免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: 怀恋在子夜
打印 上一主题 下一主题

[网络管理] 请教:透明bridge作squid代理时候bridge必须配地址? [复制链接]

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
11 [报告]
发表于 2008-08-05 12:29 |只看该作者
是的,既然是上3层的问题,就不可能做到完全的透明的。因为涉及到了IP及端口等等操作,必然关乎到IP。

同时作为代理的SQUID,本身是要发出包的,如果没有一个IP地址,这些包该如何收呢?

论坛徽章:
0
12 [报告]
发表于 2008-08-05 15:42 |只看该作者
透明桥,是可以不用IP的,它只是起到一个转发包和控制包的作用。

但是,如果你在透明桥上添加了squid,这个就是所谓的透明代理,是需要配置IP的,因为这个时候,透明桥本身又是一个host,只有有效的IP后,才能访问外网,以便提供squid代理

所谓的这个透明,是指在透明代理两端的HOST都不需要做任何改动,并不是说这个透明网关别人看不到。

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
13 [报告]
发表于 2008-08-05 15:45 |只看该作者
是啊。
透明代理,指的是浏览器不用设置代理服务器,本身意识不到代理的存在。
并不是指的透明桥。

这2个透明的意思是不同的。一个是应用层的透明。另一个是2层的透明。

论坛徽章:
0
14 [报告]
发表于 2008-08-05 15:59 |只看该作者
原来的结构:
A-->B-->C
A为路由器,B为交换机,C为内网
C的网关是A的内网IP

新的结构:
A-->F-->B-->C
A的内网卡连接F的一个网卡,F的另外一个网卡连接交换机B
F设置为桥
这个时候,A,C不需要做任何设置上的改动,网关是正常的,不过,所有A、C之间的数据流都受到F的控制了,这个就是透明桥。这时候,F是不需要设置IP的

不过,如果想做透明代理,这个时候必须设置F的IP,其网关是A的内网卡的IP。
这个时候,F仍然是透明的,因为A、C都不需要改动配置。

如果F是普通的网关的话,那么,F必须设置内网IP和外网IP,此时,C的网关是F的内网IP
A必须修改内网卡IP(不能与C在相同的子网),使得A内网卡的IP与F的外网卡的IP在同一个子网,而且需要在A上添加静态路由(到内网C的静态路由,其路由下一跳指向F的外网卡IP)。
这种情况下,需要改动的地方比较多。

从这两个地方比较,就可以发现透明网关在需要在现有的网络上做控制的时候,是比较好的方法,而且,如果此时F出现问题,只需要把A的内网卡直接连接到B上,就OK了,不需要做任何修改。

论坛徽章:
0
15 [报告]
发表于 2008-08-05 18:38 |只看该作者
原帖由 springwind426 于 2008-8-5 15:42 发表
透明桥,是可以不用IP的,它只是起到一个转发包和控制包的作用。

但是,如果你在透明桥上添加了squid,这个就是所谓的透明代理,是需要配置IP的,因为这个时候,透明桥本身又是一个host,只有有效的IP后,才 ...

是说这个透明代理应该放在网关和内网核心交换机之间吗?这样是否相当于劫持了内网所有试图出去的数据包然后转到自己的squid上了?
不知道是否这个意思?

论坛徽章:
0
16 [报告]
发表于 2008-08-06 07:15 |只看该作者
原帖由 iamshiyu 于 2008-8-5 18:38 发表

是说这个透明代理应该放在网关和内网核心交换机之间吗?这样是否相当于劫持了内网所有试图出去的数据包然后转到自己的squid上了?
不知道是否这个意思?

透明代理分“透明”和“代理”两个步骤
你完全可以把 squid 像一个 PC 一样旁接在网络中去处理数据,只不过在防火墙上针对除了 squid 以外的其他 TCP/80 请求都转向到 squid 去处理
防火墙的工作是使用户感觉到“透明”,squid 的工作是为大家去“代理”,二者缺一不可,缺少防火墙的转向就不是代理了,缺少 squid 那则根本上不了网

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
17 [报告]
发表于 2008-08-06 09:09 |只看该作者
从这两个地方比较,就可以发现透明网关在需要在现有的网络上做控制的时候,是比较好的方法,而且,如果此时F出现问题,只需要把A的内网卡直接连接到B上,就OK了,不需要做任何修改。

现在的防火墙也大都支持透明模式,也就是上面说的部署方法。很多安全设备都是这么部署的,譬如IPS等等。好处就是对网络的改动比较小,故障恢复快速。

论坛徽章:
3
金牛座
日期:2014-06-14 22:04:062015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:49:45
18 [报告]
发表于 2009-02-04 12:49 |只看该作者
谁要能发个bridge+squid的配置案例来学习一下就好了
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP