Les iptables Linux — précis & concis
22
Mandataires transparents
Les mandataires transparents (transparent proxy) permettent
d’intercepter certaines connexions sortantes et de les rediriger
vers un ordinateur qui va les gérer à la place de la machine cible
originale. Cette technique permet de créer des mandataires
(proxy) pour certains services sans pour autant avoir besoin de
configurer chaque ordinateur du réseau interne. Comme tout le
trafic vers le monde extérieur passe par la passerelle, toutes les
connexions sur un port donné seront traitées de manière trans-
parente.
Si vous avez configuré un mandataire HTTP (comme Squid, par
exemple) de sorte à ce qu’il se comporte comme un mandataire
transparent sur votre machine pare-feu et qu’il écoute sur le port
8888, vous pouvez ajouter une règle pour rediriger les con-
nexions HTTP sortantes vers ce dernier grâce à la commande
suivante :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80
-j REDIRECT --to-port 8888
La mise en place d’un mandataire transparent est en revanche
bien plus compliquée si le service doit tourner sur un autre hôte.
Vous pourrez trouver de plus amples informations sur la mise en
place de Squid dans le guide de Daniel Kiracofe intitulé
« Transparent Proxy with Linux and Squid mini-HOWTO » et
disponible depuis le site du LDP (Linux Documentation Project,
http://www.tldp.org/HOWTO/TransparentProxy.html).
Distribution et équilibrage de charge
Vous pouvez distribuer la charge vers un certain nombre d’hôtes
grâce aux extensions de correspondance nth et de cible DNAT.
L’équilibrage de charge est une sorte de distribution de charge
intelligente qui implique l’utilisation de statistiques de montées
en charge des différents hôtes afin de sélectionner de manière
plus fine les hôtes vers lesquels les paquets seront envoyés et de
les maintenir ainsi à un niveau de charge égal.
_iptables.book Page 22 Lundi, 8. novembre 2004 6:33 18