... начнем как работет прокси сервер - он устанавливает с соеденение
>с dist-host via proxy и local-host via proxy..выступает в качестве посредника...
- Т.е. меняет заголовок local-IP на свой, проксевый, и отсылает запрос на dist-host, аналогично NAT_у, я правильно понимаю? И ответ тогда тоже отрабатывается аналогично NAT_у. Это и есть ПРОСТО прокси, правильно я понял? /Если считать, что все делается по честному, без файрволла, а в броузере указан адрес прокси/.
>> --при принудительном проксировании твой файрволл заменяет dist-ip на
>адрес твоего PROXY SERVERA, т.е. мы получаем что в заголовке ip
>у нас твой ip и ip proxy servera,
- А это тоже просто прокси, но ПРИНУДИТЕЛЬНЫЙ, - фйрволл отлавливает все локальные запросы по 80 порту и заворачивает их на прокю, а дальше прокся работает как обычно/обычная ПРОСТАЯ прокся, так ведь? Правильно я понимаю?
>а при прозрачном проксировании получатеся у нас вот что твой браузер
>посылает запрос на dist-host где в заголовке ip прописан твой local-ip
>и соответственно dist-ip, а ты спресишь
>почему тогда идет запрос дальше на dist-ip, вот тут то и
>включается возможность новой версии протокола http(v1.1),(т.е. в заголовке httpv1.1 содержится dist-host,
>но что proxy понимал это включают опцию --enable-transparent-proxy)
-- т.е. можно обойтись без принудительного заворачивания траффика на проксю - она сама будет его перехватывать, так или не так? А вся разница в том, что при простом/принудительном проксировании на dest-host в заголовках ip-пакетов указываются/уходят адреса локал и прокси ,,
в то время как при прозрачном проксировании прокся свой адрес не записывает, правильно я понял? - но запросы слушает и пересылает.
прозрачным прокси могут
>ползоватся тока те клиента которые умеют работать по протоколу httpv1.1 (это
>Explore выше 3.3 версии и т.д. НЕ все заметь)..потом про аутентификацию
>пользователей...придется тоже отказатся при прозрачном проксировании
-- тут на форуме ixbt, сказали, что вроде в 2.5стейбл5 и самбе3, сделали доменную аутентификацию при прозрачной проксе - не знаю, слазал на сквид-орг, ничего по этому поводу явного не нашел. Сейчас на самбе хочу посмотреть.../скорей всего выдается желаемое за действительное - по принципу - слышал звон.../
сам уже наверно догадался почему(подсказать..
>ты посылаешь запрос на 80 порт у прокси у тебя на
>3128 вот в этоим и косяк и зырыт..)....выход один...у меня так
>работает настраиваешь vpn с принудительной выдачей ip для пользователей которые хотят
>ходить во вне...хочешь общитывать трафик...это все до прокси..а потом также загибаешь
>трафик на прокси порт..а с помощью прокси уже режишь там банеры
>и т.д. а правила уже пишешь соответственно для ip-locla-host, а не
>для domain юзеров или еще каких)
-- у меня в инет DFL-600 Firewall/router воткнут - на днях поставил - пока в восторге - а после него шлюз на фришке, на которой весь трафик/логи и хотелось бы обрабатывать. Дальше свитч и домен 2К. - Exchange + 1C&SQL. Мне казалось лучше/проще схемы не придумать. Но позвонил знакомый, сказал, что я не прав, что надо фришку в DMZ выставлять /на DFL есть отдельный порт DMZ/ и через нее весь локальный трафик в инет пускать,мол тогда и проблем не будет. И я теперь в раздумиях - я прав или не прав?
вроде все пищи если не
>понятно!!!
ОГРОМНОЕ СПАСИБО за помощь!!! - у меня только маленьвая просьба - если я чего то не так понял, пожалуйста, обьясните еще раз.
Удачи Вам!!!
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
19-Май-04, 17:23 (MSK)
