Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[inet-admins] transparent proxy

To: inet-admins@info.east.ru
Subject: [inet-admins] transparent proxy
From: Alex Tutubalin <lexa@lexa.ru>
Date: Thu, 22 Jan 1998 10:42:28 +0300
Reply-To: inet-admins@info.east.ru
Sender: inet-admins@info.east.ru

Hi!

 >> Так цель моего документа - просто задокументировать это. А то поиск в
 >> FAQ/dejanews/altavista/rambler/UGU/доках на ipfilter не дал _ничего_
 >> работоспособного. Задокументировали бы и положили в "отстойник" - о чем
 >> собственно я речь и веду.
 ier> Отличная идея,но боюсь не  жизнеспособная - по причине опять же всеобщей
 ier> ленности. :)
Вот мы и посмотрим. Но вообще, отечественная привычка не документировать то что 
сделано бъет по самим же сисадминам. Как доктор вам говорю :)

 >> Так тут более-менее понятно что делать. Заворачивать icmp 'packet too
 >> big' на ту же машину, где работает proxy, скармливать их там программе,
 >> которая будет делать NAT lookup и соответственно принимать во внимание
 >> или отсылать дальше по роутингу (если через ту же Cisco, то нужно тогда
 >> подменять source addr у этого icmp на fake и для fake-адресов не делать
 >> policy routing).
 ier> Можно ли  взглянуть на src ?
Хм. Я не знаю, насколько "разглашаемо" то, что мне присылал Ярослав Тихий
<yar@comp.chem.msu.su>, лучше переспросите у него (блин, работа с американцами 
дает о себе знать - все про что не знаешь, сразу считаешь non-disclosure).

А в общих чертах в RadioMSU все устроено так - все icmp 'too big', кроме идущих
с fake addr заворачиваются на машину с natd. Natd _сам_ и без каких-либо правок
находит там свои пакеты (это встроенная фича), остаток работы - подменить 
source address у всех остальных icmp-пакетов на fake и отослать обратно. 
Примерно 20 строчек кода. На что тут, собственно, смотреть.


BTW, вторые возможные грабли, о которых писал Илья - это то, что стандартный 
Squid без заголовка Host: работать не будет. Это лечится моим патчем, 
подключающим к Squid'у NAT lookup.

С уважением,Alex Tutubalin

--- GoldED 2.42.G1114+


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.

Follow-Ups:
- Re: [inet-admins] transparent proxy
  - From: flx

Prev by Date: Re: [inet-admins] transparent proxy
Next by Date: Re: [inet-admins] transparent proxy
Previous by thread: Re: [inet-admins] transparent proxy
Next by thread: Re: [inet-admins] transparent proxy
Index(es):
- Date
- Thread