请教：透明bridge作squid代理时候bridge必须配地址？

ssffzz1

是的，既然是上3层的问题，就不可能做到完全的透明的。因为涉及到了IP及端口等等操作，必然关乎到IP。

同时作为代理的SQUID，本身是要发出包的，如果没有一个IP地址，这些包该如何收呢？

springwind426

透明桥，是可以不用IP的，它只是起到一个转发包和控制包的作用。

但是，如果你在透明桥上添加了squid，这个就是所谓的透明代理，是需要配置IP的，因为这个时候，透明桥本身又是一个host，只有有效的IP后，才能访问外网，以便提供squid代理

所谓的这个透明，是指在透明代理两端的HOST都不需要做任何改动，并不是说这个透明网关别人看不到。

ssffzz1

是啊。
透明代理，指的是浏览器不用设置代理服务器，本身意识不到代理的存在。
并不是指的透明桥。

这2个透明的意思是不同的。一个是应用层的透明。另一个是2层的透明。

springwind426

原来的结构：
A-->B-->C
A为路由器，B为交换机，C为内网
C的网关是A的内网IP

新的结构：
A-->F-->B-->C
A的内网卡连接F的一个网卡，F的另外一个网卡连接交换机B
F设置为桥
这个时候，A，C不需要做任何设置上的改动，网关是正常的，不过，所有A、C之间的数据流都受到F的控制了，这个就是透明桥。这时候，F是不需要设置IP的

不过，如果想做透明代理，这个时候必须设置F的IP，其网关是A的内网卡的IP。
这个时候，F仍然是透明的，因为A、C都不需要改动配置。

如果F是普通的网关的话，那么，F必须设置内网IP和外网IP，此时，C的网关是F的内网IP
A必须修改内网卡IP（不能与C在相同的子网），使得A内网卡的IP与F的外网卡的IP在同一个子网，而且需要在A上添加静态路由（到内网C的静态路由，其路由下一跳指向F的外网卡IP）。
这种情况下，需要改动的地方比较多。

从这两个地方比较，就可以发现透明网关在需要在现有的网络上做控制的时候，是比较好的方法，而且，如果此时F出现问题，只需要把A的内网卡直接连接到B上，就OK了，不需要做任何修改。

iamshiyu

原帖由 springwind426 于 2008-8-5 15:42 发表
透明桥，是可以不用IP的，它只是起到一个转发包和控制包的作用。

但是，如果你在透明桥上添加了squid，这个就是所谓的透明代理，是需要配置IP的，因为这个时候，透明桥本身又是一个host，只有有效的IP后，才 ...

是说这个透明代理应该放在网关和内网核心交换机之间吗？这样是否相当于劫持了内网所有试图出去的数据包然后转到自己的squid上了？
不知道是否这个意思？

platinum

原帖由 iamshiyu 于 2008-8-5 18:38 发表

是说这个透明代理应该放在网关和内网核心交换机之间吗？这样是否相当于劫持了内网所有试图出去的数据包然后转到自己的squid上了？
不知道是否这个意思？

透明代理分“透明”和“代理”两个步骤
你完全可以把 squid 像一个 PC 一样旁接在网络中去处理数据，只不过在防火墙上针对除了 squid 以外的其他 TCP/80 请求都转向到 squid 去处理
防火墙的工作是使用户感觉到“透明”，squid 的工作是为大家去“代理”，二者缺一不可，缺少防火墙的转向就不是代理了，缺少 squid 那则根本上不了网

ssffzz1

从这两个地方比较，就可以发现透明网关在需要在现有的网络上做控制的时候，是比较好的方法，而且，如果此时F出现问题，只需要把A的内网卡直接连接到B上，就OK了，不需要做任何修改。

现在的防火墙也大都支持透明模式，也就是上面说的部署方法。很多安全设备都是这么部署的，譬如IPS等等。好处就是对网络的改动比较小，故障恢复快速。

dreamice

谁要能发个bridge+squid的配置案例来学习一下就好了