Under-Linux.org - Proxy/NAT/Firewall http://under-linux.org/ Para usuários que estão tendo problemas na instalação, configuração do servidor proxy Squid. Regras de ipfw/ipchains/iptables e redirecionamentos, NAT. pt Mon, 22 Mar 2010 03:44:10 GMT vBulletin 5 http://under-linux.org/forums/images/misc/rss.png Under-Linux.org - Proxy/NAT/Firewall http://under-linux.org/ Redirecionar porta 80 para 3128 em outro servidor proxy. http://under-linux.org/showthread.php?t=136479&goto=newpost Sun, 21 Mar 2010 23:38:47 GMT Olá, Tenho um servidor linux que faz o controle de autenticação, limite de banda e dhcp vamos chama-lo de SERVIDOR 01 e outro servidor com o... Olá,

Tenho um servidor linux que faz o controle de autenticação, limite de banda e dhcp vamos chama-lo de SERVIDOR 01 e outro servidor com o Squid e Thunder instalado que seria o SERVIDOR 02. Meu problema é que preciso redirecionar as requisições de navegação dos clientes do servidor 1 para o Squid no Servidor 2.
a ultima regra que tentei sem sucesso foi:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 192.168.10.151:3128

O Squid está funcionando pois já o testei separado.

O servidor 02 está com ip de outra rede pois ja encotrei em outro topico que não funciona este redirecionamento sendo na mesma rede por isso mudei.

Meu cenário é composto da seguinte forma:

Balanceador = eth0 Link
eth1 172.20.0.251 (fornece internet ao servidor 1)
eth2 192.168.10.251 (fornece internet ao servidor 2 "proxy")

Servidor 01 = eth0 172.20.0.100 (recebe internet do balanceador)
eth1 192.168.1.1 (saida rede interna)

Servidor 02 = eth0 192.168.10.151 (recebe internet do balanceador e responde pelo proxy)

vlw ]]> Proxy/NAT/Firewall ivamfabrizo http://under-linux.org/showthread.php?t=136479 Proxy somente para video sem armazenamento de site, é possivel? http://under-linux.org/showthread.php?t=136470&goto=newpost Sun, 21 Mar 2010 00:43:36 GMT Amigos tenho um bom link não tenho tido lentidão para nevagaçao, mas tenho percebido que o link está no gargalo então o que eu gostaria era somente... Amigos tenho um bom link não tenho tido lentidão para nevagaçao, mas tenho percebido que o link está no gargalo então o que eu gostaria era somente armazenar videos sem, colocar site no squid, podendo ficar ate o squid, mas sem armazenar o site, somente o link dos videos, isso é possivel? Desde já agradeço atenção de todos!

Obrigado. ]]> Proxy/NAT/Firewall adepad http://under-linux.org/showthread.php?t=136470 Cache full com delay pools http://under-linux.org/showthread.php?t=136441&goto=newpost Fri, 19 Mar 2010 13:59:43 GMT Pessoal não cbq ou htb para limitar a banda dos clientes ., utilizo o delay pools do próprio squid gostaria de saber se posso fazer cache full?... Pessoal não cbq ou htb para limitar a banda dos clientes ., utilizo o delay pools do próprio squid gostaria de saber se posso fazer cache full? abaixo segue o squid.conf ., como ficaram as regras no ipatbles nesse caso?

Existem linhas a serem acrescentadas para otimizar o uso squid?

O módulo zph ja foi aplicado.

