slackware 13.1 + squid + iptables (firewall) [RESOLVIDO]

thiago_dias
(usa CentOS)

Enviado em 30/11/2011 - 12:09h

Existe um erro na penúltima linha do squid, você esqueceu de colocar o allow na regra http_access, olha como você colocou:

http_access localhost localnet

Deixa ela assim:
http_access allow localnet
http_access allow localhost

Faça as modificações e restarte o squid.

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 14:53h

mudei essa configuração e para testar dei um stop no squid e notei que tanto o servidor quanto o cliente continuavam a navergar, então acho que faltam mais algumas regras no firewall para direcionar o tráfego para o proxy.

thiago_dias
(usa CentOS)

Enviado em 30/11/2011 - 15:02h

A regra que redireciona para o proxy eu já te passei acima, então no seu firewall já deve ter essa regra. Verifica se o gateway dos clientes é realmente o seu servidor. Verifique se as regras do seu firewall estão ativas. Dê o comando iptables -t nat -nL e verifique se existe a regra que redireciona tudo da porta 80 para a porta 3128. É uma saida parecida com essa:


Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

saitam
(usa Slackware)

Enviado em 30/11/2011 - 15:04h

se for proxy transparente apenas a regra que redireciona o tráfego da porta 80 para 3128(squid) e regra que faz compartilhamento da conexão fazem NAT.


Para compartilhar a internet adicione no script de firewall a regra abaixo:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

 

Para poder fazer proxy transparente adicione essa regra no seu script de firewall

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

PS: eth0=internet e eth1=intranet(rede) caso no seu seja ao contrário então altere.

Com essas regras já é possível fazer o compartilhamento e a estação usar o proxy squid.

Também deve configurar o ip+masc+dns apontando o gw (ip do servidor que esta o proxy squid e firewall).

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 15:25h

ao inserir o comando q o thiago_dias passou, notei que ele não estava redirecionando então tentei iniciar o script rc.firewall manualmente e notei que dava um erro então corrigi o erro e agora o trafego está finalmente passando pelo squid. tenho outras perguntas:

essas regras do meu rc.firewall são suficientes? seria necessário inserir outras regras para tornar a navegação mais segura?

thiago_dias
(usa CentOS)

Enviado em 30/11/2011 - 15:47h

Marvinoliveiras, um script de firewall sempre tem o que melhorar, ajustar nessas questões de segurança. De inicio para você começar esta bom, mais continue melhorando ele, faça um estudo de tudo que é utilizado na sua rede, e crie as regras baseado nos serviços utilizados na sua empresa. Continue estudando o iptables e com o tempo você vai ajustando do seu jeito. Qualquer dúvida é só falar.
Abraços

marvinoliveiras
(usa Slackware)

Enviado em 30/11/2011 - 16:04h

vou pesquisar mais sobre o iptables. Essa configuração transparente do squid funciona com sites de banco? pq tenho lido alguns artigos que dizem que não funciona

quanto ao servidor dhcp, quando tento iniciar o rc.dhcpd ele apresenta esse erro:
Can't open lease database /var/state/dhcp/dhcpd.leases: No such file or directory --

e de fato esse arquivo não existe, o pode ter acontecido?

saitam
(usa Slackware)

Enviado em 30/11/2011 - 20:03h

a desvantagem em usar proxy transparente é que não funciona conexões https (SSL), só se compilar o source do squid (habilitando opção ssl ex: ./configure --enable-ssl); make; make install).

Para os clientes poder acessar sites SSL (https) no proxy transparente, é necessário incluir a regra no firewall abaixo.

iptables -t nat -A POSTROUTING -o eth0-p tcp --dport 443 -j MASQUERADE

 

note eth0 é interface de internet e eth1 interface da rede local.

marvinoliveiras
(usa Slackware)

Enviado em 01/12/2011 - 08:26h

mas eu teria que reinstalar o squid? se sim, eu perderia alguma configuração que já fiz?

thiago_dias
(usa CentOS)

Enviado em 01/12/2011 - 13:29h

Você pode salvar o arquivo de configuração do squid, assim você não eprde o que você configurou. Mais você realmente precisa do proxy transparente? Utilizando proxy sem transparência você tem muitas opções adicionais.

marvinoliveiras
(usa Slackware)

Enviado em 02/12/2011 - 10:45h

estou aprendendo a usar o linux e suas ferramentas, meu objetivo final é fazer Squid -proxy transparente+autentificacao+SSL, já encontrei até um artigo sobre o assunto. A minha opção pelo transparente é devido a configuração manual nas estações tomar mais tempo. Quais são essas opções adcionais?

thiago_dias
(usa CentOS)

Enviado em 02/12/2011 - 14:48h

Com proxy transparente você não tem autênticação com isso você não consegue fazer o controle por usuário e sim por ip, o que prende o usuário em uma máquina, não sendo assim o recomendado. Faz ele normal depois configura a configuração automática do proxy usando ooutra ferramenta pra isso.não