作者 主題: squid 與 nat 一問  (閱讀 4097 次)

0 會員 與 1 訪客 正在閱讀本文。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 於: 2006-11-30 00:21 »
小弟對網路 NAT 不太懂  想請教一下

公司目前 Proxy 架構如下
Internet - Firewall - Proxy - IDP - User Client

Proxy 網卡只有一張  同時對內對外
今天想改用兩張  一張對內  eth0 (10.254.1.1)  一張對外 eth1 (10.254.2.1)

1. 使用 Transparent Proxy 一定要用 NAT 嗎
    目前我查了很多範例  都是 TP 與 NAT 的實做
    所以不有點不太能肯定   想請教觀念清楚的人

2. User 要透過 IDP 才能連到 Proxy
    這種情況  TP 有辦法架設成功嗎

3. 我可以只用 NAT 不搭配 TP 來做嗎
    eth0 接收 client 的 proxy request
    eth1 對外連線  傳回資料  行的通嗎
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
squid 與 nat 一問
« 回覆 #1 於: 2006-11-30 00:57 »
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 回覆 #2 於: 2006-11-30 08:54 »
引述: "netman"
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。



IDP 是 侵檢測和預防系統
我們是用 line-in 模式  沒有 ip  可以當做不存在
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 回覆 #3 於: 2006-12-03 02:41 »
引述: "netman"
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。


我嘗試將 squid 用 eth0 對內, eth1 對外
-> 老闆希望可以將對內即對外流量分開  以便監測
(ps. eth1 不算真的對外 , 後面還有防火牆)

我發現是不是不用 TP, Squid 就無法連線
而且網路上我看到有兩張網卡的範例  都是 TP
我很懷疑是不是我的想法錯了
請問一下  這是不是做不到的
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 回覆 #4 於: 2006-12-03 11:39 »
sorry 我已經解出來了

Thank you
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
squid 與 nat 一問
« 回覆 #5 於: 2006-12-03 21:50 »
那,來說說問題是甚麼?怎解的?

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 回覆 #6 於: 2006-12-03 22:37 »
引述: "netman"
那,來說說問題是甚麼?怎解的?


再把情況說一遍好了

squid 有兩個介面 一個 squid_in(eth0), squid_out(eth1)
squid_in = 10.254.1.100 squid_out = 10.254.2.100
squid_out 已經在 FW 開通 80,443 的 port

所以 終於想到  我只要把 eth0 收到 dport 80, 443 轉給 eth1 處理就好

-A FORWARD -i eth0 -o eth1 -p tcp -s 10.254.1.100 --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -s 10.254.1.100 --sport 1024:65535 --dport 443 -m state --state NEW -j ACCEPT
# 給 client 使用 port 8080  proxy 連線使用
-A INPUT -i eth0 -s 10.254.0.0/16 -p tcp --dport 8080 -j ACCEPT
# 給供 proxy error message 的 web  
-A INPUT -i eth0 -s 10.254.0.0/16 -d 10.254.1.100 -p tcp --dport 80 -j ACCEPT


唉~
第一次 碰  iptable 實在看到頭暈腦漲
更別說  公司幾乎沒有了解 iptable 的人
不過我跟老闆說一個禮拜就要搞定
所以最後還是買本書  K 比較快

即使最後還是沒有在書中看到我要的範例
不過終於靈光一現  想通了  ~~
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
squid 與 nat 一問
« 回覆 #7 於: 2006-12-03 23:26 »

trainman

  • 憂鬱的高中生
  • ***
  • 文章數: 138
    • 檢視個人資料
squid 與 nat 一問
« 回覆 #8 於: 2006-12-04 00:07 »
這篇挺讚的喔! :P

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
squid 與 nat 一問
« 回覆 #9 於: 2006-12-04 09:16 »
引述: "netman"
先看看:
http://phorum.study-area.org/viewtopic.php?t=41142


謝謝  買書前  有看過這篇

只不過一開始公司的環境有點不太一樣
一時難以理解   現在已經大概了解了
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
squid 與 nat 一問
« 回覆 #10 於: 2006-12-05 10:04 »
引述: "acty"

第一次 碰  iptable 實在看到頭暈腦漲
更別說  公司幾乎沒有了解 iptable 的人
不過我跟老闆說一個禮拜就要搞定
所以最後還是買本書  K 比較快
即使最後還是沒有在書中看到我要的範例
不過終於靈光一現  想通了  ~~


http://www.fwbuilder.org/

抓下來用,介面就類似一般火牆一樣簡單(例如 NetScreen)。
等它幫你寫出來之後,再去看內容,更容易學習。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>