Squid Transparente [RESOLVIDO]

diawd
(usa Ubuntu)

Enviado em 04/12/2009 - 09:56h

Ae galera é o seguinte, eu tenho o squid configurado e está funcionando perfeitamente. Bloqueia exatamente os sites que eu quero e nos horarios que eu quero. O problema acontesse quando eu configuro regras para torna-lo transparente.

Mais ou menos assim, tá tudo funcionando daí eu configuro nat e o redirecionamento para a porta 3128, quando eu faço isso o proxy começa a bloquear tudo, google, uol, ig, etc. Bloqueia tudo. Alguém tem uma idéia do que pode ser?

As regras são exatamente as seguintes:

echo "1"> /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Está certo desta forma? Tá faltandop alguma coisa?

Desde já agradeço a ajuda de vocês.

volcom
(usa Debian)

Enviado em 04/12/2009 - 10:05h

E seu squid.conf?

Tem que ter a seguinte linha para transparente:

http_port 3128 transparent

De preferência no início do arquivo ;)

Abraço

diawd
(usa Ubuntu)

Enviado em 04/12/2009 - 10:10h

Então .... meu squid.conf está com esta linha logo no começo do arquivo. As duas primeiras linhas do meu squid.conf são:

http_port 3128 transparent
visible_hostname "nome"

Será que tá faltando alguma coisa?

pardalz
(usa Debian)

Enviado em 04/12/2009 - 10:13h

posta o squid.conf pra gente dar uma olhada ;)

[]'ão

diawd
(usa Ubuntu)

Enviado em 04/12/2009 - 10:44h

http_port 3128 transparent
visible_hostname nome
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
maximum_object_size_in_memory 4096 KB
maximum_object_size 16 MB
minimum_object_size 0 MB
cache_swap_low 70
cache_swap_high 85
cache_dir ufs /var/spool/squid 32768 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/log/cache.log
request_body_max_size 0 MB
coredump_dir /usr/local/squid/cache
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 10.0.0.0/255.255.255.0

acl SSL_ports port 443 563 10000 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 10000 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Java browser Java/1.4 Java/1.5 Java/1.6
acl purge method PURGE
acl CONNECT method CONNECT


acl palavras dstdom_regex -i "/etc/squid/palavras.squid"
acl dominios dstdomain -i "/etc/squid/dominios.squid"
# acl arquivos url_regex -i "/etc/squid/arquivos.squid"

acl manha time MTWHF 08:00-09:30
acl tarde time MTWHF 12:00-14:00
acl noite time MTWHF 17:30-20:00

http_access allow dominios manha
http_access allow dominios tarde
http_access allow dominios noite

http_access deny dominios
http_access deny palavras
## http_access deny arquivos
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow redelocal

http_access deny all

error_directory /usr/share/squid/errors/Portuguese

Tá aí meu squid.conf;

só para reforçar, tá funcionando normal .... daí eu digito no terminal as regras para nat e redirecionar a porta e começa a bloquear tudo.

gesousa
(usa Ubuntu)

Enviado em 04/12/2009 - 10:50h

o squid segue a ordem das acls ou seja se vc coloca a ultima acl como

http_access deny all

é claro que ele vai bloquear tudo ....

diawd
(usa Ubuntu)

Enviado em 04/12/2009 - 10:56h

Agora fiquei em dúvida .... esse deny all no final bloqueia tudo, certo, mas então ele deve bloquear tudo em qualquer ipotese, e não somente quando eu configuro para ser transparente, ou eu estou enganado?

Porque se eu remover as regras de nat e redirecionamento que deixam o proxy transparente, eu configuro o proxy no navegador e funciona normal, bloquando apenas os sites da blacklist como o orkut por exemplo. Os outros sites funcionam normal.
Na hora em que eu crio a nat e o redirecionamento, eu retiro a configuração do proxy do navegador e começa a bloquear tudo.

o meu raciocinio está certo?

Mais uma vez agradeço a ajuda de vocês !!!! :)

pardalz
(usa Debian)

Enviado em 04/12/2009 - 12:26h

$ipt -A POSTROUTING -t nat -o $ETH_EXTERNA -s $LAN_INTERNA -j MASQUERADE
$ipt -A INPUT -p tcp --destination-port 80 -j ACCEPT
$ipt -t nat -A PREROUTING -i $IF_INTERNA -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

diawd
(usa Ubuntu)

Enviado em 04/12/2009 - 13:46h

Consegui resolver o problema ..... era a rede que estava definida no squid que não era a mesma que eu esara usando para teste. Resumindo foi falta de atenção por minha parte.

Mas muito obrigado pela atenção de vocês