Proxy x bate papo da uol

adircastro
(usa Debian)

Enviado em 04/09/2007 - 22:05h

Olá a todos,

Estou com a seguinte situação:

Tenho dois links de internet no mesmo servidor, só que quando cai o link primário e entra o secundário, o proxy deixa de ser transparente, aí só navega se eu for no navegador e indicar o uso do proxy e a porta.

Aí surge outro problema: a sala de bate papo da uol não monta completamente, fica disforme em todas as etapas até chegar onde a gente tecla com os contatos da sala, mas, a sala não fica legal. Onde a gente digita o que vai teclar, na parte inferior da janela, não aparece nada, e nem aparece os nicks na sala. A única coisa que aparece é o diálogo das pessoas, que não estão aparecendo.

DETALHE: o link primário tá na eth2 e o secundário na eth1. Já fiz a inversão, mas continua com o mesmo problema.

Imagino que seja pela configuração do meu iptables:

#!/bin/bash
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (aponta no squid) na interface ethx - rede local
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#
# Compartilhando a internet na interface ethx - rede externa
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Tem como fazer com que as duas interfaces sejam compartilhadas e esse problema do bate papo seja sanado?

Já tentei "gambiarras", mas não deram certo.

Grato a todos

adircastro
(usa Debian)

Enviado em 05/09/2007 - 12:34h

Olá pessoal,

Alguém pode me dar uma ajuda nesse problema?

Qualquer tipo de sugestão eu posso tentar.

Grato.

TSM
(usa Debian)

Enviado em 05/09/2007 - 14:10h

Um pouco complicado o seu problema, mas você já tentou desabilitar uma das interfaces, porque na linha "iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080", você usa interface de entrada eth0, e a porta 8080 é do dansguardian, ou você mudou a porta padrão do squid ?

adircastro
(usa Debian)

Enviado em 05/09/2007 - 17:55h

TSM,

Obrigado por ter lido e comentando minha postagem.

Realmente é complicado. Tenho 3 placas configuradas da seguinte forma: eth0>rede local; eth1>link principal; eth2>link reserva.

Já inseri no iptables as duas interfaces que recebem o link, na tentativa de que quando o serviço fosse trocado, o sistema lesse pela interface que está recebendo sinal, e que o proxy ficasse transparente para as duas interfaces.

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Mudei sim a porta padrão. Só não entendi o que vem a ser a porta 8080 ser do dansguardian.

No iptables está assim:
# Proxy transparente (aponta no squid) na interface ethx - rede local
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

No proxy está assim:
http_port 8080 transparent

Veja bem, os dois links alternam-se durante as quedas, o problema é que quando está no link principal (eth2) o proxy fica transparente. Mas quando está no link reserva (eth1), é preciso informar no navegador o uso do proxy e a porta.

Só que aí a sala de bate papo fica impossível de usar. Fica toda deformada.

Como usar as duas interfaces que recebem link e continuar com o proxy transparente?

adircastro
(usa Debian)

Enviado em 05/09/2007 - 18:05h

TSM,

Veja o início do meu iptables e me diga se falta algo nele:
-----------------
#!/bin/bash
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (aponta no squid) na interface ethx - rede local
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#
# Compartilhando a internet na interface ethx - rede externa
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

E esse é meu squid:
-------------------
server:/etc/squid# cat squid.conf
http_port 8080 transparent
cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 4096 KB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 512 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname srv-cyber
cache_mgr gerenciacyber@ig.com.br
#
# ACLS RECOMENDADAS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # FTP
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#
# ACLS PERSONALIZADAS
# Define a rede interna
acl redelocal src 192.168.100.0/255.255.255.0
#
# DEFINE SITES BLOQUEADOS NA REDE
acl proibidos dstdomain "/etc/squid/proibidos
#
# HTTP_ACCESS RECOMENDADAS
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# LIBERACAO DE DOWNLOADAS ATE 5 MB
#reply_body_max_size 524880 allow all
#
#PERMITE ACESSO DA REDE INTERNA
http_access allow redelocal
#
# NEGA TUDO QUE NAO FOI LIBERADO OU NEGADO
http_access deny all

adircastro
(usa Debian)

Enviado em 05/09/2007 - 18:13h

Veja as configurações de minhas interfaces:
-------------------------------------------
server:/etc/network# cat interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface - rede local
allow-hotplug eth0
iface eth0 inet static
address 192.168.100.100
netmask 255.255.255.0
broadcast 192.168.100.255
network 192.168.100.0
# dns-* options are implemented by the resolvconf package, if installed
#
# Segunda placa - internet
auto eth1
iface eth1 inet static
address 10.10.0.186
netmask 255.255.255.252
broadcast 10.10.0.255
network 10.10.0.184
gateway 10.10.0.185
#
# Terceira placa
auto eth2
iface eth2 inet static
address 172.16.130.218
netmask 255.255.255.252
broadcast 172.16.130.255
network 172.16.130.184
gateway 172.16.130.217

