proxy transparente - nao percebo porque?!

no_identity99
(usa Fedora)

Enviado em 25/03/2009 - 09:22h

boas,
squid bloqueia mas nao redireciona.

##############squid.conf################
http_port 3128 transparent
visible_hostname escola.local

# Configuracoes de cache, dono, logs, errors

cache_effective_user squid
cache_effective_group squid
cache_mem 128 MB
cache_dir ufs /etc/squid/cache 10000 32 256
cache_access_log /etc/squid/logs/access.log
cache_log /etc/squid/logs/cache.log
cache_store_log /etc/squid/logs/store.log
error_directory /usr/share/squid/errors/Portuguese


#Actualização do cache
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
auth_param basic children 5
auth_param basic realm Terminais-Leves-Linux Proxy
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive on
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

# IP's da rede local com tudo liberado
acl ip_diretoria src "/etc/squid/ip_diretoria"
http_access allow ip_diretoria
# IP's da rede local bloqueados

acl ip_bloqueado src "/etc/squid/ip_bloqueado"
http_access allow ip_bloqueado



# Site bloqueado por domínio

acl dominio_bloqueado dstdomain "/etc/squid/dominio_bloqueado"
http_access deny dominio_bloqueado



# Regras de bloqueio de site por palavras

acl palavra url_regex -i "/etc/squid/palavras_negadas"
acl palavras_permitidas url_regex -i "/etc/squid/palavras_permitidas"

http_access deny palavra !palavras_permitidas
acl REDE_INTERNA src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/255.255.255.255
acl Safe_ports port 10000 # webmin
acl Safe_ports port 631 # cups
acl Safe_ports port 901 # samba
acl SSL_ports port 443 563 1834 1863 4242 # SSL
acl Safe_ports port 80 8080 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow REDE_INTERNA
http_access allow manager localhost
http_access allow manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access allow all !REDE_INTERNA
icp_access allow all !REDE_INTERNA
http_access allow all


##############iptables -L##############
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


###############iptables -t nat -L##########
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


alguem que me diga o que estou a fazer de errado, que ja nao sei o que fazer!!

p.s eth0 -rede local
eth1 -rede exterior

maninhx
(usa Slackware)

Enviado em 25/03/2009 - 09:49h

como assim nao direciona? nao entendi.

volcom
(usa Debian)

Enviado em 25/03/2009 - 09:49h

Amigo,

Acabei de resolver um pepino no Squid/Iptables hehehe

Coloque as seguintes regras no seu Iptables:

########## Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

########## Redireciona os pacotes para porta 80 para a 3128
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -i eth1 -d 0/0 --dport 80 -j REDIRECT --to-port 3128

Essa segunda regra deve ser feita para todas as portas que for utilizar, por 443 https, etc. Substitua 192.168.1.0/24 pela sua rede e eth1 pela sua placa de rede INTERNA.

Espero que ajude!

Abraço

pelo
(usa Debian)

Enviado em 25/03/2009 - 17:16h

Não esqueça do mascaramento também

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

no_identity99
(usa Fedora)

Enviado em 26/03/2009 - 12:04h

nao fuciona na mesma..

impressionante!

guaiapo
(usa Ubuntu)

Enviado em 26/03/2009 - 19:29h

## Arquivo de Configuracao do Squid###############

##### CACHE#######
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_mem 32 Mb
cache_swap_log /var/spool/squid/swap.log
cache_dir ufs /var/spool/squid 1024 16 256
#cache_effective_user proxy
#cache_effective_group proxy

########### TAGs SIMPLES###########################
#Porta de acesso a Internet
http_port 3128 transparent

#Nome do servidor
visible_hostname ubuntu
error_directory /usr/share/squid/errors/Portuguese/

##########rTAGS OBRIGATORIAS#######################
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 192.168.1.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 587 # smtp yahoo
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 10000 # Webmin
acl Safe_ports port 22 # SSH
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access allow SSL_ports
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#############SITES LIBERADOS#######################
acl listabranca url_regex -i "/etc/squid/listabranca"


