01 02

Proxy transparente [RESOLVIDO]

1. Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 02/01/2012 - 15:50h

Eu configurei o squid no fedora 15
mais não consigo enteder na parte de deixar ele
transparente me perco no ip tables
podem me ajudar por favor?

desde ja agradeço

0 0

Quote

2. MELHOR RESPOSTA

saitam
(usa Slackware)

Enviado em 04/01/2012 - 23:33h

script firewall básico (adapte para seu caso)



#!/bin/bash

#Variáveis

ifaceExt="eth0" #acesso internet

ifaceInt="eth1" #acesso intranet(rede interna)

LAN="192.168.1.0/24" #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

echo "Firewall iniciando..............................[OK]";

#limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

#política padrão

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP



#Permite pacotes transmitidos através da interface de loopback(localhost)

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#políticas chain INPUT

iptables -A INPUT -p tcp -dport 80 -i -j ACCEPT #HTTP

iptables -A INPUT -p tcp -dport 53 -i -j ACCEPT #DNS TCP

iptables -A INPUT -p udp -dport 53 -i -j ACCEPT #DNS UDP

#políticas chain OUTPUT

iptables -A OUTPUT  -p tcp --dport 80 -j ACCEPT #HTTP

iptables -A OUTPUT  -p tcp --dport 443 -j ACCEPT #HTTPS

iptables -A OUTPUT  -p tcp --dport 53 -j ACCEPT#DNS TCP

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS UDP

#políticas chain FORWARD

iptables -A FORWARD -i $ifaceInt -j ACCEPT

iptables -A FORWARD -o $ifaceInt -j ACCEPT



#Compartilha a conexão, disponível na interface eth0:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE

echo "Compartilhamento da rede ativo......................[OK]";



#Protege contra synflood

echo "1" > /proc/sys/net/ipv4/tcp_syncookies



#Protege contra ping na máquina

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all



#Proteção contra ICMP Broadcasting

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts



#Proteção contra ataques DoS

iptables -A INPUT -m state -state INVALID -j DROP

iptables -A OUTPUT -p tcp ! -tcp-flags SYN,RST,ACK,SYN -m state -state NEW -j DROP



#Proteção contra IP Spoofing

iptables -A INPUT -s $LAN -i $ifaceExt -j DROP

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo "1" > $i

done



#Bloqueia tudo que não foi especificado acima:

iptables -A INPUT -p tcp -syn -j DROP

0 0

Quote

3. Re: Proxy transparente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 02/01/2012 - 21:14h

No squid.conf coloque esta linha:

http_port ip_do_seu_servidor:3128 transparent

Depois, no arquivo de configuração do Iptables coloque esta regra, para jogar todo o tráfego para o squid.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se achar melhor, poste as configurações que tu já fez.

Abraço.

0 0

Quote

4. Re: Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 03/01/2012 - 13:49h

cara muito obrigado !!!
mais mais ainda não deu certo :(
mais foi pela parte do squid pq o iptables deu certo

0 0

Quote

5. Re: Proxy transparente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 03/01/2012 - 13:51h

Tranquilo cara.

Poste as configurações do squid.

0 0

Quote

6. Re: Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 03/01/2012 - 16:47h

Squid Renato

http_port 3128 intercept
visible_hostname Proxy

cache_mgr renato@cpiengenharia.com.br
error_directory /usr/share/squid/errors/pt-br
hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 100 MB

cache_dir ufs /var/spool/squid 2048 16 256

#Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_log /var/log/squid/access.log