#------------------------------------------------------------------------------
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
http_port 3128 transparent
error_directory /usr/share/squid/errors/pt-br/
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
# -----------------------------------------------------------------------------
# TAG: hierarchy_stoplist
#hierarchy_stoplist cgi-bin ?
# TAG: no_cache
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# OPTIONS WHICH AFFECT THE CACHE SIZE
# -----------------------------------------------------------------------------
# TAG: cache_mem (bytes)
cache_mem 1000 MB
maximum_object_size_in_memory 32 kb
# TAG: cache_swap_low (percent, 0-100)
# TAG: cache_swap_high (percent, 0-100)
cache_swap_low 90
cache_swap_high 95
# TAG: maximum_object_size (bytes)
maximum_object_size 150 mb
maximum_object_size_in_memory 2048 kb
minimum_object_size 0 KB
# LOGFILE PATHNAMES AND CACHE DIRECTORIES
# -----------------------------------------------------------------------------
# TAG: cache_dir
cache_dir ufs /var/spool/squid 10048 16 256
# TAG: cache_access_log
cache_access_log /var/log/squid/access.log
# TAG: cache_log
cache_log /var/log/squid/cache.log
#Intervalos de tempos que o proxy verificara os arquivos dos site acessado
#conferem com o do cache, o valor 10080 significa aproximadamente 09 dias
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#Mantendo objetos recentes e pequenos na memoria
memory_replacement_policy heap GDSF
acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
# TAG: acl
icp_port 0
acl all src 10.0.0.0/255.255.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl extensoes urlpath_regex -i "/etc/squid/extensoes.reg"
################################### #####################
# ACL´s para Portal CAPES
################################### #####################
acl portal_capes url_regex -i "/etc/squid/portalcapes.txt"
acl bandabaixa src "/etc/squid/bandabaixa"
acl bandamedia src "/etc/squid/bandamedia"
acl bandaalta src "/etc/squid/bandaalta"
# Delay Pools
delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_access 1 allow bandabaixa
delay_access 2 allow bandamedia
delay_access 3 allow bandaalta
delay_parameters 1 -1/-1 8000/8000
delay_parameters 2 -1/-1 18000/18000
delay_parameters 3 -1/-1 52000/52000
# TAG: http_access
http_access allow manager localhost
http_access deny manager
http_access deny extensoes
http_access allow all
http_reply_access allow all
################################### #######################
# Redirecionamento para o MCT
################################### #######################
cache_peer prx.mct.gov.br parent 80 0 no-query
cache_peer_access prx.mct.gov.br allow portal_capes
always_direct allow !portal_capes
http_reply_access allow all portal_capes
# TAG: icp_access
icp_access allow all portal_capes
visible_hostname aruana
# MARCAR PACOTES TOS
zph_mode tos
zph_local 0x30
zph_parent 0
zph_option 136 ]]> Proxy/NAT/Firewall martysouza http://under-linux.org/showthread.php?t=136441 Cache youtube http://under-linux.org/showthread.php?t=136434&goto=newpost Fri, 19 Mar 2010 07:25:16 GMT Olá galera, bom dia! bom... a grande duvida é thundercache ou squid salva o video do youtube? quando o cliente abri o video no youtube salvar... Olá galera, bom dia!

bom... a grande duvida é thundercache ou squid salva o video do youtube?

quando o cliente abri o video no youtube salvar no servidor exemplo:

cliente1 abriu o youtube carregou o video under_linux ficou salvo.

quando o cliente2 for abri esse mesmo video no youtube under_linux requisita no servidor. e carrega de vez, tem como?

estou usando o mikrotik em uma cpu, tem como fazer no mk?

e assim tambem por fotos de orkut, 4shared, etc... ]]> Proxy/NAT/Firewall thefox http://under-linux.org/showthread.php?t=136434 Planejamento e Implantação de Firewall http://under-linux.org/showthread.php?t=136402&goto=newpost Thu, 18 Mar 2010 08:55:49 GMT Firewall c/ IDS ---> DMZ ---> Proxy---> Rede...]]> O Planejamento e Implantação de firewall como seria?

tipo a topologia seria:

Firewall ---> Firewall c/ IDS ---> DMZ ---> Proxy---> Rede interna.

Firewall ---> DMZ ---> Firewall C/ IDS ---> Proxy ---> Rede Interna.

por favor estou querendo saber como as grandes corporações usam a infraestrutura de firewalll e o procedimento correto de implantação, quantos firewall, a topologia correta, etc..

muito grato a todos que respoderem.

abraços,

 ]]> Proxy/NAT/Firewall sauloramos http://under-linux.org/showthread.php?t=136402 Iptables http://under-linux.org/showthread.php?t=136371&goto=newpost Wed, 17 Mar 2010 10:29:00 GMT Preciso da ajuda de vocês, não estou conseguindo liberar pop e smtp da minha rede no iptables, tenho squid com autenticaçao, as maquinas da rede ... Preciso da ajuda de vocês, não estou conseguindo liberar pop e smtp da minha rede no iptables, tenho squid com autenticaçao, as maquinas da rede navegam, mas o windows mail não funciona, e nem outlook, segue meu script de firewall........
-------------------------------------------------------------------------------------------------------------
#IpTables
IPT=/sbin/iptables
MP=/sbin/modprobe

