Transparente [RESOLVIDO]

vfsmount
(usa Slackware)

Enviado em 15/01/2009 - 09:55h

Opa mano... ta facil de resolver esse seu problema...

remova ou comente a linha do mascaramento.... isso esta permitindo que suas estacoes naveguem sem precisar passar pelo proxy... e como ela esta sendo lida primeiro que a regra iptables de direcionamento de porta, entao fica tudo liberado....

vamos dar uma aumentada na flexibilidade desse seu script...

se voce quiser que apenas UM terminal de sua rede navegue sem passar pelo proxy:

iptables -t nat -A POSTROUTING -s 192.168.0.44/32 -o eth1 -j MASQUERADE

e o restante vai passar pelo proxy seguindo sua regra:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


isso resolve cara...

valew

ventrue.w
(usa Debian)

Enviado em 15/01/2009 - 10:00h

Mude a sequencia do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Coloque essa linha em primeiro lugar...

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 10:02h

sem a regra de mascaramento como que uma rede interna vai navegar sem ip válido? logo precisa sim da regra de MASQUERADE.

ventrue.w
(usa Debian)

Enviado em 15/01/2009 - 10:05h

Sim ele necessita da regra, mas se o firewall fizer o encaminhamento primeiro, ele pode tratar depois... Depois de tratado, nao adiata encaminhar... Se vc matou o bicho nao adianta dar odem pra ele,,,,

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 10:07h

voce pode tentar dar flush e testar

ou

fazer o que o ventrue falou logo após as políticas coloca a regra de redirecionamento, claro se os usuários tiverem que acessar sites de bancos etc etc, precisa jogar antes da regra de redirecionamento regras de RETURN pra passar fora do proxy.


valeu e abraço.

emerson2703
(usa CentOS)

Enviado em 15/01/2009 - 11:43h

Tentei desta maneira mas não funciona, de varias maneiras so funciona se colocar o ip do servidor e a porta.


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE



DEsta maneira tambem não funciona

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

desta meneira


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Verdinho
(usa Debian)

Enviado em 15/01/2009 - 12:32h

no caso do script dele ele não pode especificar a (eth0) mais acho que a segunda opção esta mais adequada

richardandrade
(usa Debian)

Enviado em 15/01/2009 - 13:28h

poder até pode, só precisa ser a interface de entrada, da rede local seja a eth0 senão da problema.

isaque_alves
(usa Fedora)

Enviado em 15/01/2009 - 14:08h

cara, desculpa ter presumido uma porção de coisas...
Antes de tentar sugerir uma solução informa pra gente exatamente:
Você está usando duas interfaces de rede? Qual a de 'entrada' (rede local) e qual a de 'saída' (conexão com a internet)?
Você pretende usar o squid como 'proxy transparente', é óbvio, então, a máquina que contém o squid deve aceitar requisições na porta 80 e transferi-las para a 3128, gerenciada pelo proxy-cache. Para isso, identifica qual a interface de entrada, abre a porta 80 para INPUT na interface de rede local... faz o REDIRECT da 80 para a 3128, usa o MASQUERADE normalmente que funciona.

Mas antes de tudo isso, é interessante limpar as regras do firewall:
iptables -X
iptables -X -t nat

O meu caso é o seguinte:
Tenho um squid funcionando: Duas placas de rede (eth0 conexão local e eth1 conexão com a internet).
as regras:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

emerson2703
(usa CentOS)

Enviado em 15/01/2009 - 20:05h

utilizo a seguinte configuração da rede, quando coloco o ip do firewall e a porta (192.168.0.200 3128 ), no navegador a internet funciona, quando retiro para de funcionar o proxy transparente.

eth0: rede local
(Firewall)
ip: 192.168.0.200
mask: 255.255.255.0
gateway: 192.168.0.200

eth1: Internet

ip: 125.254.23.105
mak:255.255.255.252
gateway: 125.254.23.101


Meu squid

http_port 3128 transparent
visible_hostname Firewall-Lauro


acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1
acl ip_liberado src "/etc/squid/ip_liberado.txt"
acl ip_restrito src "/etc/squid/ip_restrito.txt"
acl sites_liberados url_regex i "/etc/squid/sites_liberados.txt"


http_access allow ip_liberado
http_access allow sites_liberados
http_access deny ip_restrito
http_access deny all

isaque_alves
(usa Fedora)

Enviado em 15/01/2009 - 20:51h

pois...
O problema é justamente o firewall.

Você deixando transparente, o proxy vai continuar escutando a porta 3128, mas agora, o firewal vai faer o redirecionamento. Usa as regras que passei logo acima. Se não funcionar, veja nos logs (/var/log/syslog e /var/log/daemon) as mensagens q foram registradas e nos informa aqui.
Outra coisa, essa máquina, você está executando modo gráfico?

emerson2703
(usa CentOS)

Enviado em 17/01/2009 - 15:29h

Man,zerei o iptables e adcionei as linhas conforme solicitou mas ainda não funcionou. o centos foi instalado em modo texto,mas executo o comando startx no shell para mudar em modo grafico.


não achei os arquivo /var/log/daemon e nem o sys