Proxy transparente [RESOLVIDO]

1. Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 02/01/2012 - 15:50h

Eu configurei o squid no fedora 15
mais não consigo enteder na parte de deixar ele
transparente me perco no ip tables
podem me ajudar por favor?

desde ja agradeço


  


2. MELHOR RESPOSTA

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 04/01/2012 - 23:33h

script firewall básico (adapte para seu caso)

#!/bin/bash
#Variáveis
ifaceExt="eth0" #acesso internet
ifaceInt="eth1" #acesso intranet(rede interna)
LAN="192.168.1.0/24" #rede local
#carrega módulos
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string
echo "Firewall iniciando..............................[OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z
#política padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Permite pacotes transmitidos através da interface de loopback(localhost)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#políticas chain INPUT
iptables -A INPUT -p tcp -dport 80 -i -j ACCEPT #HTTP
iptables -A INPUT -p tcp -dport 53 -i -j ACCEPT #DNS TCP
iptables -A INPUT -p udp -dport 53 -i -j ACCEPT #DNS UDP
#políticas chain OUTPUT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #HTTP
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT #HTTPS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT#DNS TCP
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #DNS UDP
#políticas chain FORWARD
iptables -A FORWARD -i $ifaceInt -j ACCEPT
iptables -A FORWARD -o $ifaceInt -j ACCEPT

#Compartilha a conexão, disponível na interface eth0:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento da rede ativo......................[OK]";

#Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

#Protege contra ping na máquina
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Proteção contra ataques DoS
iptables -A INPUT -m state -state INVALID -j DROP
iptables -A OUTPUT -p tcp ! -tcp-flags SYN,RST,ACK,SYN -m state -state NEW -j DROP

#Proteção contra IP Spoofing
iptables -A INPUT -s $LAN -i $ifaceExt -j DROP
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo "1" > $i
done

#Bloqueia tudo que não foi especificado acima:
iptables -A INPUT -p tcp -syn -j DROP


3. Re: Proxy transparente [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 02/01/2012 - 21:14h

No squid.conf coloque esta linha:

http_port ip_do_seu_servidor:3128 transparent

Depois, no arquivo de configuração do Iptables coloque esta regra, para jogar todo o tráfego para o squid.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se achar melhor, poste as configurações que tu já fez.


Abraço.


4. Re: Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 03/01/2012 - 13:49h

cara muito obrigado !!!
mais mais ainda não deu certo :(
mais foi pela parte do squid pq o iptables deu certo


5. Re: Proxy transparente [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 03/01/2012 - 13:51h

Tranquilo cara.

Poste as configurações do squid.


6. Re: Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 03/01/2012 - 16:47h

Squid Renato


http_port 3128 intercept
visible_hostname Proxy


cache_mgr [email protected]
error_directory /usr/share/squid/errors/pt-br
hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 100 MB

cache_dir ufs /var/spool/squid 2048 16 256


#Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 360 20% 10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_log /var/log/squid/access.log

acl localhost src 127.0.0.1/32

acl localnet src 192.168.0.0/24



acl manager proto cache_object
http_access allow manager localhost
http_access deny manager

acl purge method PURGE
http_access allow purge localhost
http_access deny purge


acl safe_ports port 21 #FTP
acl safe_ports port 70 #gopher
acl safe_ports port 80 #http
acl safe_ports port 210 #wais
acl safe_ports port 280 #http-mgmt
acl safe_ports port 443 #https
acl safe_ports port 488 #gss-http
acl safe_ports port 563 #nntps
acl safe_ports port 591 #filemaker
acl safe_ports port 631 #cups
acl safe_ports port 777 #multiling http
acl safe_ports port 873 #rsync
acl safe_ports port 901 #swat
acl safe_ports port 1863 #msn
acl safe_ports port 5190 #msn
acl safe_ports port 1025-65535 #unregisteres ports
http_access deny !safe_ports



acl CONNECT method CONNECT
acl SSL_ports port 443 #https
acl SSL_ports port 563 #nntps
acl SSL_ports port 873 #rsync
http_access deny CONNECT !SSL_PORTS

# Acessos da rede

#liberar almoco

acl almoco time 12:00-13:59
http_access allow almoco

#MSN
acl msn url_regex -i /gateway/gateway.dll
acl Negar_msn dstdomain "/etc/squid/msn.txt"
acl Negar_msn2 url_regex "/etc/squid/msn2.txt"
acl nomsn.txt url_regex -i "/etc/squid/nomsn.txt"
acl msn.txt dstdomain "/etc/squid/nomsn.txt"
acl msn1 rep_mime_type -i ^application/x-msn-messenger$
acl msn_port port 1863
acl msn_port2 port 5223
acl serv_msn dst 200.46.110.0/24
acl serv_msn dst 64.4.13.0/24
acl msn_port3 port 1080


http_access deny msn_port3
http_access deny msn_port
http_access deny msn_port2
http_access deny serv_msn
http_access deny msn1
http_access deny Negar_msn
http_access deny Negar_msn2
http_access deny msn
http_access deny nomsn.txt
header_access Accept-Encoding deny msn.txt



#SITES

acl sites dstdomain "/etc/squid/sites"
http_access deny sites

#LIBERAR POR IP

#acl libera src 192.168.0.148
#http_access allow libera

#SITES DO GOVERNO

acl governo.txt dstdomain "/etc/squid/governo.txt"
http_access allow governo.txt

#PALAVRAS

acl palavras url_regex -i "/etc/squid/palavras"
http_access deny palavras

#EXTENÇÔES

acl extencoes urlpath_regex -i "/etc/squid/extencoes"
http_access deny extencoes

#bloqueio da rede interna

http_access allow localnet
http_access allow localhost
http_access deny all



7. Re: Proxy transparente [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 03/01/2012 - 17:10h

O squid está funcionando ?

Essa linha:

Squid Renato

Está comentada ?

Estas outras linhas devem ficar desta forma:

http_port 192.168.0.1:3128 transparent
visible_hostname Proxy

(Modifique o IP para o da sua rede).

Depois execute:

# squid -k reconfigure

E veja se funciona.


8. Re: Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 04/01/2012 - 09:12h

Sim , esta fucionando
e a linha squid renato
ta comentada



9. Re: Proxy transparente [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 04/01/2012 - 09:51h

OK. Fazendo estas alterações que citei, o que acontece ?

Como foi feita a instalação do squid ?

Seu iptables tem essas regras:

iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o (placa_de_rede_WAN) -j MASQUERADE



10. Re: Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 04/01/2012 - 10:52h

agora eu to com duvida
qual dos iptables pq tem varios diretorios
que tem iptables qual é o caminho correto?



11. Re: Proxy transparente [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 04/01/2012 - 11:33h

/etc/sysconfig/iptables (ou firewall)


12. Re: Proxy transparente [RESOLVIDO]

Renato de Morais Rocha
renato_hateen

(usa Fedora)

Enviado em 04/01/2012 - 14:50h

então vou esperar acabar o espediente de trabalho aqui da empresa
e vou fazer essas configurações eu tentei faze algumas mais acabo parando de funcionar o squid



01 02