PROBLEMA SQUID3 TRANSPARENT !! [RESOLVIDO]

diegobnx
(usa Debian)

Enviado em 04/04/2012 - 08:43h

vamos por partes:

- como esta sua infra ai? por ex.: modem->eth0->eth1->hub/switch?
- o modem não está roteado né?
- você apontou o gateway da placa de rede do windows xp pro linux?
- o apache está instalado?

outra coisa tente alterar essa linha tb:
- http_access deny !Safe_ports

para:
- http_access allow Safe_ports

pode ser paranóia minha mas ta dando deny em all menos nas safe_ports antes de vc dar allow em sua rede local!

abrax t+

alexander.gustav
(usa Debian)

Enviado em 04/04/2012 - 08:58h

Bom Dia Diego espero que você consiga me ajudar com esse proxy que está [*****].

minha infra é o modem roteador da net, ele está na eth0 e a eth1 também está no modem roteador da net,esse modem é o da net virtua ele tem 4 portas LAN e também tem WIRELESS não tem provedor eu acesso a internet direto sem cria conexões.

OBS: ESSE MODEM ROTEADOR É UM SÓ APARELHO COMO FALEI ACIMA

WINDOWS XP
IP 192.168.1.2
MASCARA DE REDE: 255.255.255.0
GATEWAY: 192.168.1.1

ATRIBUIDO POR DHCP.

O Apache não está instalado preciso instalar.

riesdra
(usa Debian)

Enviado em 04/04/2012 - 11:14h

olha na minha opinião ou compraria um hub/switch, ou ligaria a placa eth1 direto ao outro PC, e não neste roteador pois você pega dele e devolve a ele o compartilhamento da conexão.

diegobnx
(usa Debian)

Enviado em 04/04/2012 - 13:34h

Você ta fazendo praticamente um loop na rede heheheh mais da pra testar é só apontar o gateway para o linux como você fez, mas se fizer isso em uma empresa seu servidor não vai servir de nada hehehe... instala o apache e se possivel faz o que o amigo ai falou colocar um cabo da eth1 pra esse pc em algum hub/switch e ou faz um crossover... e tente alterar aquela regra que te falei do Safe_ports...

abrax.

alexander.gustav
(usa Debian)

Enviado em 04/04/2012 - 16:29h

Boa Tarde Diego blz cara...
cara estou muito satisfeito que vcs do VOL estão me ajudando.

Eu tenho 1 HUB/SWITH de 8 portas da ENCORE, eu tenho que ligar o cabo de rede da eth1 na porta do HUB/SWITH correto e o cabo que vem do PC com windows XP ligado na outra porta do HUB/SWITH está certo.
Assim que eu chegar em casa vou fazer isso que você falou mudar a regra do squid.conf
abs...

riesdra
(usa Debian)

Enviado em 04/04/2012 - 16:40h

sim isto mesmo, joga eth1 no hub, e do hub joga no pc com xp.

e coloca o dns manualmente no xp
primário 8.8.8.8
secundário 8.8.4.4

alexander.gustav
(usa Debian)

Enviado em 04/04/2012 - 17:11h

Riesdra blz brother... Eu jogando esse DNS manualmente no windows tenho que configurar o IP também manualmnete correto, o ip que o servidor manda para o cliente xp está atribuido por DHCP, eu também tenho que colocar esse DNS no resolf.conf e no squid.conf ou só no windows msm, ou deixar o DNS como está padrão do provedor NETVIRTUA...

abs...

saitam
(usa Slackware)

Enviado em 04/04/2012 - 17:41h

utiliza o squid.conf proxy transparente do blog http://mundodacomputacaointegral.blogspot.com/2011/11/configurando-servidor-proxy-com-squid.html

Apenas atente na localização dos diretórios

e para DHCP - http://mundodacomputacaointegral.blogspot.com/2011/09/configurando-servidor-dhcp-no-linux.html

Mesmo assim recomendo utilizar proxy autenticado

Para resolver definitivamente a evitar que usuários "burlem" o proxy,troque para proxy autenticado, e inicia as chains INPUT,OUTPUT,FORWARD do iptables tudo DROP, libere apenas as portas 80 e 443 no OUTPUT e não no FORWARD, também claro os serviços necessários ativos na sua rede.

