Transparente [RESOLVIDO]

13. Re: Transparente [RESOLVIDO]

vfsmount
(usa Slackware)

Enviado em 15/01/2009 - 09:55h

Opa mano... ta facil de resolver esse seu problema...

remova ou comente a linha do mascaramento.... isso esta permitindo que suas estacoes naveguem sem precisar passar pelo proxy... e como ela esta sendo lida primeiro que a regra iptables de direcionamento de porta, entao fica tudo liberado....

vamos dar uma aumentada na flexibilidade desse seu script...

se voce quiser que apenas UM terminal de sua rede navegue sem passar pelo proxy:

iptables -t nat -A POSTROUTING -s 192.168.0.44/32 -o eth1 -j MASQUERADE

e o restante vai passar pelo proxy seguindo sua regra:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

isso resolve cara...

valew

0 0

Quote

14. ..

ventrue.w
(usa Debian)

Enviado em 15/01/2009 - 10:00h

Mude a sequencia do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Coloque essa linha em primeiro lugar...

0 0

Quote

15. Re: Transparente [RESOLVIDO]

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 10:02h

sem a regra de mascaramento como que uma rede interna vai navegar sem ip válido? logo precisa sim da regra de MASQUERADE.

0 0

Quote

16. ...

ventrue.w
(usa Debian)

Enviado em 15/01/2009 - 10:05h

Sim ele necessita da regra, mas se o firewall fizer o encaminhamento primeiro, ele pode tratar depois... Depois de tratado, nao adiata encaminhar... Se vc matou o bicho nao adianta dar odem pra ele,,,,

0 0

Quote

17. Re: Transparente [RESOLVIDO]

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 10:07h

voce pode tentar dar flush e testar

ou

fazer o que o ventrue falou logo após as políticas coloca a regra de redirecionamento, claro se os usuários tiverem que acessar sites de bancos etc etc, precisa jogar antes da regra de redirecionamento regras de RETURN pra passar fora do proxy.

valeu e abraço.

0 0

Quote

18. Não funciona

emerson2703
(usa CentOS)

Enviado em 15/01/2009 - 11:43h

Tentei desta maneira mas não funciona, de varias maneiras so funciona se colocar o ip do servidor e a porta.

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

DEsta maneira tambem não funciona

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

desta meneira

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

0 0

Quote

19. Re: Transparente [RESOLVIDO]

Verdinho
(usa Debian)

Enviado em 15/01/2009 - 12:32h

no caso do script dele ele não pode especificar a (eth0) mais acho que a segunda opção esta mais adequada

0 0

Quote

20. Re: Transparente [RESOLVIDO]

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 13:28h

poder até pode, só precisa ser a interface de entrada, da rede local seja a eth0 senão da problema.

0 0

Quote

21. Re: Transparente [RESOLVIDO]

isaque_alves
(usa Fedora)

Enviado em 15/01/2009 - 14:08h

cara, desculpa ter presumido uma porção de coisas...
Antes de tentar sugerir uma solução informa pra gente exatamente:
Você está usando duas interfaces de rede? Qual a de 'entrada' (rede local) e qual a de 'saída' (conexão com a internet)?
Você pretende usar o squid como 'proxy transparente', é óbvio, então, a máquina que contém o squid deve aceitar requisições na porta 80 e transferi-las para a 3128, gerenciada pelo proxy-cache. Para isso, identifica qual a interface de entrada, abre a porta 80 para INPUT na interface de rede local... faz o REDIRECT da 80 para a 3128, usa o MASQUERADE normalmente que funciona.

Mas antes de tudo isso, é interessante limpar as regras do firewall:
iptables -X
iptables -X -t nat

O meu caso é o seguinte:
Tenho um squid funcionando: Duas placas de rede (eth0 conexão local e eth1 conexão com a internet).
as regras:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

0 0

Quote

22. Isaque

emerson2703
(usa CentOS)

Enviado em 15/01/2009 - 20:05h

utilizo a seguinte configuração da rede, quando coloco o ip do firewall e a porta (192.168.0.200 3128 ), no navegador a internet funciona, quando retiro para de funcionar o proxy transparente.

eth0: rede local
(Firewall)
ip: 192.168.0.200
mask: 255.255.255.0
gateway: 192.168.0.200

eth1: Internet

ip: 125.254.23.105
mak:255.255.255.252
gateway: 125.254.23.101

Meu squid

http_port 3128 transparent
visible_hostname Firewall-Lauro

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1
acl ip_liberado src "/etc/squid/ip_liberado.txt"
acl ip_restrito src "/etc/squid/ip_restrito.txt"
acl sites_liberados url_regex i "/etc/squid/sites_liberados.txt"

http_access allow ip_liberado
http_access allow sites_liberados
http_access deny ip_restrito
http_access deny all

0 0

Quote

23. Re: Transparente [RESOLVIDO]

isaque_alves
(usa Fedora)

Enviado em 15/01/2009 - 20:51h

pois...
O problema é justamente o firewall.

Você deixando transparente, o proxy vai continuar escutando a porta 3128, mas agora, o firewal vai faer o redirecionamento. Usa as regras que passei logo acima. Se não funcionar, veja nos logs (/var/log/syslog e /var/log/daemon) as mensagens q foram registradas e nos informa aqui.
Outra coisa, essa máquina, você está executando modo gráfico?

0 0

Quote

24. Iptables

emerson2703
(usa CentOS)

Enviado em 17/01/2009 - 15:29h

Man,zerei o iptables e adcionei as linhas conforme solicitou mas ainda não funcionou. o centos foi instalado em modo texto,mas executo o comando startx no shell para mudar em modo grafico.

não achei os arquivo /var/log/daemon e nem o sys

0 0

Quote