Proxy transparente

Phrix · 18-10-2004, 10:39

Olá pessoal

Implementei aqui o squid - proxy tranparente então todas as máquinas estão passando pelo squid com a regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Porém tem algumas máquinas que não poderiam passar pelo squi como ficaria a regra para controlar excessões por IP ???
Agradeço ajuda.

guardian_metal · 18-10-2004, 11:04

#Para ip_do_cara por fora do proxy
iptables -t nat -A POSTROUTING -s ip_do_cara -j MASQUERADE

Phrix · 18-10-2004, 15:29

Pois é eu já estava tentando com esta regra porém a máquina continua sendo barrada pelo squid quando esta entrando em página proibida eu estou precisando liberar porque semana passada eu inclui a regra de firewall para redirecionar a porta e desde então uma máquina do RH que acessa o conectividade social não consegue entrar !!!!

Tem algum lugar certo para eu por esta regra no firewall ????

xstefanox · 18-10-2004, 16:06

Dependendo do que você quer fazer, você pode continuar aplicando a regra para os usuários, mas para determinados hosts, você poderá liberar o que foi bloqueado. Exemplo: Você possui uma lista negra, mas deseja que o computador X e Y acessem esses sites, eis como você deve fazer:

Código:

acl hosts_liberados src 192.168.1.22 192.168.1.23
acl listanegada url_regex -i "/etc/squid/lists/blocked"
http_access allow listanegada hosts_liberados
http_access deny listanegada

Vai resolver.

Abraços!

18-10-2004, 16:36

Voce esta vacilando no seguinte, a regra que disseram aqui:

Código:

iptables -t nat -A PREROUTING -s ip_da_maquina -j MASQUERADE

deve vir antes da regra do Squid:

Código:

iptables -t nat -A PREROUTING -s ip_da_rede/16 -j REDIRECT --to 3128

vale lembrar que a ordem das regras define seu firewall, vizualize a ordem...

felco

Phrix · 18-10-2004, 16:58

Coloquei estas regras agora aqui porém o computador continua não conseguindo acessar o serviço da caixa !
Eu preciso desviar ele para nem passar pelo squid ficar direto como estava antes de eu incluir a regra abaixo:

$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Valeu pela ajuda até agora.
Se alguem tiver uma idéia agradeço.

18-10-2004, 17:06

com certeza voce esta coloca na ordem errada

Phrix · 19-10-2004, 17:04

Pior que não é isto eu bem que gostaria que eu estivesse errando só nisso mas copiei e colei abaixo para mostrar como esta meu firewall:

#Redirecionando todo trafego para o squid (proxy transparente)
$IPTABLES -A FORWARD -s 128.0.0.38 -p tcp -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

128.0.0.38 é o IP da máquina que precisa acessar o serviço da caixa !
e nada o que eu fiz deixei em comentario o redirecionamento aí funcionou o serviço apesar de antes eu precisei reiniciar pois me parece que mesmo eu dando um /sbins/itables -F ele não perdeu esta regra !

Agradeço mais alguma ajuda !

Phrix · 20-10-2004, 09:37

Olá Pessoal

Consegui resolver o problema usando as regras abaixo sem o redirecionamento automático de porta:

#Redirecionando todo trafego para o squid (proxy transparente)
$IPTABLES -A FORWARD -s 128.0.0.28 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -s 128.0.0.19 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -s 128.0.0.0/24 -p tcp --dport 80 -j DROP

Valeu a ajuda pessoal.

18-10-2004, 10:39	#1 (permalink)
Phrix Registrado em: May 2003 Posts: 159 Agradeceu: 2 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente Olá pessoal Implementei aqui o squid - proxy tranparente então todas as máquinas estão passando pelo squid com a regra: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Porém tem algumas máquinas que não poderiam passar pelo squi como ficaria a regra para controlar excessões por IP ??? Agradeço ajuda. __________________ Phrix

18-10-2004, 11:04	#2 (permalink)
guardian_metal Registrado em: Aug 2003 Idade: 29 Posts: 662 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente #Para ip_do_cara por fora do proxy iptables -t nat -A POSTROUTING -s ip_do_cara -j MASQUERADE __________________ ___________________________________ ______<br />Ninguém é livre se não domina a si mesmo..<br /><br />                                  Pitágoras ( 580 a.c. )<br />__________________________________ _______<br />Linux User #363380<br />Machine #257789

