Proxy squid transparent com maquina separada

1. Proxy squid transparent com maquina separada

debianx
(usa Debian)

Enviado em 06/04/2010 - 19:57h

Caro Colegas.
Estou com um servidor que configurei ele ta rodando numa boa, se voce direcionar o ip no proxy na configuração de conexão ele pega tranquilo, mas estou tendo uma dificuldade em deixar ele proxy transparente, já fiz regras iptables direcionando o ip do proxy para porta 3128 e nada ate segui esse guia http://www.gdhpress.com.br/servidores/leia/index.php?p=cap2-17
Vou postar a configuração do squid.conf.

http_port 192.168.2.6:3128 transparent
visible_hostname proxy
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 500 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 500 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 6048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

acl bloqueados dstdomain www.cassino.com.br cassino.com.br www.hotmail.com
http_access deny bloqueados

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.2.0/24
http_access allow localhost
http_access allow redelocal

http_access deny all

Alguém pode me ajudar?
Muito Obrigado

0 0

Quote

2. Re: Proxy squid transparent com maquina separada

Diede
(usa Debian)

Enviado em 06/04/2010 - 20:35h

Bem amigo, vamos lá:
No seu outro tópico você disse que o Proxy está numa máquina e o router em outra.
A regra com REDIRECT do artigo que você seguiu é especifia pra quando o redirecionamento de portas é feito para uma porta local (ou seja, na mesma máquina)

Primeiramente: Quem é o Gateway configurado nos clientes?

Você pode configurar o Gateway como o Router, ou como a máquina do Proxy. Se escolher o router como sendo a máquina do proxy, tome apenas o cuidade de criar 3 redes diferentes: Web -> Router -> Proxy, sendo algo como:

Router:
eth1 = IP_WEB
eth0 = 10.0.0.1/8 (Ligado direto ao Proxy, Crossover)

Proxy:
eth0 = 10.0.0.2/8
eth1 = 192.168.2.1/24

Nesse caso, você precisaria de 2 placas de rede na máquina proxy.

Outra opção é:

Certificar de que o IP da máquina que tem o Proxy é mesmo 192.168.2.6, ou modificar a entrada http_port para o ip correto no squid.conf
Ativar o Forwarding na máquina do proxy (echo 1 > /proc/sys/net/ipv4/ip_forward).
Na máquina gateway (ou seja, o roteador), redirecionar (DNAT/SNAT) a porta 80:

iptables -t nat -A PREROUTING -i eth0 -s ! 192.168.2.6 -p tcp --dport 80 -j DNAT --to 192.168.2.6:3128
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -d 192.168.2.6 -j SNAT --to IP_DO_GATEWAY
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.2.6 -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

Considerando que sua rede seja 192.168.2.0 com netmask 255.255.255.0, e que no roteador, a interface ligada a rede interna é eth0.

0 0

Quote

3. Duvida colega

debianx
(usa Debian)

Enviado em 12/04/2010 - 19:17h

Cara fiz essas regras que vc me disse, mas ainda não está transparente, o que vc acha que falta o que ainda?
Valeu

0 0

Quote

4. RESOLVIDO DIEDE

debianx
(usa Debian)

Enviado em 12/04/2010 - 20:40h

CARA muito obrigado por essa regras que vc me passou, deu certo ta pegando rendondinho.
Valeu.....

0 0

Quote

5. UMA DUVIDA SQUID???

debianx
(usa Debian)

Enviado em 19/04/2010 - 20:57h

Colega proxy transparente está funcionando, a única coisa é que no squid.conf eu não consigo bloquear os ip que quero ele só reconhece o ip 192.168.1.1 que é gateway e relátorio ele só mostra o ip 192.168.1.1 como usuário conectado, como posso fazer para mostrar os ip dos usuários.
Por favor só mais essa ajuda preciso colocar esse servidor pra rodar estamos com projeto aqui na empresa.Só mas essa ajudinha.
Valeu

0 0

Quote

6. Re: Proxy squid transparent com maquina separada

Diede
(usa Debian)

Enviado em 20/04/2010 - 19:15h

Ele só reconhece 192.168.1.1 pois você está reescrevendo seus pocotes por Nat (o 192.168.1.1 está atuando como router).
Para mostrar os IP's, só fazendo do modo "normal", onde o proxy é o próprio gateway.
Digo, posso estar errado, mas não sei fazer de outra forma...

0 0

Quote

7. Re: Proxy squid transparent com maquina separada

danilocarvalho
(usa Ubuntu)

Enviado em 21/04/2010 - 11:50h

Cria um arquivo numa pasta qualquer e torna ele executavel.
Depois coloca ele para iniciar junto com o sistema operacional.
Tenta e qualquer dúvida me diz.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

0 0

Quote