hub1 escribió::
Buenas,
Efectivamente, ese es el "pequeño" gran problema. Aritz me propone
cambiar de jefes :-)). Pero creo que eso no está en mi mano...
Bueno una solución quick & dirty pero "quizá" (despues contame) efectiva
1º Usar proxy NO TRANSPARENTE, osea configurar el proxy directamente en
el navegador web de cada cliente.
2º Setup en el PROXY
- iptables: marcar con -j MARK en PREROUTING los paquetes que salgan del
proxy con --dport 80 y -d RED_IPS_PUB
- iproute2:
*borrar la ruta que genera la IFACE ethN con IP_PROXY_INTERNA
*crear una ruta que matchee la MARKa que hiciste y saque los
paquetes por el default gw (firewall interna en tu ascii art)
*crear una ruta que matchee la dst RED_IPS_PUB y tire los
paquetes por dev ethN (la misma eth de arriba) , osea la
interfaz física del proxy que esté conectada a la red de ips
conflictivas RED_IPS_PUB.
*(respetar este orden)
Con esto cuando quieras visitar una página web de RED_IPS_PUB, las
peticiones realmente saldrían a internet. Podrías marcar todos los
servicios que te interesa que salgan y no queden adentro que sean
proxeables desde el browser.
Imagino que si estás familiarizado con iptables y iproute2 no te costará
mucho sacarlo. Otra posibilidad interesante es seguir el consejo de
Aritz :-P
Espero no olvidar nada.
Slds !
--
Luciano
