Montagem de proxy

jonathansprj
(usa Ubuntu)

Enviado em 10/11/2013 - 21:06h

Boa noite pessoal!

Depois de muito pesquisar aqui, resolvi abrir esse tópico pois realmente não estou conseguindo mais avançar.

Eis o que preciso fazer:

Linux Ubuntu para configurar o squid em minha empresa.

eth0 (local) = 10.0.0.60/8
eth1 (intranet) = 10.1.196.1/22 gw 10.1.199.254 dns 10.3.4.131

O squid instala numa boa mas quando levanto as duas placas de rede, só a ultima que eu levantei funciona. Pinga o dns e tudo o mais. Mas por exemplo, quando a externa funciona, eu pingo a intranet mas nao acesso o proxy. E quando a local funciona, eu acesso o proxy mas não passo disso pq a externa não encaminha pra fora.

O engraçado é que eu uso o mesmo modelo para o acesso a internet na minha empresa. E sempre dá certo. Me pergunto oq difere um do outro. Eu tenho todas as configurações. Uma vez configurado e o squid rodando, ele deveria fazer esse roteamento né?

aguardo retorno!

abraços!

Buckminster
(usa Debian)

Enviado em 11/11/2013 - 02:51h

Posta aqui os scripts do Squid e do Iptables.

andrecanhadas
(usa Debian)

Enviado em 11/11/2013 - 10:30h

E também o conteúdo de /etc/network/interfaces essas configurações de rede que passou estão estranhas:

10.1.196.1/22 gw 10.1.199.254 dns 10.3.4.131

souzacarlos
(usa Outra)

Enviado em 11/11/2013 - 11:35h

Cara bom dia, não vou entrar em muitos detalhes técnicos agora vamos focar, no simples.
VC tem 2 redes distintas certo?

10.0.0./8

a segunda vc saberia responder? o / 22 ou 255.255.240.0 é familiar pra vc?

VC percebeu que sua rede da eth1 é 10.1.192.0/22?

Percebeu que teu GW é um IP no meio deste RANGE, não que haja problema nisso mas...?
Se possível reformular melhor sua pergunta, e também se possível mostrar como funciona o modelo de sua rede que vc afirma funcionar.

Aguardo.

jonathansprj
(usa Ubuntu)

Enviado em 13/11/2013 - 16:05h

Entao pessoal,

Agradeço a todos pelo interesse.

O squid ainda está limpo:

http_port 3128

acl local src 10.0.0.0/8

http_access allow local

Quanto as conf das placas:

eth0 (Local):

IP: 10.0.0.60/8

eth1 (Intranet)

IP: 10.1.196.2
Mask: 255.255.252.0 (o que seria o mesmo q 22)
GW: 10.1.199.254
DNS: 10.3.4.131

Obs: Essas conf me foram dadas, logo é de uso obrigatório.

O que me causa estranheza é que eu só consigo pingar o DNS quando eu desativo a eth0 (Local). Quando eu levanto essa placa de rede, a intranet cai automaticamente. Me parece que uma anula a outra.

Quando ao iptables, ele também está limpo. Sem nenhuma regra ainda. Estou levantando o proxy agora.

Entenderam? As conf funcionam, só que nao juntas. Vale lembrar que eu já ativei o compartilhamento/nat.

abraços!

Buckminster
(usa Debian)

Enviado em 13/11/2013 - 16:33h

No Squid você precisa pelo menos essas configurações:
http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/?pagina=4


No Iptables, pelo menos, no mínimo dos mínimos, essas:

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -j REDIRECT --to-port 3128 << aqui vai a placa da rede interna.
iptables –t nat –A POSTROUTING –o ethx –j MASQUERADE << aqui vai a placa que recebe a internet, não pode ser a mesma placa nesta regra e na regra de cima.

Provavelmente, quando você diz que já tem o compartilhamento, você deve estar falando dessa linha: echo 1 >

/proc/sys/net/ipv4/ip_forward, mas essa linha somente ativa, a linha que faz o compartilhamento é essa

iptables –t nat –A POSTROUTING –o ethx –j MASQUERADE

E a tua eth0 (local), como assim local.. o que você quer dizer com local?

E a tua eth1 (intranet)... como assim... intranet é um conceito, você está confundindo intranet com rede interna, são coisas diferentes.

Provavelmente a tua eth1 está conectada no modem recebendo a internet (então a tua eth1 é a placa de rede da internet) e a tua eth0 é que é a placa da rede local (ou rede interna).

