redireccionamiento para proxy transparente

[karig]

Hola,

le cuento primero como tenemos configurado nuestro forti

port2 : todas las vlans internas, seria nuestra lan
port3 : la red dmz
port4 : la red wan

todo anda muy bien, y tenemos un proxy en la dmz 10.46.3.4:80 al cual tenemos permitido el acceso desde la lan

ahora configuramos un segundo proxy en la dmz con la ip 10.46.3.5 en el puerto 8000 y queremos que cumpla la funcion de proxy transparente para incorporar a una red inalambrica de invitados (desde la lan), que no haya que configurar nada en los clientes y que lleguen sus peticiones redireccionando el trafico 80, que sale por defecto, a ese nuevo proxy de la dmz
para lo cual tenemos que redireccionar el trafico entrante por el port2 (lan) al puerto 80, que no sea el que va al proxy 10.46.3.4 (peticiones desde los clientes que tienen sus exploradores configurados asi), al port3 (dmz) a la ip 10.46.3.5 puerto 8000

yo creo que poniendo una regla despues de la que permite el trafico a la ip 10.46.3.4:80, evitariamos redireccionar ese trafico que tiene que seguir estando,
y despues hacer que natee cualquier destino al puerto 80, a la ip 10.46.3.5 puerto 8000 ...eso como se hace?? probamos con ip virtuales.. pero no sabemos si es la manera correcta, ya que no nos anduvo...

nos podrian ayudar?? quizas alguien ya hizo algo parecido??

muchas gracias, y espero su respuesta...

[gabyrossi]

hola, que firmware tenes? y que modelo de equipo?

porque queres usar proxy?

saludos

[karig]

hola, el equipo es un FortiGate 310B y el firmware es v4.0,build0313,110301 (MR2 Patch 4)

nosostros estamos una red de gobierno y tenemos habilitado un proxy en nuestra dmz que hace cache y ademas tiene como caches padres a varias de gobierno....tambien lo usamos para filtrar por ip...todo anda barbaro cuando configuramos los clientes de la lan con ese proxy...pero ahora tenemos que incluir con una red inalambrica de invitados clientes desde la lan y no los tenemos que configurar con un proxy, deberian conectarse directamente, por eso necesitamos que esos paquetes que pasan por el forti sean redireccionados a una ip y puerto especifico de la dmz....
hemos probado con politicas de ruteo y con ip virtuales y no tuvimos suerte....

gracias, saludos
karina

[gabyrossi]

hola, no me queda muy claro el esquema de red.
si hoy en dia usar proxy, cual es la diferencia con esta nueva red que no puedas usarlo?

saludos

[karig]

hola, lo que necesitamos hacer en el forti el que el trafico que entra por la interfaz de la lan hacia cualquier destino puerto 80, el forti le diga que vaya por la interfaz dmz a una ip determinada puerto 80.
Sin configurar en los clientes de la lan a que ip se deben dirigir de la dmz. Redireccionar trafico o natear destino, lo que nos permita el forti.
Espero haber sido mas clara.
saludos

[gabyrossi]

Hola, en 4.0 mr3 tenes para hacer forward de proxy

saludos