hello, On Wed, Sep 08, 2010 at 06:55:44AM +0200, Zs wrote: > Hi! > > > > A cég weboldalán az egyik oldalon van egy iframe, amiben a > > hivatkozás a gép publikus IP-je (tehát nem DNS név, hanem IP) és > > egy port, mondjuk 1.2.3.4:82. Ez van DNAT-tal továbbítva az > > 5.6.7.8:80-ra. > > > > Akkor van gond, ha a proxy mögött ülő kliensek megpróbálják > > megnézni ezt az oldalt, ui a Squid az őt futtató gép egyik > > interface-ére próbál csatlakozni, vagyis ilyesmi: > > A problémát az okozza, hogy ebben az esetben mindkét gép a > belső hálón van, így a szerver a válasz csomagot nem a tűzfal > felé küldi el, hanem direktben oda tolja a kliensnek.
nem. A klienseken explicit be van állítva a proxy, néhány kivétel van - ezek között nincs ott az 1.2.3.4. Van olyan gép ami kimehet proxy nélkül, azok ha kikapcsolják a proxyt akkor náluk működik. Tehát proxy esetében _ezek_ a kérések _is_ a squid-hez mennek, és a squid próbál konnektálni a saját publikus IP címére. Erre írtam h lehetne kivételeket hozzáadni, de elég macerás. > A megoldás az lehet, hogy a nat tábla POSTROUTING láncába is > felveszel egy szabályt, ami azt mondja, hogy minden csomag, > amely a belső hálóból jön és a kérdéses szerver felé halad, [...] innentől szerintem ez már nem releváns. a. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
