> >>> Bom eu acho que o nosso amigo se expressou mal e não quer uma brigde e >> sim >>> um nat não é isso? Redirecionando os pacotes da rede interna de uma >>> interface do servidor para outro, assim se tem controle de firewall e >> pode >>> utilizar proxy também, fazer o redirecionamento de portas, sem > problema >>> algum, não seria isso? >>> >>> A[]'s >>> >>> Miguel Da Silva - Centro de Matemática escreveu: >>> >>>> Leandro Moreira escreveu: >>>> >>>> >>>>> Thiago, >>>>> O que eu preciso e que a maquina com o squid fique entre a rede e o > GW >> da >>>>> rede, ela vai "sniffar" todo o trafego da rede, o que for direcionado >>>>> para >>>>> a porta 80 ela vai redirecionar para o squid (porta 3128) processar, >> pois >>>>> apliquei um patch chamando tproxy e com ele eu consigo redirecionar > as >>>>> requizições da porta 80 para a 3128 do squid, a minha dúvia é >>>>> exatamente como coloca-lo em modo bridge, pelo que ja vi tenho q >> instalar >>>>> o >>>>> pacote bridge-utils e colocar algumas configurações específicas no >>>>> /etc/networkinterfaces, minha dúvida é que configurações sao >> essas, e >>>>> outra coisas as interfazer da bridge eth0 e eth1 tem que estar sem > IP, >> a >>>>> interface que a bridge conecta no GW da rede tem q ter IP. Desde já >>>>> agraceço a atenção. >>>>> >>>>> Att. >>>>> >>>>> Leandro Moreira. >>>>> >>>>> >>>>> >>>> >>>> Primeiro, você deveria ler sobre proxy e bridge. Originalmente, são > 2 >>>> tipos de dispositivos totalmente diferentes e que trabalharam em >> camadas >>>> diferentes do tráfico de rede. >>>> >>>> Segundo, dá uma olhadinha nestas páginas aqui: >>>> >>>> http://www.linuxfoundation.org/en/Net:Bridge >>>> http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html >>>> >>>> Terceiro, um proxy não trabalha em "modo bridging", esse conceito > não >>>> existe quando o assunto é proxy. >>>> >>>> Resumindo, acho, eu disse acho, que até daria para fazer o que você >>>> quer, entretanto, é bom levar em conta que isso não é o bom e velho >>>> "bridging" que estamos acostumados. Esse tal "bridiging" que estou >>>> falando é daqueles que nem sequer está sendo usada uma rede TCP/IP. >>>> >>>> Por outro lado, um bridge no Linux até poderia ter um IP associado à >>>> interface de bridging. >>>> >>>> Então, boa sorte!!! >>>> >>>> >>> >>> >>> -- >>> To UNSUBSCRIBE, email to > [EMAIL PROTECTED] >>> with a subject of "unsubscribe". Trouble? Contact >>> [EMAIL PROTECTED] >>> >>> >> >> >> -- >> Thiago Silveira Alexandre >> >> >> > -- > Leandro Moreira > Linux Networks > e-mail: [EMAIL PROTECTED] > Tel.: + 55(32) 9906-5713 > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > > > !DSPAM:1,4926dc70146359478625549! -- Leandro Moreira Linux Networks e-mail: [EMAIL PROTECTED] Tel.: + 55(32) 9906-5713 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
