Squid transparente CentOS 7 64 bits

mendoncawillian
(usa Debian)

Enviado em 10/10/2016 - 17:23h

Senhores boa tarde, estou tentando de todas as maneiras configurar o squid de forma transparente porém não consigo, sera que alguem pode me ajudar?

SO: CentOS 7 64 bits Com squid ja instalado e o serviço firewalld desativado

Meu ambiente é o seguinte:

- Servidor com duas placas de rede sendo a primeira (enp0s3) conectada a internet e recebendo ip do modem e a segunda (enp0s8) conectada a rede local com ipfixo.

- Preciso compartilhar a internet que chega no meu servidor com minha rede utilizando o squid pra fazer o controle de acesso porém não sei nem por onde começar, lembrando que o squid esta funcionando quando setado no navegador. Nada foi alterado ainda, inclusive o squid.conf esta como original.

- Não preciso de nenhum bloqueio no momento, preciso somente que as maquinas acessem a internet via proxy transparente

Minhas duvidas são:
1 - Quais arquivos devo editar e com quais informações?

2 - O IpTables precisa ser instalado?

3 - Onde e como fazer as configurações do Iptables?

4 - É necessário configurar o compartilhamento de internet com as interfaces de rede do servidor se sim como?

Senhores agradeço a atenção de todos e peço desculpas pois sou leigo no assunto e nenhum dos tutoriais que vi foram suficientemente claros. Desde já obrigado;

viniciustavares
(usa Kali)

Enviado em 10/10/2016 - 18:21h

cara... vou ser sincero: nunca trabalhei com o CentOS!

mas no ubuntu é dessa forma:

Para habilitar o NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

onde eth1 seria a placa ligada a rede interna seguido do endereço de rede da mesma.

Nesse momento sua rede interna já deve estar acessando a internet!

Squid transparent não funciona bem!
No modo transparent o squid não consegue filtrar os protocolos https.

qualquer dúvida, posta aew!

mendoncawillian
(usa Debian)

Enviado em 11/10/2016 - 16:29h

Amigo boa tarde, somente agora consegui testar as configurações que me passou, e não funcionaram, há algo mais que seja necessário ser feito?
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

mendoncawillian
(usa Debian)

Enviado em 11/10/2016 - 16:38h

Amigo me desculpe, não sei se interpretei mal ou se foi um equivoco seu no momento da digitação mais enfim, eu consegui fazer funcionar dessa mesma forma que me indicou porém com uma pequena alteração. No momento em que digitei o seguinte comando


iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

Substitui eth1 pela minha placa de rede conectada a internet, ao contrario do que você disse, e a minha rede interna funcionou.

Só me restou uma duvida, como faço para que esse comando não precise ser digitado cada vez que reiniciar o sistema operacional? Qual arquivo devo editar? E como colocar regras permanentes no iptables?

obrigado pela atenção.

--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

stefaniobrunhara
(usa CentOS)

Enviado em 11/10/2016 - 16:59h

Um forma bem simples de compartinhar a internet é você montar um script de firewall básico, como o que temos abaixo, agora se você pretende usar o squid de forma transparente você precisa de uma regra que redirecione todo o trafico da porta 80 para a porta do squid.

iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128

Sim, o Iptables precisa estar configurado.

criar o arquivo com editor de texto VIM

vim firewall.sh

#!/bin/bash
iptables -F
iptables -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables

### redireciona o trafico da porta 80 para o squid
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128

## redireciona o trafico da porta 443 para o squid caso você configure seu squid para https
# iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 443 -j REDIRECT --to-ports 3129

## permite que as estações tenha NAT
ptables -A FORWARD -t filter -j ACCEPT
iptables -A FORWARD -t filter -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -o enpS03 -j MASQUERADE
:x <--- para sair gravando shif+ Dois pontos +x minúsculo

Dar permissão de execução
chmod +x firewall.sh

para executar
./firewall

O controle do proxy e feito no squid.conf

mendoncawillian
(usa Debian)

Enviado em 11/10/2016 - 23:39h

Senhores boa noite,

Muito obrigado pela ajuda de todos, fiquei somente com duas duvidas:

Primeira: Pelo que entendi o squid não bloqueia https por padrão, porém para fazer esse bloqueio basta direcionar o trafego da porta 443 para a porta 3128 do squid é isso?

Segunda: Como assim configurar o IpTables? Porque o compartilhamento de internet esta funcionando, então isso quer dizer que o IpTables esta funcionando perfeitamente correto?

Obrigado pela atenção senhores.

--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta

stefaniobrunhara
(usa CentOS)

Enviado em 12/10/2016 - 11:41h

1) O squid3 tem esta função agora de bloquear https, você redireciona http para 3128 e redireciona https para 3129
2) Se você já tem compartilhamento de internet o iptables esta OK, mas você vai precisa apenas da regra

iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 443 -j REDIRECT --to-ports 3129

mendoncawillian
(usa Debian)

Enviado em 12/10/2016 - 12:10h

Tranquilo, entendi o procedimento, mais eu preciso fazer alguma alteração no squid.conf para que ele avalie o trafego na porta 3129? Porque o meu esta analisando somente a porta 3128
--
Atenciosamente
Willian Mendonça
Administrador de Redes
Bacharelando em Engenharia da Computação
willian.ricardo.mendonca@gmail.com
Não esqueça de avaliar a melhor resposta