Linux HOWTO


Частная сеть: прозрачные прокси


В этом сценарии, пакеты из частной сети никогда не выходят в Internet, и наоборот. Адреса IP частной сети должны быть назначены по RFC1597 Private Network Allocations (то есть, 10.*.*.*, 172.16.*.* или 192.168.*.*).

Единственный способ подсоединиться к Internet - через firewall, который является единственной машиной в обеих сетях, которая перераспределяет соединения. Вы запускаете программу (на firewall), называемую прозрачный proxy, которая все это делает; ядро пересылает пакеты прокси вместо того, чтобы отправить их наружу (то есть, это похоже на маршрутизацию).

Прозрачный прокси означает, что клиенты не должны знать, что в сети работает прокси.

Любые услуги Интернет, которые вам потребовались, должны быть на firewall.

(Однако см. ``Ограниченные внутренние услуги" ниже).

Пример: Разрешить доступ из частной сети к web-сервису Интернет.

  1. Частной сети назначены адреса 192.168.1.*, myhost имеет адрес 192.168.1.100, а ethernet интерфейс firewall'а 192.168.1.1.
  2. Прозрачный прокси (я полагаю, что это патчи к squid, или "transproxy") установлен и настроен на firewall, скажем, на порту 8080.
  3. Ядру сообщают, что надо переназначать соединения с портом 80 на прокси, используя ipchains.
  4. Netscape в частной сети настроен на прямое подключение.
  5. В частной сети должен быть настроен DNS (то есть вы должны запустить DNS сервер как прокси на firewall).
  6. В частной сети должен быть настроен маршрут по умолчанию (aka гейт), чтобы пакеты посылались на firewall.

Netscape на myhost обращается к http://slashdot.org.

  1. Netscape запрашивает страницу web "http://slashdot.org" и получает 207.218.152.131. Он открывает соединение с этим IP адресом, используя локальный порт 1050 и запрашивает на web-сервере (порт 80) страницу web.
  2. Поскольку пакеты из myhost (порт 1050) к slashdot.org (порт 80) проходят через firewall, они переназначаются ждущему прозрачному прокси на порту 8080. Прозрачный прокси открывает соединение (используя локальный порт 1025) с 207.218.152.131 порт 80 (которому предназначались первоначальные пакеты).
  3. Как только прокси получит страницу web из соединения с сервером web, он копирует данные на соединение с Netscape.
  4. Netscape отображает страницу.

То есть с точки зрения slashdot.org, соединение установлено между 1.2.3.4 (интерфейс PPP firewall'а) порт 1025 и 207.218.152.131 (slashdot.org) порт 80. С точки зрения myhost соединение установлено между 192.168.1.100 (myhost) порт 1050 и 207.218.152.131 (slashdot.org) порт 80, но фактически обмен информацией совершает прозрачный прокси.




Начало  Назад  Вперед



Книжный магазин