[linux] Re: Ako zabranit zahlteniu DSL routra

Peter Surda shurdeek na routehat.org
Pondělí Leden 17 19:05:58 CET 2005 

On Mon, Jan 17, 2005 at 05:20:50PM +0100, Matus UHLAR - fantomas wrote:
> Proxy server musi kontrolovat hlavicky ako napriklad Accept-Encoding a
> vyhadzovat z nich nezname veci...
Ano, to mas pravdu, to moze byt problem, ale pokial to robi korektne a napriek
tomu je nieco zle, tak je chyba na strane clienta alebo servra :-)

> Myslis tym, ze gateway forwarduje vsetky WWW spojenia na stroj:port, kde
> pocuva proxy server nakonfigurovany ako transparentny? Ano, to je
> standardny sposob ako sa to cele robi. 
Da sa to spravit 2mi sposobmi. Cez NAT alebo redirect. Ja som myslel ten
redirect. Ked to spravis cez NAT, tak proxy nebude vediet, ze ma fungovat ako
transparentny, co moze v istych pripadoch sposobit problemy.

> Ale stale nerozumiem co sa snazis napisat dalej:
Uvidis :-)

> > Potom:
> > - proxy sa z hladiska clientu sprava ako dalsi router
> klient vsak vobec nevie o tom, ze nejaky transparentny proxy server je v
> ceste (preto sa to vola transparentny, teda neviditelny).
Ciastocne o tom vie. Ten hore popisane redirect totiz funguje tak, ze default
gateway posle pri paketoch ktore maju podla policy ist na proxy, clientovi
ICMP redirect, a ten client ten paket posle znova, ale ma tam destination MAC
adresu proxy servra a nie gatewayu (teda ako keby proxy bol router).

Ked neveris, tak si skus tcpdump.

> > - za istych podmienok pocitac posle paket, ktory by poslal default
> >   gatewayu, proxyservru (napr. http -> https redirect)
> http->https redirect posiela iba server klientovi a ide o specialne
> formatovanu HTTP odpoved.
Ano, ale potom pochopitelne client posle novy request s novym obsahom. A
bohuzial MSIE v niektorych takychto pripadoch novo formatovany request neposle
na default gateway, ale na proxy. Ked to je napriklad iny port (443) a proxy
sa s nim nevie vysporiadat (i.e. nema v chaine FORWARD ten Port povoleny),
mas problem.

Ja to riesim tak, ze spravim na proxy opacny redirect (vsetko co nie je port
80 je cez ip route presmerovane zase na default gateway). Potom sa aj MSIE
spamata a posle to spravne.

> Klient neposle proxy serveru nic, pretoze routovanie ho nezaujima (to je
> vec IP a routerov, nie HTTP protokolu) a transparentny proxy je
> neviditelny.
Je to tak trochu jednu vrstvu podtym ("velmi nizke routovanie" :-)).

Inac to, ze MSIE sa sprava na takej nizkej urovni vlastnym sposobom, nieco
vypoveda o programovani v Microsofte. O to sa ma starat sietova vrstva v
kerneli a nie browser.

S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
  Hello, this is Bill Gates and I pronounce Monopoly, er, Windows as Windows.

Další informace o konferenci linux