Hi!
> A cég weboldalán az egyik oldalon van egy iframe, amiben a > hivatkozás a gép publikus IP-je (tehát nem DNS név, hanem IP) és > egy port, mondjuk 1.2.3.4:82. Ez van DNAT-tal továbbítva az > 5.6.7.8:80-ra. > > Akkor van gond, ha a proxy mögött ülő kliensek megpróbálják > megnézni ezt az oldalt, ui a Squid az őt futtató gép egyik > interface-ére próbál csatlakozni, vagyis ilyesmi: A problémát az okozza, hogy ebben az esetben mindkét gép a belső hálón van, így a szerver a válasz csomagot nem a tűzfal felé küldi el, hanem direktben oda tolja a kliensnek. A bibi ott van, hogy a tűzfal manipulálta az eredeti csomagot, a válasz viszont nem ment át rajta, így a válasz csomag vissza- alakítása nem történhet meg. A megoldás az lehet, hogy a nat tábla POSTROUTING láncába is felveszel egy szabályt, ami azt mondja, hogy minden csomag, amely a belső hálóból jön és a kérdéses szerver felé halad, az MASQUERADE. Ekkor a belső hálós csomagok úgy kerülnek a szerverhez, mintha a tűzfal küldte volna, így a válasz csomag is a tűzfalnak megy - ergo lehetőség van a válaszcsomag visszaalakítására és így működni fog a kapcsolat. Amiért ennek a megoldásnak a szépsége vitatható, az az, hogy a szerver innen kezdve az összes belső hálózatból származó forgalmat az eredeti valós gép helyett a tűzfalról származó csomagnak fogja naplózni - viszont a kommunikáció működni fog. Zsolt _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
