酷!學園

技術討論區 => Linux 討論版 => 主題作者是: acty 於 2006-11-30 00:21

主題: squid 與 nat 一問
作者: acty2006-11-30 00:21
小弟對網路 NAT 不太懂  想請教一下

公司目前 Proxy 架構如下
Internet - Firewall - Proxy - IDP - User Client

Proxy 網卡只有一張  同時對內對外
今天想改用兩張  一張對內  eth0 (10.254.1.1)  一張對外 eth1 (10.254.2.1)

1. 使用 Transparent Proxy 一定要用 NAT 嗎
    目前我查了很多範例  都是 TP 與 NAT 的實做
    所以不有點不太能肯定   想請教觀念清楚的人

2. User 要透過 IDP 才能連到 Proxy
    這種情況  TP 有辦法架設成功嗎

3. 我可以只用 NAT 不搭配 TP 來做嗎
    eth0 接收 client 的 proxy request
    eth1 對外連線  傳回資料  行的通嗎
主題: squid 與 nat 一問
作者: netman2006-11-30 00:57
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。
主題: squid 與 nat 一問
作者: acty2006-11-30 08:54
引述: "netman"
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。



IDP 是 侵檢測和預防系統
我們是用 line-in 模式  沒有 ip  可以當做不存在
主題: squid 與 nat 一問
作者: acty2006-12-03 02:41
引述: "netman"
1,可以不用 nat,但要確定 TP 為 client 的 gateway,且 client 還要另外解決 dns 的問題。
2,我不清楚 IDP 是甚麼,不好建議。
3,當然。


我嘗試將 squid 用 eth0 對內, eth1 對外
-> 老闆希望可以將對內即對外流量分開  以便監測
(ps. eth1 不算真的對外 , 後面還有防火牆)

我發現是不是不用 TP, Squid 就無法連線
而且網路上我看到有兩張網卡的範例  都是 TP
我很懷疑是不是我的想法錯了
請問一下  這是不是做不到的
主題: squid 與 nat 一問
作者: acty2006-12-03 11:39
sorry 我已經解出來了

Thank you
主題: squid 與 nat 一問
作者: netman2006-12-03 21:50
那,來說說問題是甚麼?怎解的?
主題: squid 與 nat 一問
作者: acty2006-12-03 22:37
引述: "netman"
那,來說說問題是甚麼?怎解的?


再把情況說一遍好了

squid 有兩個介面 一個 squid_in(eth0), squid_out(eth1)
squid_in = 10.254.1.100 squid_out = 10.254.2.100
squid_out 已經在 FW 開通 80,443 的 port

所以 終於想到  我只要把 eth0 收到 dport 80, 443 轉給 eth1 處理就好

-A FORWARD -i eth0 -o eth1 -p tcp -s 10.254.1.100 --sport 1024:65535 --dport 80 -m state --state NEW -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -s 10.254.1.100 --sport 1024:65535 --dport 443 -m state --state NEW -j ACCEPT
# 給 client 使用 port 8080  proxy 連線使用
-A INPUT -i eth0 -s 10.254.0.0/16 -p tcp --dport 8080 -j ACCEPT
# 給供 proxy error message 的 web  
-A INPUT -i eth0 -s 10.254.0.0/16 -d 10.254.1.100 -p tcp --dport 80 -j ACCEPT


唉~
第一次 碰  iptable 實在看到頭暈腦漲
更別說  公司幾乎沒有了解 iptable 的人
不過我跟老闆說一個禮拜就要搞定
所以最後還是買本書  K 比較快

即使最後還是沒有在書中看到我要的範例
不過終於靈光一現  想通了  ~~
主題: squid 與 nat 一問
作者: netman2006-12-03 23:26
先看看:
http://phorum.study-area.org/viewtopic.php?t=41142
主題: squid 與 nat 一問
作者: trainman2006-12-04 00:07
這篇挺讚的喔! :P
主題: squid 與 nat 一問
作者: acty2006-12-04 09:16
引述: "netman"
先看看:
http://phorum.study-area.org/viewtopic.php?t=41142


謝謝  買書前  有看過這篇

只不過一開始公司的環境有點不太一樣
一時難以理解   現在已經大概了解了
主題: squid 與 nat 一問
作者: harrier2006-12-05 10:04
引述: "acty"

第一次 碰  iptable 實在看到頭暈腦漲
更別說  公司幾乎沒有了解 iptable 的人
不過我跟老闆說一個禮拜就要搞定
所以最後還是買本書  K 比較快
即使最後還是沒有在書中看到我要的範例
不過終於靈光一現  想通了  ~~


http://www.fwbuilder.org/

抓下來用,介面就類似一般火牆一樣簡單(例如 NetScreen)。
等它幫你寫出來之後,再去看內容,更容易學習。