Liberar 1 IP para passa pelo proxy......
Citação:
Postado originalmente por bau
opa uma boa, vou tentar.
Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.
Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!
Daí liberando o forward dessa máquina que requesitou o nat.
Ex. interface net eth0 interface interna firewall eth1.
iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT
Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.
Ou há alguma possibilidade de fazer da seguinte forma:
Bem como disse tenho um firewall em uma máquina e o proxy em outra.
Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.
[ ] ´s
Bau
Citação:
Ex. interface net eth0 interface interna firewall eth1.
iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT
o certo seria
ptables -A FORWARD -s ipdamaquina -i eth1 -o eth0 -j ACCEPT
pra deixar seu squid em modo transparente seria assim
iptables -t nat -A PREROUTING -i eth1 192.168.0.0/24 -p tcp --dport 3128 -j DNAT --to 192.168.0.2:3128
-i eth1 192.168.0.0/24 = eth1 interface da rede interna do fw, 192.168.0.0/24= classe de ip da sua rede interna
192.168.0.2=ip do servidor proxy
libera a 3128 na forward e barre a 80
como ae ta drop all, entao oq tiver na porta 80 comenta a regra
iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 3128 -j ACCEPT
assim vc ta fazendo tranparencia no squid em http.
lembrando que https o squid não suporta TRANSPARENCIA na 443 que eh https.
boa sorte Bau.
Liberar 1 IP para passa pelo proxy......
Citação:
Postado originalmente por Brenno
putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?
agora eu vou lhe mostra pq vc ta falando coisas sem nexo
como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?
caro colega, ve se entende agora
UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA
no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT
não eh necessario uma outra regra do tipo
iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT
isso NAO EXISTE!!!
pq?
pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.
A máquina é inteligente o bastante, mas você parece não ser, porque até agora não entendeu!!! o conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).
Por isso continuo insistindo que estamos falando de coisas diferentes... eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts. Você interpreta que ele tem ligação direta com o firewall, e eu interpreto que o proxy é a única máquina que teria ligação direta com o firewall, necessitando assim repassar todos os pacotes ou requisições para o mesmo.
Citação:
Postado originalmente por Brenno
isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.
mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse
isso não EXISTE!!!!!!!!
Existe e é perfeitamente lógico até para uma criança, mas não é só porque você nunca enfrentou uma situação como essa é que ela nunca vai existir. Outra coisa, essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).
Citação:
Postado originalmente por Brenno
essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau
basta ele liberar na forward
iptables -A FORWARD -s 192.168.50.30 -j ACCEPT
isso se o nat tiver full
agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..
tsc..
Agora vamos resolver essa situação sem resposta marota e sem chilique!! Entendeu ?? Não?? Eu faço uns esquemas mais auto-explicativos e posto aqui se for o caso pra esclarecer isso de vez, que num aguento mais voltar pro mesmo tópico, e acho que o pessoal da Under também não.
Liberar 1 IP para passa pelo proxy......
Citação:
. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.
vc entendeu? parabens , até que em fim...
Citação:
conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).
DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz
Citação:
essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).
cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz
como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?
sao 2 firewall agora? hehehehe
a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..
cara, faz uma coisa, esqueçaaa...
deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.
abraço
Liberar 1 IP para passa pelo proxy......
[quote="Brenno"]
Citação:
. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.
vc entendeu? parabens , até que em fim...
Citação:
conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).
Citação:
DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz
Sem nexo é o que você acabou de postar!!! Atente às palavras em negrito!!! Citar exemplo em textos parece que te deixa bastante confuso... :roll: :roll:
Citação:
essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).
Citação:
cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz
como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?
sao 2 firewall agora? hehehehe
a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..
cara, faz uma coisa, esqueçaaa...
deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.
abraço
Você não conseguiu compreender ainda!! É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!
E depois eu que me contradizo...
Já fez aquele favor pra mim?
Liberar 1 IP para passa pelo proxy......
Citação:
Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!
E depois eu que me contradizo...
Já fez aquele favor pra mim?
cara, acho que vc eh duente mental ou algo do tipo.
pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?
Citação:
É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
o que fez ?
agora eh sua vez, vai ver se eu to la na esquina muleke.
tsc