pelo que eu entendi o nosso colega quer fz o squid serviro pop3 e smtp e não apenas as convencionais 80, 21 e 443. não é isto ?
Versão Imprimível
pelo que eu entendi o nosso colega quer fz o squid serviro pop3 e smtp e não apenas as convencionais 80, 21 e 443. não é isto ?
Nao, na verdade eu quero deixar o squid trabalhar somente nas portas padroes mesmo (www,ftp,ghoper) ok!!! vai ser suficiente pra controlar a rede!!! o negocio e o seguinte:
* qdo eu setei o squid, eu segui um TUTO pra configurar como transparente e e ninguem burlar meu proxy retirando a configuracao ( eu ja fiz isso tb!! mas nao quero ver ninguem fazer no meu proxy!! rsrsrs!!).
* mas entao mesmo de pois de adicionar a regra na tab nat pra redirecionar todo o trafego da chain FORWARD na port 80 pra 3128, nao sei pq, eu ainda conseguia acesso sem configurar o proxy no browser (ou seja, sem proxy, so com NAT)
* entao pra tentar resolver, eu setei a chain FORWARD pra policy DROP e adicionei as regras, mas qdo eu faco.....
---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 23 -j ACCEPT
---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT
isso nao funciona, qdo o cliente envia o [SYN], ele nao recebe o [SYN,ACK] do server e o pacote da time out!!! eu sniffei so a maquina cliente e nenhum pacote chegou de fora da rede entao provavelmente esta ficando barrado no firewall!!!!
de qualquer jeito, deem uma analisada e qualquer opiniao sera bem recebida e bem testada tb!!!
PS: nao da pra postar pq o squid.conf ta na empresa e eu nao configurei acesso externo!!! acho que deveria fazer isso pra facilitar nessas horas!!! obrigado pessoal!!!
Foi mal, eu nao tava logado galera!!!
ahhh e a porta na primeira regra iptables e 25 e nao 23 foi mal pelo erro!!! t+, amanha cedinho eu posto o script aqui!!
coloca a regra de masquerade e faz proxy transparente,resolve seu problema, a nao ser que vc use autenticação...
Ae pessoal vou colar minha configuracao aqui!!!
Rotas da tabela nat.
Debian1:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 10.0.0.0/24 anywhere tcp dpt:www redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Debian1:~#
# Chains Padroes
Debian1:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:3128
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:pop3
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:smtp
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Debian1:~#
# Squid.conf
Debian1:~# cat /etc/squid.conf
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl internal_net src 10.0.0.0/24
acl blockedsites dstdomain -i "/etc/squid/block/block.txt"
acl unblockedsites dstdomain -i "/etc/squid/block/unblock.txt"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
http_access allow internal_net
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny blockedsites !unblockedsites
http_access deny all
icp_access allow all
Debian1:~#