TSM
(usa Debian)

Enviado em 05/09/2007 - 19:13h

É adircastro tá um pouco confuso mesmo, mas você falou que só um dos link funciona com o proxy tranparente, sendo a primária, correto? os ips das máquinas clientes é atribuido via DHCP?
Um dos possiveis problemas pode ser que o link primário esteja sendo o gateway padrão, dai quando ele caí, o proxy deixa de ficar transparente.
Faz um seguinte, coloca o link secundário como gateway nos clientes, e vê se o problema continua.
E depois posta aí.

adircastro
(usa Debian)

Enviado em 05/09/2007 - 19:28h

TSM,

Toda a minha rede usa IP estático. Não tem como definir o link secundário para os clientes. Minha configuração com os dois links acontece assim:

Quando inicio o micro com os dois links, o primário assume. Só que no decorrer do dia o primário costuma cair constantemente, então secundário assume. E veja, o link secundário tá assumindo com cerca de 35 a 40 segundos depois, que é um bom tempo.

Eu fiz assim: no navegador indiquei o uso do proxy para ambas as conexões, e o problema se generalizou, ou seja, até o link principal apresentava problemas na sala de bate papo.

Logo mais a noite vou tirar a característica de transparência do proxy e indicar no navegador o proxy e a porta. Eu estava usando dessa forma, mas fiquei pensando que talvez, pelo fato dele ser transparente, então quando ele está no link secundário, deve causar algum conflito. Se funcionar assim, vou manter. O que não posso é deixar a sala de bate papo "bichada".

Eu agradeço qualquer sugestão sua, na análise desse problema.

Obrigado.

adircastro
(usa Debian)

Enviado em 05/09/2007 - 19:53h

TSM,

Vou fazer a seguinte alteração:
DE...
server:/etc/squid# cat squid.conf
http_port 8080 transparent

PARA...
server:/etc/squid# cat squid.conf
http_port 8080

E aí indico no navegador o uso do proxy, só que agora ele deixando de ser transparente.

Será que tem fundamentação o que estou dizendo?

TSM
(usa Debian)

Enviado em 05/09/2007 - 20:15h

Tem sim, faz isso e depois posta aí se deu certo.

OBS: se você for acessar pela porta do proxy, não esquesa de excluir a regra de redirecionamento do seu firewall, mais uma dica: tenta acessar a internet apenas pelo compartilhamento feito pelo NAT, indicando um dos links como gateway nos clientes.

Faça da seguinte maneira:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Agora faça o compartilhamento com o iptables no servidor:

# iptables -t nat -A POSTROUTING -s 192.168.162.0/24 -o eth1 -j MASQUERADE

e nos clientes faça
# route add default gw ip do servidor

abra o arquivo /etc/resolv.conf e coloque o DNS da sua conexão com a internet.

nameserver ip DNS

depois abra o navegador e veja se está tudo ok.

adircastro
(usa Debian)

Enviado em 05/09/2007 - 21:18h

TSM,

Você sugere que eu comenta as linhas abaixo?
--------------------------------------------
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A POSTROUTING -s 192.168.162.0/24 -o eth1 -j MASQUERADE
# route add default gw ip do servidor
--------------------------------------------
As sugestões acima que você me enviou, eu as coloco aonde? Como faço isso e onde faço? É dentro do iptables que devo adicionar isso?

Logo que o expediente aqui encerrar, vou fazer esse teste. No momento todos os micros estão em uso. Gostei muito da sugestão.

TSM,

Abusando um pouco mais de você, também notei um probleminha agora pouco com meu iptables: ele não carrega com as configurações gravadas. Por exemplo, eu uso essa regra no iptables:
------------------------------------------
iptables -A OUTPUT -d youtube.com -j DROP
iptables -A FORWARD -d youtube.com -j DROP
------------------------------------------
Detalhe: o youtube passa. Só deixa de passar quando eu restarto o iptables.
Como faço para que ele salve e seja carregado toda vez que o sistema for iniciado?

Utilizei com iptables-save </caminho... e meu iptables "bichou".

Grato.

TSM
(usa Debian)

Enviado em 05/09/2007 - 21:52h

Não cara não é pra comentar não, o # quer dizer como root.
Vamos começar do zero:
na sua regra de firewall, coloque os códigos abaixo:

#!/bin/bash
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat

#Abilita o redirecionamento de pacotes no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

#Compartilha a internet
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth1 -j MASQUERADE

Agora nas máquinas clientes, abra um terminal como root, e coloque o seguinte comando:

#route add default gw "ip do servidor que esta compartilhando a internet eth0"

E para deixar a inicialização do seu firewall altomática da uma lida nesse artigo:

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=193&pagina=3