########### SITES BLOQUEADOS########################
acl listanegra url_regex -i "/etc/squid/listanegra"


#########ZONA DE CONTROLE DE USUARIOS###################
acl ip_previlegiado src "/etc/squid/ip_previlegiado"
acl site_exclusivos url_regex -i "/etc/squid/site_exclusivos"

#############---Permissao Total ---############
acl total src "/etc/squid/total"

################## REGRAS ##############################
http_access allow listabranca
http_access allow total
#http_access allow LIBERAMSN
http_access deny listanegra
#http_access deny SRCMSN
http_access allow ip_previlegiado
http_access allow site_exclusivos

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access deny all
rquivo de Configuracao do Squid###############

##### CACHE#######
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_mem 32 Mb
cache_swap_log /var/spool/squid/swap.log
cache_dir ufs /var/spool/squid 1024 16 256
#cache_effective_user proxy

########### TAGs SIMPLES###########################
#Porta de acesso a Internet
http_port 3128 transparent

#Nome do servidor
visible_hostname ubuntu
error_directory /usr/share/squid/errors/Portuguese/

##########rTAGS OBRIGATORIAS#######################
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 192.168.1.0/24


o meu redireciona mais nao consigo colocar minhas estações com proxy transparente

meu iptables

#!/bin/sh
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j \
REDIRECT --to-port 3128


iptables -A INPUT -m state --state IVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP


minha eth0 e a que recebe a internet
eth1 e que distribui a minha rede local

guaiapo
(usa Ubuntu)

Enviado em 27/03/2009 - 12:56h

esta com erro no meu dhcpd, aqui esta ele

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
option wpad-url code 252 = text;

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.1 192.168.1.100;
option routers 192.168.1.11; <=erro aqui esta colocando o ip do meu modem e o ip do meu servidor
option domain-name-servers 201.10.128.2,201.10.120.3;
option broadcast-address 192.168.1.255;
option wpad-url "http://192.168.1.11/wpad.dat\n";
}

resolvido o meu . . .

Verdinho
(usa Debian)

Enviado em 27/03/2009 - 13:04h

Seu squid.conf esta certo, mais vc tem que saber que o proxy transparente so funciona se seu servidor for NAT, caso nao seja nao vai funcionar.

http_port 3128 transparent

Seu firewall

Quando eu tive estre problema eu tentei varios comando, que me forneciam em foruns eram ate bem parecidos, como nao entendia direito ia aplicando, mais nenhum dava certo ate que encontrei um que funcionou esta ai abaixo!!!

# Proxy transparente
# -------------------------------------------------------
$iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando que este comando deve esta depois de todas as regras do sei firewall,

guaiapo
(usa Ubuntu)

Enviado em 27/03/2009 - 18:26h

Verdinho, boa tarde
vc esta fazendo bloqueio de msn . . .
pois gostaria de uma orientação

Verdinho
(usa Debian)

Enviado em 27/03/2009 - 19:04h

No que eu posso te ajudar mano!!?

vou deixar um link se for uma caso de bloquear o msn!! blz? segue abaixo!!

http://www.vivaolinux.com.br/topico/Squid-Iptables/Problemas-ao-Bloquear-Live-Messeger

tsr
(usa Debian)

Enviado em 27/03/2009 - 22:49h

Ei mano,

Uma vez também tentei fazer um proxy transparente, mas desisti da idéia, pois pra funcionar meu proxy teria que ser o gateway da rede ou o gateway da rede teria que redirecionar todas as conexões web para o proxy, o que no meu caso não seria bom.
Dê uma olhada nesse detalhe.
Espero ter te ajudado.
Boa sorte!

Verdinho
(usa Debian)

Enviado em 28/03/2009 - 09:12h

no meu caso, funciona assim: tenho um servidor 2003 Server R2 que faz os seguintes papeis, AD, DHCP, DNS / Meu servidor Linux e Debian, que faz os seguintes papeis, Proxy "Squid" e Firewall "Iptable" / E um servidor de email que e feito em Debian. No meu caso quem distribui o meu Gateway da minha rede e o servidor windows 2003, o linux so distribui a internet e da a seguranca.