Intranet é outra coisa.

Você recebe a internet de onde.. de um modem... de um switch.. etc..?

Verifique qual a placa que recebe a internet, essa é a placa de rede da internet e é essa placa que deve ir nessa regra:

iptables –t nat –A POSTROUTING –o ethx –j MASQUERADE

pois é essa placa que irá compartilhar os dados com todas as outras placas de rede na máquina não importando quantas tenha.

Arrume as configurações e vá lendo o Manuel:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

jonathansprj
(usa Ubuntu)

Enviado em 14/11/2013 - 08:43h

Fala ai rapaziada,

Então, a topologia implementada aqui é a seguinte:

tenho um link de internet que cai num proxy já rodando 100%. Esse ta com squid/iptables instalado e tá tudo uma maravilha.

Agora a intranet aqui, vem por meio de uma fibra ótica que cai em um outro proxy com squid/iptables instalado.

Então meus clientes terão 2 proxys. Um no chrome, pra saída para a internet e um outro, no firefox, pra sair para intranet.

Então, na minha eth0, está o cabo de rede local, que vem do switch da minha própria rede. E na eth1 está o cabo que vem da fibra otica (claro q tem um conversor, falei fibra pra ilustrar melhor).

Ao colega Buckminster, as regras já foram aplicadas. Só que o problema persiste. Quando eu desativo a eth0 e deixo só a fibra, o computador q está instalado entra na intranet na boa. Mas é só ativar a eth0 que o proxy já nao pinga o dns e consequentemente nao acessa a intranet.

Alguém dá uma luz?

souzacarlos
(usa Outra)

Enviado em 14/11/2013 - 13:33h

Peço desculpas pelo erro acima sobre subnet!!! acabei me equivocando e dividindo a rede errado, havia visto um /20!!!

souzacarlos
(usa Outra)

Enviado em 14/11/2013 - 15:23h

Cara boa tarde, seguinte.

Vamos por parte.

Quando vc sobe a ETH0 que o sistema entende como "default" ele entende que vc tá usando a rede 10.0.0.0/8 que por sua vez tem compreendido dentro deste escopo o IP do teu DNS, como esta placa está ligada a um segmento de rede que não possui uma máquina com este IP logo ele não responde.

Entendeu? ISTO > 10.1.196.0 < dentro da rede 10.0.0.0/8 é endereço válido de rede que é o default classe A não roteada na internet de acordo com RFC 1918.

Umas das possibilidades seria criar rotas para suas redes ex:

tudo que estiver na minha rede local 10.0.0.0/8 e que tenha como destina 10.1.196.0/22 encaminhar para interface "X" (note que não estou garantindo que irá funcionar é somente uma sugestão)

Outra dica que acho que seria viável seria mudar a faixa/classe de IP da interface onde vc pode alterar neste caso ETH0. Não é uma construção exata do comando, mas acredito que possa direcionar neste sentido.

Aguardo.

Buckminster
(usa Debian)

Enviado em 14/11/2013 - 15:33h

Vamos fazer como o esquartejador então... vamos por partes...

1 - Posta aqui todo o conteúdo do arquivo /etc/network/interfaces (copia e cola) do servidor da tua rede interna onde está instalado o Iptables, ou seja, do servidor que recebe o cabo da fibra ótica, ou mais seja ainda, do servidor onde tem as placas eth0 e eth1 mencionadas por você;

2 - O Squid e o Iptables da tua rede interna estão no mesmo servidor?

3 - Quando você desativa a eth0 o servidor continua com internet ou é só a rede interna que fica sem internet?

4 - "Então meus clientes terão 2 proxys. Um no chrome, pra saída para a internet e um outro, no firefox, pra sair para intranet."

Veja bem, se a internet VEM da tua suposta intranet pela MESMA placa de rede, como você quer que em um navegador saia por um caminho e em outro navegador saia por outro caminho se os dois saem pela mesma placa de rede e os dois irão "bater" no proxy daquilo que você chama de intranet?

Você sabe das configurações desse outro proxy?

5 - Mesmo que fosse possível a hipótese acima, ainda assim as configurações de proxy que SAEM para a internet estão a cargo do proxy que está DEPOIS da fibra ótica, e pelo que você falou esse proxy não está sob teu controle.

6 - Acredito que o erro está nas tuas configurações do arquivo interfaces ou no proxy daquilo que você chama de intranet.