Proxy transparente instável

[dmgamer]

Poderia meu squid (2.6) estar mau configurado ou algo do genero?

A configuração funciona, mais a conexão entre a estação e o servidor que ta o proxy fica sendo bloqueada de tempos em tempos...

Fica assim: Ta conectado, navegando normal, consigo dar ping no meu roteador, td certo... derrepente para de navegar, cai msn, ping no roteador não responde mais... vai e volta, vai e volta...

Se eu desativar o redirecionamento da porta 80 pra 3128 no iptables e habilitar NAT para da cair a conexão...

Alguem arrisca um palpite?

[lucianogf]

se você desativar o redirecionamento e habilitar o NAT resolve o problema...

mas, o que quer dizer com "habilitar o NAT"?

[dmgamer]

quando entrei na empresa tinha um proxy configurado mais era só o usuario desabilitar no browser e configurar um dns e sair navegando sem nenhuma restrição...

preciso obrigar todas as estações a usar o proxy, portanto a rede não faz NAT com o link, obrigando o usuario a deixar as configurações de proxy ativadas, só que assim ta dificultando alguns serviços que precisam acesso direto (sem proxy).

A principio habilitei o nat só para as estações que necessitavam, mais não é isso que quero tambem...

Vejo a solução de proxy transparente como sendo a que mais se encaixa no meu caso, só que está instavel...

Assim que resolver o problema do proxy deixo toda a rede ligada via NAT, pq dai querendo ou não, o trafego da porta 80 vai cair no proxy...

isso responde tua pergunta lucianogf?

[lucianogf]

não...

na verdade vejo que vc está confundindo algumas coisas...

pelo que entendi, quando você diz "habilitar o NAT", quer dizer redirecionar os pacotes da porta 80 para a porta do squid?? se sim, isso é proxy transparente, pois no browser não precisa de nenhuma configuração, e o acesso via proxy fica transparente aos olhos do uzuário..

e você disse que haviam configurações de proxy no navegador e era só o usuário retirar essas configurações que navegava normalmente??? isso é falta de segurança no gateway, pois é simplesmente bloquear o forward da porta 80 que resolve o problema...

mas se na empresa não há autenticação de usuários para acessar a internet, então deixe como transparente mesmo, pois desta forma, o usuário poderá alterar o que for no navegador que não afetará... a não ser que ele configure um proxy anonimo, mas isso é questão de monitoramento da rede...

[dmgamer]

Citação:

Postado Originalmente por lucianogf

não...

na verdade vejo que vc está confundindo algumas coisas...

pelo que entendi, quando você diz "habilitar o NAT", quer dizer redirecionar os pacotes da porta 80 para a porta do squid?? se sim, isso é proxy transparente, pois no browser não precisa de nenhuma configuração, e o acesso via proxy fica transparente aos olhos do uzuário..

e você disse que haviam configurações de proxy no navegador e era só o usuário retirar essas configurações que navegava normalmente??? isso é falta de segurança no gateway, pois é simplesmente bloquear o forward da porta 80 que resolve o problema...

mas se na empresa não há autenticação de usuários para acessar a internet, então deixe como transparente mesmo, pois desta forma, o usuário poderá alterar o que for no navegador que não afetará... a não ser que ele configure um proxy anonimo, mas isso é questão de monitoramento da rede...

É, ficou mau explicado a coisa...
Quando falei que "desabilitei o NAT" quis dizer que removi FORWARD e MASQUERADE entre a internet e a rede... removi o compartilhamento da conexão, a unica maquina que acessa a internet diretamente é o servidor, assim os micros da rede, só navegam através de proxy.
Só que tem aqueles programinhas chatos que só funcionam se conectados diretamente à internet (Conectividade Social, etc), nesses casos coloquei regras no iptables para que essas maquinas acessem diretamente a internet, só que essas maquinas ficam sem controle do proxy.
Se quando habilito o redirecionamento da porta 80 pra 3128 simplesmente parasse tudo blz, eu saberia que EU FIZ M****, mais a coisa fica estranha... funciona... para... funciona... para... e assim vai...

[lucianogf]

cara..

você usa proxy com autenticação? se não tiver autenticação seria melhor você configurá-lo para transparente, assim nao precisaria nem de configuração no navegador...

[dmgamer]

Citação:

Postado Originalmente por lucianogf

cara..

você usa proxy com autenticação? se não tiver autenticação seria melhor você configurá-lo para transparente, assim nao precisaria nem de configuração no navegador...

Você ta quase conseguindo me entender luciano (rsssss).
Sua sugestão é exatamente oq eu to querendo, mais é justamente aí é que está o problema... qdo configuro pra transparente (iptables 80 -> 3128) é que as coisas param de funcionar corretamente... funciona uns 5 ou 10 min dai para tudo, fica uns 10 ou 15 min ai volta sozinho, fica uma meia hora... cai... fica parado uns 7 min... volta... e assim vai...
E assim não da pra ficar...

Vlw pela intenção por enquanto

P.S.: Não, não uso autenticação (ainda) no proxy

[Brenno]

se funcionar com sem tranparencia, era para ta funcionando com transparecia, verifique as regras do seu firewall e do squid.conf, qualquer duvida dos mesmo, posta ae o conf e as regras. abração

[lucianogf]

o que dizem os logs quando ele pára de funcionar?

[ukara]

Olá amigos,

Luciano, estava tendo o mesmo problema que vc só que no kurumin, tentei de toda forma resolver, mais nada que tentei resolvia meu problema, até que resolvi testar uma distro mais bem acabada, então usei o ubuntu 6.06, mais nele se apresentava o mesmo problema, então recorri ao suporte dele e me disseram para usar o squid 2.5, e foi batata, agora meu provedor esta funcionando perfeitamente, com controle total pelo squid e proxy transparente, usando a porta 9877 para redirecionamente do trafego da porta 80.
Tente remover a versão 2.6 e instale a 2.5 stable que com toda certeza irá sentir alguma diferença..

Segunda se der posto o squid.conf para vc analisar..