#Interfaces
ETH_LO=lo
ETH_LAN=eth1
ETH_WAN=eth2

#IP's
IP_LO=127.0.0.1
IP_LAN=192.168.0.254
IP_WAN=

#Network's
LAN=192.168.0.0/24
WAN=0/0


#Portas
#FTP 20,21/TCP
#SMTP 25/TCP
#POP3 110/TCP
#HTTPS 443/TCP
#CONECTIVIDADE SOCIAL 2631/TCP,3456/TCP/UDP,8017/TCP

TCP_OPEN_PORTS=20,21,25,53,110,443, 2631,3456,8000,8017
UDP_OPEN_PORTS=53,5456,3550,4550,55 50,34,22


$MP ip_nat_ftp

$IPT -F
$IPT -t nat -F

$IPT -A INPUT -i $ETH_LO -j ACCEPT
$IPT -A INPUT -i tun+ -j ACCEPT
$IPT -A INPUT -i $ETH_LAN -s $LAN -j ACCEPT
$IPT -A INPUT -i $ETH_WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -P INPUT DROP

$IPT -t nat -A POSTROUTING -o $ETH_WAN -s $LAN -p udp -m multiport --dport $UDP_OPEN_PORTS -j MASQUERADE
$IPT -t nat -A POSTROUTING -o $ETH_WAN -s $LAN -p tcp -m multiport --dport $TCP_OPEN_PORTS -j MASQUERADE
#$IPT -t nat -A POSTROUTING -o $ETH_WAN -s $LAN -j DROP



# Acesso total
#$IPT -t nat -I PREROUTING -s 192.168.0.128 -j ACCEPT
#$IPT -t nat -I POSTROUTING -s 192.168.0.128 -j MASQUERADE

-------------------------------------------------------------------------------------------------------------
Espero a ajuda....Obrigado !!! ]]> Proxy/NAT/Firewall junior1986 http://under-linux.org/showthread.php?t=136371 Autenticaçao de mac no squid falha alguns http://under-linux.org/showthread.php?t=136320&goto=newpost Mon, 15 Mar 2010 20:11:22 GMT boa tarde pessoal estou enfrentando um problema na rede e ja torrei minha cuca e nao consegui desvendar o que esta acontecendo. tentei... boa tarde pessoal
estou enfrentando um problema na rede e ja torrei minha cuca e nao consegui desvendar o que esta acontecendo.

tentei implementar autenticação de mac na minha rede...por parte deu certo..mas varios micros estão sendo bloqueados mesmo colocando o mac deles na lista

segue a minha configuração squid:
http_port 3128
visible_hostname servfirewall
error_directory /usr/share/squid/errors/Portuguese/
cache_mem 341 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 6144 KB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 12000 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl Safe_ports port 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
visible_hostname Administrador.Rede-Andre.Masson
 
#----------------------------forca o uso do proxy-------------------------------
auth_param basic realm ENTRE COM SEU LOGIN E SENHA, ESTE SERVICO E UM PRIVILEGIO E NAO UM DIREITO, PORTANTO USE-O COM RESPONSABILIDADE -CPDS-Andre.Masson-PM.Altinopolis-
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
#----------------------------bloqueia site que mandam virus---------------------
acl bloqvirus url_regex -i "/etc/squid/bloqvirus"
http_access deny bloqvirus
#--------------------------macs na rede---------------------------------
acl macspermitidos arp "/etc/squid/macs"
#----------------------------ips liberados para acessar sites-------------------
acl liberado src 10.1.1.188 10.1.1.192 10.1.1.23 10.1.1.25
#----------------------------libera smartphone----------------------------------
acl smartphone src 10.1.1.240 10.1.1.241 10.1.1.1
http_access allow smartphone
#---------------------------sites permitidos------------------------------------
acl permitidos url_regex -i "/etc/squid/permitidos"
http_access allow permitidos
#----------------------------bloqueando sites-----------------------------------
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados !liberado
#----------------------------bloqueando nomes-----------------------------------
#acl proibido dstdom_regex "/etc/squid/proibido"
#http_access deny proibido
#----------------------------libera extencoes-----------------------------------
#acl liberadoext src
#----------------------------bloqueando extencoes-------------------------------
acl extban url_regex -i \.avi \.mp3 \.torrent \.rmbv \.mpg \.wma \.wmv \.iso \.mp4 \.flv .\msi .\mov .\nrg .\mdf .\mpeg
http_access deny extban !liberado
#----------------------------libera msn-------------------------------------------------
acl libmsn src 10.1.1.18 10.1.1.188 10.1.1.37 10.1.1.60 10.1.1.25 10.1.1.23 10.1.1.31
#----------------------------bloqueia msn----------------------------------------
acl bloqmsn url_regex -i "/etc/squid/bloqmsn"
http_access deny bloqmsn !libmsn
#---------------------------libera banda de internet----------------------------
acl libera400k src 10.1.1.1 10.1.1.188 10.1.1.23 10.1.1.25 10.1.1.192 10.1.1.2 10.1.1.253
acl libera200k src 10.1.1.60 10.1.1.72 10.1.1.126 10.1.1.17 10.1.1.11 10.1.1.13
#-----------------------------configuracoes de banda----------------------------
acl redelocal src 10.1.1.0/24
http_access deny !redelocal
#http_access deny !macspermitidos
delay_pools 3
delay_class 1 2
delay_parameters 1 204800/204800 51200/51200
delay_access 1 allow libera400k
#-------------------------------------------------------------------------------
delay_class 2 2
delay_parameters 2 179200/179200 25600/25600
delay_access 2 allow libera200k
#-------------------------------------------------------------------------------
delay_class 3 2
delay_parameters 3 507904/507904 7040/7040
delay_access 3 allow redelocal
#-------------------------------------------------------------------------------
http_access allow autenticados
http_access allow localhost
http_access allow redelocal
 
