Proxy transparent e Sarg [RESOLVIDO]

fernando.linux
(usa Ubuntu)

Enviado em 11/02/2011 - 16:57h

Boa tarde galera estou com uma duvida q pode parecer besteira pra muita gente mas estou tendo problema com isso e nao to consseguindo resolver , é assim:
confgurei o squid com proxy transparent e instalei o sarg para gerar relatorios
mas quando eu coloco a regra no iptables para o proxy transparete (iptables - t nat -A PREROUTING -p tcp -s $rede interna --dport 80 -j REDIRECT --to-ports 3128)nao conssigo acessar os relatorios , mas se eu retirar a regra de redirecionar porta 80 para o porta do squido eu conssigo
alguem sabe o q eu to fazendo de errado??
obrigado

renato_pacheco
(usa Debian)

Enviado em 11/02/2011 - 17:08h

Seu squid tá transparente quando vc aplica a regra do iptables?

http_port 3128 transparent

fernando.linux
(usa Ubuntu)

Enviado em 11/02/2011 - 17:09h

sim , está

renato_pacheco
(usa Debian)

Enviado em 11/02/2011 - 17:15h

Tem q v se num tem alguma opção no sarg pra esse tipo d relatório.

fernando.linux
(usa Ubuntu)

Enviado em 11/02/2011 - 17:21h

ja proucurei mas ainda nao achei nada ,mas vou continuar tentando . obrigado

jptudobem
(usa Debian)

Enviado em 11/02/2011 - 17:28h

Jovem, troca essa regra do firewall para: iptables - t nat -A PREROUTING -p tcp -i $IF_LOCAL --dport 80 -j REDIRECT --to-port 3128

Isso não é problema do Sarg, ele apenas analisa o log access.log gerado pelo squid e gera um html. Não interessa se é transparente ou não.

Você tem que liberar a sua rede local do redirecionamento do proxy, você não está conseguindo acessar porque tanto o acesso local quanto acesso a internet feito pela porta 80, estão sendo redirecionados à porta 3128.

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LOCAL -s $REDE_LOCAL -j ACCEPT

fernando.linux
(usa Ubuntu)

Enviado em 11/02/2011 - 17:44h

as minhas regras estao assim




#!/bin/bash
IPT=/sbin/iptables

iniciar () {

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/ip_forward

#liberar ssh
echo "liberar ssh temporariamente"
$IPT -A INPUT -p tcp --dport 5000 -j LOG
$IPT -A INPUT -p tcp -s 192.168.56.1 --dport 5000 -j ACCEPT
$IPT -A INPUT -i -lo -j ACCEPT
$IPT -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p udp -i eth1 --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -p tcp --syn -j DROP

#Passagem
#$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp -i eth1 --dport 80 -j ACCEPT
$IPT -A FORWARD -p tcp -i eth1 --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -i eth1 --dport 53 -j ACCEPT
$IPT -A FORWARD -p tcp -i eth1 --dport 443 -j ACCEPT
$IPT -A FORWARD -p tcp -i eth1 --dport 110 -j ACCEPT
$IPT -A FORWARD -p tcp -i eth1 --dport 25 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Redirecionamento porta 80 para squid
$IPT -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128

#Mascaramento
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

}

fechar () {
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X -t nat
$IPT -X -t mangle
$IPT -X

$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

}

case $1 in
start) iniciar ;;
stop) fechar ;;
restart) fechar ; iniciar ;;
*) echo "use :/etc/init.d/firewall (start|stop|restart)";;
esac

jptudobem
(usa Debian)

Enviado em 11/02/2011 - 18:02h

como imaginei... acrescente as regras que te passei. =)

fernando.linux
(usa Ubuntu)

Enviado em 11/02/2011 - 18:32h

acrescentei as regras q vc passou mas ainda nao consigo acessar os relatorios do sarg pela rede interna .

fernando.linux
(usa Ubuntu)

Enviado em 14/02/2011 - 00:19h

Olá galera , obrigado a todos pela ajuda mas eu conseguir resolver o meu problema. A solução foi o seguinte , no proprio firewall antes da regra de redirecionamento de porta da 80 para a porta do squid, incluir a regra: $IPT - A PREROUTING -p tcp -i $IF_LOCAL -d 172.29.0.1 --dport 80 -j DNAT --to-destination 172.29.0.1:80 . Lembrando q o ip 172.29.0.1 é o proprio firewal com o squid e o sarge
Se eu alguem tiver outra soluçao colocar aí mas essa axhei simples e funcionou muito bem ,
obrigado

diogovh
(usa Ubuntu)

Enviado em 09/11/2014 - 22:42h

==============================================

olá man,
o meu deu este erro

/etc/init.d/firewall: linha 19: -: comando não reconhecido

seque meu script

#!/bin/bash

##############################################
##### Script de Compartilhamento #####
##############################################

iniciar() {
echo "Compartilhando conexão..."
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward


iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


echo "Transferindo pacotes para o proxy SQUID..."

iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "firewall ativo!"

}

parar() {
iptables -F -t nat
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar;iniciar;;
*)echo "Use os parametros START ou STOP"
esac



========================================================


se poder me ajudar eu agradeço!!