Proxy transparente em maquina diferente do Firewal

colzani
(usa Slackware)

Enviado em 27/07/2010 - 09:49h

Bom dia,

Tenho o seguinte cenário:
Firewall/Gateway (10.0.0.254)
Proxy Squid (10.0.0.1)

Estou usando o squid transparente.
Para redirecionar o trafedo até ele usei a seguinte regras no iptables:

/sbin/iptables -t nat -A PREROUTING -s 10.0.0.0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.1:3128
/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 3128 -j MASQUERADE

O grande problema é que as requisições chegam ao squid com o endereço do Firewal (10.0.0.254), dessa forma todas as regras que tenho no squid são "puladas", pois elas são filtradas por SRC.
Tenho regras de horarios e limite de banda por IP.

Como posso fazer o iptables encaminhar as requisições ao Squid mantendo o IP de origem?

removido
(usa Nenhuma)

Enviado em 27/07/2010 - 10:07h

Isso é por causa dessa segunda regra de MASQUERADE, remova.

colzani
(usa Slackware)

Enviado em 27/07/2010 - 10:09h

Se eu remover ela as requisições nem chegam ao squid.
Acredito que eu deva substituir ela por alguma outra que não conheço.

removido
(usa Nenhuma)

Enviado em 27/07/2010 - 10:31h

se regra de MASQUERADE for só essa que estiver no seu firewall, altera para:

/sbin/iptables -t nat -A POSTROUTING -o <interface_externa> -j MASQUERADE

colzani
(usa Slackware)

Enviado em 27/07/2010 - 10:32h

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE

Tenho essa que vem antes das regras do proxy.

irado
(usa XUbuntu)

Enviado em 27/07/2010 - 10:34h

convém ler a documentação específica para seu caso:

http://tldp.org/HOWTO/TransparentProxy-6.html

são explicitadas as regras (iptables) apropriadas.

colzani
(usa Slackware)

Enviado em 27/07/2010 - 16:36h

Utilizei o "First method" e continua chegando tudo com o IP do firewall no Squid.