chain OUTPUT libere portas 53,80,443
chain INPUT libere 22 se utiliza o SSH para acessar o firewall remotamente, recomendado usar técnica port knocking para o SSH.
chain FORWARD libere 53(DNS),110(POP3),25(SMTP),143(IMAP),3128(SQUID),
137:138:139:445(SAMBA) e se houver algum outro serviço ativo libere também...
Também a regra que faz todo tráfego de 80 para 3128, ae se algum usuário tentar tirar a configuração do navegador deixa de navegar, forçando assim navegar pelo proxy.
Dica
JAMAIS libere as portas 80 e 443 na chain FORWARD, se quiser que ninguém acesse o Ultrasurf para burlar o proxy.
E outra dica para bloquear o TOR é desabilitar o ip_forward
echo "0" > /proc/sys/net/ipv4/ip_forward

PS: Apenas funciona no proxy autenticado

Depois disso, tente usar o Ultrasurf e/ou TOR na tentativa de "burlar" o proxy =D


Maiores informações: http://mundodacomputacaointegral.blogspot.com/2011/12/configurando-servidor-proxy-autenticado.html

alexander.gustav
(usa Debian)

Enviado em 04/04/2012 - 19:42h

Boa Noite Galera do VOl.
ainda não mconsegui solucionar meu problema...
fiz o que o Diego falou não deu certo.
fiz o q o riesdra falou tbm não deu certo.
ta ligado eth1 na porta 1 HUB/SWITH e o cabo do pc com xp tvm esta ligado ao HUB/SWITH na porta 2 e o pc não navega na internet quando vou navegar ele mostra que o site da web encontrado e fica pensando mais não navega ai vou na conexão de rede e dou reparar ele não repara o que pode ser alguém ai tem um squi.conf configurado e funcionando para eu testar aqui, alguém ai já testou proxy tranparente em net virtua e funcionou.

vou postar aqui minhas regras do firewall e meu DHCP.conf

DHCP.CONF

shared-network eth1



{



# Este e o servidor autoritario, caso haja outro na rede



authoritative;



# Tempo padrao de emprestimo de ip



default-lease-time 28800;



# Tempo maximo para emprestimo de ip



max-lease-time 43200;



# Configuracao do gateway padrao



option routers 192.168.1.1;



# Configuracao do DNS



option domain-name-servers 192.168.1.1,8.8.8.8,8.8.4.4;



option domain-name "alexander.com";



subnet 192.168.1.0 netmask 255.255.255.0



{



# Faixas de ip disponivel



range 192.168.1.1 192.168.1.20;



}



}



REGRAS DO FIREWALL


echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/modprobe iptable_nat
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -s 0/0 -o eth0 -j MASQUERADE





ALGUÉM AI PODE CORRIGIR PARA VER SE ESTÁ CORRETO MINHAS REGRAS DO FIREWALL E MEU DHCP.CONF


ESSAS REGRAS DO FIREWALL ESTÁ SALVO DENTRO DO /etc/init.d/bootmisc.sh

riesdra
(usa Debian)

Enviado em 04/04/2012 - 20:33h

com a utilização do hub, você consegue pingar as maquinas?

tente acessar este endereço no xp 200.221.2.45, se acessar é DNS.

alexander.gustav
(usa Debian)

Enviado em 04/04/2012 - 23:11h

Riesdra estou aqui mais uma vez hehe para vc ou alguém me ajudar com esse bendito proxy chato de configurar...
Valos lá eu pinguei de um pc cliente com xp, com Ip que vc postou acima e a maquina pingou normal...
vc disse que é DNS como posso resolver isso, para meu proxy funcionar e bloquear...
por favorr me da essa ajuda que eu vou agradecer de coração, sou meio leigo no linux mais com a ajuda de vcs do VOL eu tenho quase certeza que o problema esta quase resolvido.


abs...


OBS: NO LINUX PINGUEI O MESMO IP E TBM PINGOU NORMAL...

diegobnx
(usa Debian)

Enviado em 05/04/2012 - 07:50h

@alexander o servidor dhcp nem voga muito pq vc está fixando ip na estação windows...

tire o source ou adicione o source da sua rede por ex.: -s 192.168.1.0/24

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

faz o seguinte tudo indica que seu squid não está rodando pq se você pinga um ip externo(valido) quer dizer que está passando para internet, digite os seguintes comandos e poste a saida pra gente analizar melhor: