Ola Leandro,
Legal que você conseguil resolver o problema :) Gostaria de expor alguns pontos, para dar uma clareada nas suas idéias sobre protocolos. Tipo, bridge geralmente são utilizadas para separar o domínio de colisão, ela segmenta a rede em domínios de colisão diferentes, dado que os pacotes de broadcast ficam restritos a cada lado da bridge. Aqui tem uma explicação interessante sobre isso, acho que vai te dar uma clariada => http://www.catabits.com.br/forum/index.php?topic=33.0 O caso mais comum onde se usa bridge em linux é quando se deseja por um firewall "invisivel" na rede. No caso do uso de squid, a maquina precisa ter IP especificado, pois o squid é um daemon que trabalha em camada de aplicação (http). ele recebe a conexão, trata e decide o que vai fazer. Neste caso, torna-se redundante o uso de bridge, pois sendo o proxy com IP seu gateway da rede, os domínios de broadcast já estarão separados. Não conheço o squid que roda no microtik (se é compilado sem suporte, etc), porem para fazer o transparent-proxy no squid do debian basta fazer como o Thiago disse: iptables - t nat -i <INTERFACE_INTERNA> -p tcp --dport 80 -j REDIRECT 3128 e adicionar/modificar no squid.conf => http_port 3128 transparent No caso da nescessidade de acesso a outras portas não esqueca de abilitar o forward e criar o mascaramento, como o Thiago disse: echo "1" > /proc/sys/net/ipv_4/ip_forward iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE Apenas mais uma informação importante, transparent-proxy não funciona com proxy autenticado, como vem nos comentários do squid.conf: # # WARNING: proxy_auth can't be used in a transparent proxy. It # # collides with any authentication done by origin servers. It may # # seem like it works at first, but it doesn't. http://wiki.squid-cache.org/SquidFaq/ProxyAuthentication#head-6793b3454a91802f8e22c3c3a8874bf68056890c Espero ter ajudado a clarear seu entendimento um pouco mais. [s]; Att.: Ygor da Rocha Parreira. Consultor de Segurança da Informação. Security Labs | Intruders Tiger Team Division http://www.intruders.com.br/ http://www.securitylabs.com.br/ -----Mensagem original----- De: Leandro Moreira <[EMAIL PROTECTED]> Enviado: Sex 21/11/2008 11:59 Para: Thiago Silveira Alexandre <[EMAIL PROTECTED]>; CC: Debian <debian-user-portuguese@lists.debian.org>; Assunto: Re: Linux em modo bridge Thiago, Eu realmente vou fazer um nat mas usando o tproxy, e com ele posso usar sem problemas o linux em modo bridge, a minha duvida era apenas com a configuração da bridge mas encontrei um link do focalinux que me ajuda a eclarecer, foi o que os amigos da lista tinham me falado a bridge as interfacer (ethX) nao tem ip bastou eu add a seguinte cfg no meu interfaces: auto br0 iface br0 inet static address 192.168.0.2 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255 gateway 192.168.0.1 bridge_ports eth0 eth1 E a bridge funcionou, agora vou colocar uma nat: iptables -t tproxy -A PREROUTING -p tcp -m tcp --dport 80 -j TPROXY --on-port 81 Ele vai sniffar td o trafego q passa pela bridge, o que for pra porta 80 ele aplica o nat, vou testar isso amanha de manha funcionando eu posto na lista. Att. Leandro Moreira. On Fri, 21 Nov 2008 08:38:23 -0300, "Thiago Silveira Alexandre" <[EMAIL PROTECTED]> wrote: > eu também acho que o que ele quer é fazer um NAT. > Seguinte Leandro: > Primeiro você tem que dar um ip para a interface interna que esteja na > mesma > rede que vai ser filtrada pelo proxy, depois da um ip pra interface > externa > que vai se comunicar com o gateway. > Depois de esse comando > > echo "1" > /proc/sys/net/ipv_4/ip_forward > iptables -t nat -A POSTROUTING -o <interface externa> -j MASQUERADE > > para compartilhar a conexão e permitir o tráfego entre as placas interna > e > externa, e > > iptables - t nat -i eth0 -p tcp --dport 80 -j REDIRECT 3128 > > não dou a certeza se a sintaxe dos comando estão corretas, talvez uma ou > outra estejam com a sintaxe erradas, qualquer coisa você revisa no > google.. > > > Em 21/11/08, Allison Vollmann <[EMAIL PROTECTED]> escreveu: >> >> Bom eu acho que o nosso amigo se expressou mal e não quer uma brigde e > sim >> um nat não é isso? Redirecionando os pacotes da rede interna de uma >> interface do servidor para outro, assim se tem controle de firewall e > pode >> utilizar proxy também, fazer o redirecionamento de portas, sem problema >> algum, não seria isso? >> >> A[]'s >> >> Miguel Da Silva - Centro de Matemática escreveu: >> >>> Leandro Moreira escreveu: >>> >>> >>>> Thiago, >>>> O que eu preciso e que a maquina com o squid fique entre a rede e o GW > da >>>> rede, ela vai "sniffar" todo o trafego da rede, o que for direcionado >>>> para >>>> a porta 80 ela vai redirecionar para o squid (porta 3128) processar, > pois >>>> apliquei um patch chamando tproxy e com ele eu consigo redirecionar as >>>> requizições da porta 80 para a 3128 do squid, a minha dúvia é >>>> exatamente como coloca-lo em modo bridge, pelo que ja vi tenho q > instalar >>>> o >>>> pacote bridge-utils e colocar algumas configurações específicas no >>>> /etc/networkinterfaces, minha dúvida é que configurações sao > essas, e >>>> outra coisas as interfazer da bridge eth0 e eth1 tem que estar sem IP, > a >>>> interface que a bridge conecta no GW da rede tem q ter IP. Desde já >>>> agraceço a atenção. >>>> >>>> Att. >>>> >>>> Leandro Moreira. >>>> >>>> >>>> >>> >>> Primeiro, você deveria ler sobre proxy e bridge. Originalmente, são 2 >>> tipos de dispositivos totalmente diferentes e que trabalharam em > camadas >>> diferentes do tráfico de rede. >>> >>> Segundo, dá uma olhadinha nestas páginas aqui: >>> >>> http://www.linuxfoundation.org/en/Net:Bridge >>> http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html >>> >>> Terceiro, um proxy não trabalha em "modo bridging", esse conceito não >>> existe quando o assunto é proxy. >>> >>> Resumindo, acho, eu disse acho, que até daria para fazer o que você >>> quer, entretanto, é bom levar em conta que isso não é o bom e velho >>> "bridging" que estamos acostumados. Esse tal "bridiging" que estou >>> falando é daqueles que nem sequer está sendo usada uma rede TCP/IP. >>> >>> Por outro lado, um bridge no Linux até poderia ter um IP associado à >>> interface de bridging. >>> >>> Então, boa sorte!!! >>> >>> >> >> >> -- >> To UNSUBSCRIBE, email to [EMAIL PROTECTED] >> with a subject of "unsubscribe". Trouble? Contact >> [EMAIL PROTECTED] >> >> > > > -- > Thiago Silveira Alexandre > > > !DSPAM:1,4926a93f146354037211455! -- Leandro Moreira Linux Networks e-mail: [EMAIL PROTECTED] Tel.: + 55(32) 9906-5713 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