http_access deny all


e minha lista de macs:
00:02:2A:E5:32:39
00:1D:7D:87:FE:3A
00:1D:92:5E:5A:A5
00:08:54:27:D7:3B
00:E1:26:08:18:6A
00:19:7E:97:18:DA
00:06:4F:6C:4D:BB
00:06:4F:6C:54:FD
00:E0:7D:F5:2D:81
00:40:F4:55:f6:EC
00:16:EC:DE:10:95
00:E1:26:08:11:E6
00:0F:EA:9E:72:6B
00:0F:EA:AE:33:7E
00:1D:7D:88:08:44
00:08:54:27:D7:3C
00:24:21:C4:43:26
00:24:21:C4:43:5B
00:0A:E6:86:2B:56
00:08:54:0F:14:D6
00:02:2A:E5:41:A9
00:1D:7D:88:05:9B
00:1D:7D:8B:30:5A
00:11:5B:38:DE:68
00:0A:E6:1A:C6:00
00:0F:EA:9E:6F:AD este nao pega
00:24:21:C4:43:51
00:19:21:04:B2:3D este nao pega
00:11:5B:F5:EB:61
00:13:D4:42:0F:EF este nao pega
00:0F:EA:AE:34:02
00:19:66:B2:46:62
00:08:54:20:30:94
00:00:00:00:00:10 este nao pega
00:1F:D0:FF:AB:FE
00:22:68:4E:6B:5E
00:58:1C:00:00:48
00:19:21:91:6F:46
00:A1:B0:01:A8:F6
00:1A:4D:78:51:47
00:11:5B:F5:E4:7D este nao pega
00:13:D4:29:AA:A2
00:0F:EA:9E:77:E6
00:24:21:88:DA:8A
00:E0:7D:D5:DD:4D este nao pega
00:0F:EA:A4:94:0C
00:0F:EA:AE:38:93
00:18:F3:DC:99:23
00:08:54:20:CA:ED
00:1D:7D:F4:CF:5A
00:0D:87:07:04:68
00:18:F3:DC:8E:EE
00:02:2A:E5:32:76
00:1D:92:5E:21:33
00:1D:92:5F:49:D9
00:1D:92:5E:1F:CF
00:E1:26:08:14:E6
00:21:00:5B:B5:7C
00:23:4E:66:71:2D
00:21:00:65:FC:F0
00:1D:7D:FB:D5:85
00:1D:92:E8:4B:03
00:02:2A:E5:41:AB
00:1D:92:E8:4B:0B
00:15:F2:32:50:A3

coloquei alguns q nao pegaram..pois tive que voltar a rede pois parou o serviço de algumas pessoas.

gostaria muito da ajuda de voces pois fiquei um pouco perdido ..nao consegui a achar o erro.

