Частная сеть: прозрачные прокси
В этом сценарии, пакеты из частной сети никогда не выходят в Internet, и наоборот. Адреса IP частной сети должны быть назначены по RFC1597 Private Network Allocations (то есть, 10.*.*.*, 172.16.*.* или 192.168.*.*).
Единственный способ подсоединиться к Internet - через firewall, который является единственной машиной в обеих сетях, которая перераспределяет соединения. Вы запускаете программу (на firewall), называемую прозрачный proxy, которая все это делает; ядро пересылает пакеты прокси вместо того, чтобы отправить их наружу (то есть, это похоже на маршрутизацию).
Прозрачный прокси означает, что клиенты не должны знать, что в сети работает прокси.
Любые услуги Интернет, которые вам потребовались, должны быть на firewall.
(Однако см. ``Ограниченные внутренние услуги" ниже).
Пример: Разрешить доступ из частной сети к web-сервису Интернет.
- Частной сети назначены адреса 192.168.1.*, myhost имеет адрес 192.168.1.100, а ethernet интерфейс firewall'а 192.168.1.1.
- Прозрачный прокси (я полагаю, что это патчи к squid, или "transproxy") установлен и настроен на firewall, скажем, на порту 8080.
- Ядру сообщают, что надо переназначать соединения с портом 80 на прокси, используя ipchains.
- Netscape в частной сети настроен на прямое подключение.
- В частной сети должен быть настроен DNS (то есть вы должны запустить DNS сервер как прокси на firewall).
- В частной сети должен быть настроен маршрут по умолчанию (aka гейт), чтобы пакеты посылались на firewall.
- Netscape запрашивает страницу web "http://slashdot.org" и получает 207.218.152.131. Он открывает соединение с этим IP адресом, используя локальный порт 1050 и запрашивает на web-сервере (порт 80) страницу web.
- Поскольку пакеты из myhost (порт 1050) к slashdot.org (порт 80) проходят через firewall, они переназначаются ждущему прозрачному прокси на порту 8080. Прозрачный прокси открывает соединение (используя локальный порт 1025) с 207.218.152.131 порт 80 (которому предназначались первоначальные пакеты).
- Как только прокси получит страницу web из соединения с сервером web, он копирует данные на соединение с Netscape.
- Netscape отображает страницу.
Netscape на myhost обращается к http://slashdot.org.
То есть с точки зрения slashdot.org, соединение установлено между 1.2.3.4 (интерфейс PPP firewall'а) порт 1025 и 207.218.152.131 (slashdot.org) порт 80. С точки зрения myhost соединение установлено между 192.168.1.100 (myhost) порт 1050 и 207.218.152.131 (slashdot.org) порт 80, но фактически обмен информацией совершает прозрачный прокси.