nemaskovani pristupu na proxy v ipchans
mardon
mar.don na seznam.cz
Pátek Květen 21 09:40:44 CEST 2004
Hello Vlada,
Thursday, May 20, 2004, 9:24:35 PM, you wrote:
VM> mardon wrote:
>>Ahoj linux,
>>
>>moje situace:
>>PC1 firewall z internetu do intranetu na ipchains
>>PC2 aplikacni server, na nemz bezi proxy pro intranet, tento server je
>>V DMZ.
>>
>>z intranetu je pristup na proxy na PC2 realizovan pres PC1, zde se
>>ovsem zapina pro intranet maskarada.
>>
>>Problem je v tom, ze potrebuji na PC2 z logu parsovat pristupy
>>z IP adres intranetu, aby bylo videt kdo kam chodi - sw pouzivam SARG.
>>Ovsem v logu proxy jsou vsechny adresy z intranetu maskovany adresou
>>PC1.
>>
>>Da se na ipchains nastavit, aby se pristupy z intranetu pres PC1 na
>>PC2 nemaskovaly?
>>
>>
VM> A proc provadite maskaradu pro server ve sve vlastni siti? Predpokladam,
VM> ze mate intranet i DMZ v privatnim rozsahu. Je prece zbytecne snizovat
VM> pocet pouzivanych IP adres v siti, kde jich mate k dispozici tolik, ze
VM> je (imho:-]) ani nevyuzijete. Tak provadejte SourceNAT pouze pro pakety
VM> jdouci ven ze vsech vasich siti a ne pro DMZ. V iptables je to trivka,
VM> ipchains mi pripadaji zastarale...
VM> http://www.netfilter.org/documentation/index.html
VM> Netfilter (iptables) ma dost dobrou dokumentaci a Googlem se da najit
VM> mnozstvi prikladu.
VM> Je mozne, ze jsem vas spatne pochopil. Mozna chcete implementovat neco,
VM> co se resi v kapitole 10. NAT HOWTO na zminene strance.
VM> Vsem uzivatelum iptables doporucuji taky vynikajici tutorial Oskara
VM> Andreassona odkazovany jako prvni na porad stejnem URL. Je to sice dost
VM> povidani a od piky, ale da se z toho hodne pochopit.
VM> V.
Vim, ze ipchains jsou zastarale, ale mam je tu.
Uvazuji o prechodu, ale zatim neni cas ...
Prave , ze ten stroj v DMZ ma verejnou IP adresu
--
Best regards,
mardon mailto:mar.don na seznam.cz
Další informace o konferenci Linux