acl localhost src 127.0.0.1/32

acl localnet src 192.168.0.0/24

acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

acl purge method PURGE
http_access allow purge localhost
http_access deny purge

acl safe_ports port 21 #FTP
acl safe_ports port 70 #gopher
acl safe_ports port 80 #http
acl safe_ports port 210 #wais
acl safe_ports port 280 #http-mgmt
acl safe_ports port 443 #https
acl safe_ports port 488 #gss-http
acl safe_ports port 563 #nntps
acl safe_ports port 591 #filemaker
acl safe_ports port 631 #cups
acl safe_ports port 777 #multiling http
acl safe_ports port 873 #rsync
acl safe_ports port 901 #swat
acl safe_ports port 1863 #msn
acl safe_ports port 5190 #msn
acl safe_ports port 1025-65535 #unregisteres ports
http_access deny !safe_ports

acl CONNECT method CONNECT
acl SSL_ports port 443 #https
acl SSL_ports port 563 #nntps
acl SSL_ports port 873 #rsync
http_access deny CONNECT !SSL_PORTS

# Acessos da rede

#liberar almoco

acl almoco time 12:00-13:59
http_access allow almoco

#MSN
acl msn url_regex -i /gateway/gateway.dll
acl Negar_msn dstdomain "/etc/squid/msn.txt"
acl Negar_msn2 url_regex "/etc/squid/msn2.txt"
acl nomsn.txt url_regex -i "/etc/squid/nomsn.txt"
acl msn.txt dstdomain "/etc/squid/nomsn.txt"
acl msn1 rep_mime_type -i ^application/x-msn-messenger$
acl msn_port port 1863
acl msn_port2 port 5223
acl serv_msn dst 200.46.110.0/24
acl serv_msn dst 64.4.13.0/24
acl msn_port3 port 1080

http_access deny msn_port3
http_access deny msn_port
http_access deny msn_port2
http_access deny serv_msn
http_access deny msn1
http_access deny Negar_msn
http_access deny Negar_msn2
http_access deny msn
http_access deny nomsn.txt
header_access Accept-Encoding deny msn.txt

#SITES

acl sites dstdomain "/etc/squid/sites"
http_access deny sites

#LIBERAR POR IP

#acl libera src 192.168.0.148
#http_access allow libera

#SITES DO GOVERNO

acl governo.txt dstdomain "/etc/squid/governo.txt"
http_access allow governo.txt

#PALAVRAS

acl palavras url_regex -i "/etc/squid/palavras"
http_access deny palavras

#EXTENÇÔES

acl extencoes urlpath_regex -i "/etc/squid/extencoes"
http_access deny extencoes

#bloqueio da rede interna

http_access allow localnet
http_access allow localhost
http_access deny all

0 0

Quote

7. Re: Proxy transparente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 03/01/2012 - 17:10h

O squid está funcionando ?

Essa linha:

Squid Renato

Está comentada ?

Estas outras linhas devem ficar desta forma:

http_port 192.168.0.1:3128 transparent
visible_hostname Proxy

(Modifique o IP para o da sua rede).

Depois execute:

# squid -k reconfigure

E veja se funciona.

0 0

Quote

8. Re: Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 04/01/2012 - 09:12h

Sim , esta fucionando
e a linha squid renato
ta comentada

0 0

Quote

9. Re: Proxy transparente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 04/01/2012 - 09:51h

OK. Fazendo estas alterações que citei, o que acontece ?

Como foi feita a instalação do squid ?

Seu iptables tem essas regras:

iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o (placa_de_rede_WAN) -j MASQUERADE

0 0

Quote

10. Re: Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 04/01/2012 - 10:52h

agora eu to com duvida
qual dos iptables pq tem varios diretorios
que tem iptables qual é o caminho correto?

0 0

Quote

11. Re: Proxy transparente [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 04/01/2012 - 11:33h

/etc/sysconfig/iptables (ou firewall)

0 0

Quote

12. Re: Proxy transparente [RESOLVIDO]

renato_hateen
(usa Fedora)

Enviado em 04/01/2012 - 14:50h

então vou esperar acabar o espediente de trabalho aqui da empresa
e vou fazer essas configurações eu tentei faze algumas mais acabo parando de funcionar o squid

0 0

Quote