desde ja obriga e um grande abraço a todos. ]]> Proxy/NAT/Firewall maxsson http://under-linux.org/showthread.php?t=136320 Lusca + Tproxy + wccpv2, quase lá! http://under-linux.org/showthread.php?t=136296&goto=newpost Sun, 14 Mar 2010 19:55:13 GMT Boa tarde a todos do forum. Recentemente postei um tópico, e obtive uma grande ajuda na configuração do wccp em um cisco 2801. Estou indo agora a... Boa tarde a todos do forum. Recentemente postei um tópico, e obtive uma grande ajuda na configuração do wccp em um cisco 2801. Estou indo agora a solução do tproxy, juntamente com o wccp. Segue a configuração utilizada, espero que os amigos ajudem pois ainda não funcionou, no momento que o Cisco reconhece o proxy pelo wccp, a navegação para de funcionar. O sistema usado foi o Fedora 11 Kernel 2.6.30, já com suporte ao Tproxy. No Cisco:

Código:

ip subnet-zero
ip wccp 80
ip wccp 90
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
!
!
!
interface FastEthernet0/0 (Clientes)
 ip address 189.xxx.xxx.97 255.255.255.248
 ip wccp 80 redirect in
 ip wccp 90 redirect out
 duplex auto
 speed auto
!
interface FastEthernet0/1 (Proxy)
 ip address 189.xxx.xxx.105 255.255.255.252
ip wccp redirect exclude in
 duplex auto
 speed auto
!
interface Serial0/1/0
 ip address 200.xxx.xxx.126 255.255.255.252
 ip wccp 80 redirect in
 ip wccp 90 redirect out
 encapsulation ppp
!
interface Serial0/1/1
 no ip address
 shutdown
 clockrate 2000000
!
interface Serial0/3/0
 no ip address
 shutdown
 clockrate 2000000
!
interface Serial0/3/1
 no ip address
 shutdown
 clockrate 2000000
!
No squid.conf, usando o Lusca, ultima versão no site:

Código:

wccp2_router 189.xxx.xxx.105
http_port 3129 tproxy wccp2_service dynamic 80 wccp2_service_info 80 protocol=tcp lags=src_ip_hash priority=240 ports=80
wccp2_service dynamic 90 wccp2_service_info 90 protocol=tcp flags=dst_ip_hash,ports_source priority=240 ports=80
Tentei utilizar:

Código:

wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_forwarding_method 2
wccp2_return_method 2
Na versão do Lusca que utilizei estes parametros deram erro. Aqui fica uma de minhas dúvidas, que tipo de configuração deve ser usada? Minhas regras de iptables foram:

Código:


iptables -t mangle -N DIVERT iptables -t mangle -A DIVERT -j MARK --set-mark 1 iptables -t mangle -A DIVERT -j ACCEPT

iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 3129

ip rule add fwmark 1 lookup 100

ip route add local 0.0.0.0/0 dev lo table 100

 echo 0 > /proc/sys/net/ipv4/conf/lo/rp_filter echo 1 > /proc/sys/net/ipv4/ip_forward

Tentei com o tunel Gre e sem o tunel. Aparentemente está faltando alguma regra, pois vejo evolução nos contadores de pacotes do wccp do cisco. Grato pela ajuda. ]]> Proxy/NAT/Firewall Josue Guedes http://under-linux.org/showthread.php?t=136296 bloqueio de p2p http://under-linux.org/showthread.php?t=136288&goto=newpost Sun, 14 Mar 2010 15:38:51 GMT Boa tarde. Existe alguma forma de bloquear p2p de forma eficiente? pois já instalei o l7 no slackware, configurei, etc... mesmo assim a praga... Boa tarde.

Existe alguma forma de bloquear p2p de forma eficiente?

pois já instalei o l7 no slackware, configurei, etc... mesmo assim a praga do emule continua conectando.

abraços, ]]> Proxy/NAT/Firewall sauloramos http://under-linux.org/showthread.php?t=136288 Colocar 2 DNS diferente. http://under-linux.org/showthread.php?t=136202&goto=newpost Thu, 11 Mar 2010 00:06:18 GMT Hoje entrei em uma duvida, se posso colocar os dns no mk de duas empresas diferentes de modo que se uma falhar o outro resolve. Tipo assim Primario... Hoje entrei em uma duvida, se posso colocar os dns no mk de duas empresas diferentes de modo que se uma falhar o outro resolve. Tipo assim Primario 200.220.11.100 (uol) e secundario 8.8.8.8 (google).
Será que vou ter problema? ]]> Proxy/NAT/Firewall FernandodeDeus http://under-linux.org/showthread.php?t=136202