Si j'ai bien saisi le probleme (acces aux serveurs de MaJ sans passer par le proxy) je vois au moins 4 solutions:
1/ NAT sur chacun des clients AntiVirus; ce qui me semble un peu trop "intrusif", surtout si il y a une centaine de clients.
2/ Table de routage dédiée avec une default pointant vers une machine faisant du MASQUERADING et servant de relai pour atteindre les serveurs de MaJ. Cette solution utiliserait la table mangle par exemple pour marquer les paquets destinés aux serveurs de MaJ; mais la encore ca suppose des modifications sur l'ensemble des clients AV
3/ Une zone DNS interne pour leurrer les clients AV; qui iront tout le temps chercher les MaJ vers une machine specifique. Cette machine ferait alors du double NAT (source et destination):dNAT afin de faire "rebondir" les demandes de MaJ vers les bons serveurs (cette machine serait exclue de la vue DNS interne) et sNAT pour assurer que le retour reviens toujours sur la meme machine afin de profiter du double NAT stateful
4/ Modif de la conf proxy afin d'eviter l'authentification pour les requetes en provenance des clients AV a destination des serveurs de MaJ
# iptables DNAT vers Internet
Posté par Lionel Cottin . En réponse au message iptables DNAT vers Internet. Évalué à 1.
1/ NAT sur chacun des clients AntiVirus; ce qui me semble un peu trop "intrusif", surtout si il y a une centaine de clients.
2/ Table de routage dédiée avec une default pointant vers une machine faisant du MASQUERADING et servant de relai pour atteindre les serveurs de MaJ. Cette solution utiliserait la table mangle par exemple pour marquer les paquets destinés aux serveurs de MaJ; mais la encore ca suppose des modifications sur l'ensemble des clients AV
3/ Une zone DNS interne pour leurrer les clients AV; qui iront tout le temps chercher les MaJ vers une machine specifique. Cette machine ferait alors du double NAT (source et destination):dNAT afin de faire "rebondir" les demandes de MaJ vers les bons serveurs (cette machine serait exclue de la vue DNS interne) et sNAT pour assurer que le retour reviens toujours sur la meme machine afin de profiter du double NAT stateful
4/ Modif de la conf proxy afin d'eviter l'authentification pour les requetes en provenance des clients AV a destination des serveurs de MaJ