18-10-2004, 15:29	#3 (permalink)
Phrix Registrado em: May 2003 Posts: 159 Agradeceu: 2 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente Pois é eu já estava tentando com esta regra porém a máquina continua sendo barrada pelo squid quando esta entrando em página proibida eu estou precisando liberar porque semana passada eu inclui a regra de firewall para redirecionar a porta e desde então uma máquina do RH que acessa o conectividade social não consegue entrar !!!! Tem algum lugar certo para eu por esta regra no firewall ???? __________________ Phrix

18-10-2004, 16:06	#4 (permalink)
xstefanox Administrador Registrado em: May 2004 Idade: 22 Posts: 3,589 Agradeceu: 5 Agradecido 123 vez(es) em 118 Posts Reputação: 416	Proxy transparente Dependendo do que você quer fazer, você pode continuar aplicando a regra para os usuários, mas para determinados hosts, você poderá liberar o que foi bloqueado. Exemplo: Você possui uma lista negra, mas deseja que o computador X e Y acessem esses sites, eis como você deve fazer: Código: acl hosts_liberados src 192.168.1.22 192.168.1.23 acl listanegada url_regex -i "/etc/squid/lists/blocked" http_access allow listanegada hosts_liberados http_access deny listanegada Vai resolver. Abraços! __________________ A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas

18-10-2004, 16:36	#5 (permalink)
Guest Posts: n/a	Proxy transparente Voce esta vacilando no seguinte, a regra que disseram aqui: Código: iptables -t nat -A PREROUTING -s ip_da_maquina -j MASQUERADE deve vir antes da regra do Squid: Código: iptables -t nat -A PREROUTING -s ip_da_rede/16 -j REDIRECT --to 3128 vale lembrar que a ordem das regras define seu firewall, vizualize a ordem... felco

18-10-2004, 16:58	#6 (permalink)
Phrix Registrado em: May 2003 Posts: 159 Agradeceu: 2 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente Coloquei estas regras agora aqui porém o computador continua não conseguindo acessar o serviço da caixa ! Eu preciso desviar ele para nem passar pelo squid ficar direto como estava antes de eu incluir a regra abaixo: $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 Valeu pela ajuda até agora. Se alguem tiver uma idéia agradeço. __________________ Phrix

18-10-2004, 17:06	#7 (permalink)
Guest Posts: n/a	Proxy transparente com certeza voce esta coloca na ordem errada

19-10-2004, 17:04	#8 (permalink)
Phrix Registrado em: May 2003 Posts: 159 Agradeceu: 2 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente Pior que não é isto eu bem que gostaria que eu estivesse errando só nisso mas copiei e colei abaixo para mostrar como esta meu firewall: #Redirecionando todo trafego para o squid (proxy transparente) $IPTABLES -A FORWARD -s 128.0.0.38 -p tcp -j ACCEPT $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080 128.0.0.38 é o IP da máquina que precisa acessar o serviço da caixa ! e nada o que eu fiz deixei em comentario o redirecionamento aí funcionou o serviço apesar de antes eu precisei reiniciar pois me parece que mesmo eu dando um /sbins/itables -F ele não perdeu esta regra ! Agradeço mais alguma ajuda ! __________________ Phrix

20-10-2004, 09:37	#9 (permalink)
Phrix Registrado em: May 2003 Posts: 159 Agradeceu: 2 Agradecido 0 vez(es) em 0 Posts Reputação: 0	Proxy transparente Olá Pessoal Consegui resolver o problema usando as regras abaixo sem o redirecionamento automático de porta: #Redirecionando todo trafego para o squid (proxy transparente) $IPTABLES -A FORWARD -s 128.0.0.28 -p tcp -j ACCEPT $IPTABLES -A FORWARD -s 128.0.0.19 -p tcp -j ACCEPT $IPTABLES -A FORWARD -s 128.0.0.0/24 -p tcp --dport 80 -j DROP Valeu a ajuda pessoal. __________________ Phrix

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Proxy Transparente	igorallan	Proxy/NAT/Firewall	4	09-09-2006 22:31
Proxy Transparente	gil	Proxy/NAT/Firewall	3	24-02-2005 10:48
proxy http - proxy socks - proxy transparente	m_j_santos	Proxy/NAT/Firewall	2	28-12-2004 21:58
Proxy Transparente	clistenis	Proxy/NAT/Firewall	1	30-06-2004 13:06
Proxy Transparente	gafiel	Proxy/NAT/Firewall	1	19-04-2004 16:59