Redirecionar URLs para outra interface fora do SQUID [RESOLVIDO]

leandrobmorais
(usa CentOS)

Enviado em 08/05/2019 - 18:44h

Olá pessoal, boa tarde

Preciso redirecionar o acesso ao sistema interno de um cliente sem passar pelo squid e gostaria de solicitar ajuda.

Vamos ao cenário:
Possuo um servidor CentOS 6 com DHCP, Squid e Shorewall configurados e funcionando, com as seguintes interfaces:
eth0 = link Internet com IP Fixo
eth1 = 192.168.0.254 (Rede Interna 192.168.0.0/24)
eth2 = 192.168.30.1 (Lan to Lan com cliente - 192.168.30.0/24)

Firewall cliente = 192.168.30.2

Preciso acessar o sistema web do meu cliente através da interface eth2. Por motivo de segurança e necessidade foi criada uma DMZ 10.1.0.0/23 para comunicação entre as redes e adicionei a rota no meu servidor

route add -net 10.1.0.0/23 gw 192.168.30.2

Até aqui tudo tranquilo, consigo comunicar com os IPs da vlan 10.1.0.0 e realizar ping normalmente. Porém, o sistema do meu cliente possui vários módulos e não funciona através de IP, somente host, mas o domínio principal (site) do cliente só responde pelo IP publico na internet.

Para resolver essa situação, criei uma zona no meu servidor DNS do Servidor Windows com Active Directory da seguinte maneira:
cliente.com.br = IP_Externo
modulo1.cliente.com.br = 10.1.0.10
modulo2.cliente.com.br = 10.1.0.11
modulo3.cliente.com.br = 10.1.0.12

Pronto, agora consigo pingar cada host corretamente, tudo sendo resolvido pelo DNS e funcionando. Mais ou Menos!

Agora que vem meu problema. No meu firewall (Shorewall + Squid) não permito navegação sem Proxy.
Dessa maneira, quando o proxy está desativado eu consigo acessar normalmente o sistema do meu cliente através dos hosts (modulox.cliente.com.br) porque direciona para a rota correta e o sistema carrega normalmente, mas não consigo acessar o site cliente.com.br porque sem proxy não navego nainternet.
Por outro lado quando ativo o Proxy, consigo acessar o site cliente.com.br, mas não consigo acessar o sistema através dos hosts (modulox.cliente.com.br), porque o squid não consegue resolver o endereço e retorna: Name Error: The name does not exist.

Então, pelo que entendo, precisaria redirecionar os acessos aos hosts modulox.cliente.com.br porta 80 para a interface eth2 (Lan com cliente), antes de mandar todo o tráfego para a porta 3128 do Squid.

Já realizei diversas tentativas pelo shorewall, mas não consigo resolver o problema. Alguém saberia ajudar como posso resolver isso?

Obrigado

matroot
(usa Debian)

Enviado em 08/05/2019 - 19:43h

Você já tentou adicionar no /etc/hosts do proxy o apontamento para os subdominios?

Exemplo:

modulo1.cliente.com.br 10.1.0.10
modulo2.cliente.com.br 10.1.0.11
modulo3.cliente.com.br 10.1.0.12

O Squid está consultando DNS externos como da operadora ou Google e etc. Você usa o dnsmasq/unbound no Squid? Se usar dá para redirecionar através de configuração sem alterar o /etc/hosts.

Sò confirmando o Squid é o mesmo ip do firewall? 192.168.30.2 ? Se for não precisa redirecionar, somente apontar o ip dos módulos.

leandrobmorais
(usa CentOS)

Enviado em 09/05/2019 - 11:53h

Obrigado "Matroot",

Não havia pensado em adicionar os endereços no /etc/hosts do servidor, pois realmente ele estava tentando resolver no DNS externo. Havia feito esse teste inicialmente nas estações antes de criar a zona no meu DNS e funcionou a resolução, desde que sem o proxy, mas no servidor não havia pensado... Agora Inseri os endereços e funcionou na hora.

Muito obrigado pela ajuda!