Pessoal estou usando um bridge firewall e estou fazendo o seguinte:
rede_interna="192.168.0.0"
Iptables -I PREROUTING -t nat -p tcp -s $192.168.0.0 dport 80 -j REDIRECT to-port 3128
O que está errado nessa regra?
Versão Imprimível
Pessoal estou usando um bridge firewall e estou fazendo o seguinte:
rede_interna="192.168.0.0"
Iptables -I PREROUTING -t nat -p tcp -s $192.168.0.0 dport 80 -j REDIRECT to-port 3128
O que está errado nessa regra?
Se eu entendi bem vc esta querendo redirecionar o trafego da porta 80 para porta do squid, se for isso la vai.
IPT=/usr/sbin/iptables (aqui vc coloca o caminho do seu iptables)
SQUID=3128
$IPSOURCE (aqui vc coloca uma regra para sua rede interna)
$IPT -t nat -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port $SQUID
Espero ter ajudado!
testa assim
Código :
rede_interna="192.168.0.0" iptables -I PREROUTING -t nat -p tcp -s $rede_interna -–dport 80 -j REDIRECT –to-port 3128
Olá pessoal eu esqueci de avisar!
Essa máquina aonde estou tentando instalar o proxy é uma bridge firewall invisivél.
Sendo que eth0 = 127.0.0.2 e eth1 = 127.0.0.3
ok?
entao voce vai ter que colocar tanto na eth0 e eth1 ips da sua rede e definir um gateway padrao, por exemplo:
eth0: 192.168.0.100
eth1: 192.168.0.101
gw: 192.168.0.1
tenta colocar as regras iptables assim (presumindo que os pacotes da sua rede interna irão entrar pela eth1):
iptables -I PREROUTING -t nat -i eth1 -p tcp -s $rede_interna -–dport 80 -j REDIRECT --to-port 3128
Se eu colocar um ip nessas placas elas não ficarão invisivel mais. Eu preciso deixar essas placas com ip's, 127.0.0.2 e 127.0.0.3, pois essa máquina é uma máquina bridge firewall (IPS) da minha rede.
Eu estou querendo instalar o squid nela, porque não quero colocar mais uma máquina na minha rede. Por isso preciso saber se o squid funciona desse jeito.
Ah só pra lembrar nesse IPS eu uso o projeto HLBR!
Internet ----Roteador---Firewall----IPS----firewall----Rede Interna.
Alguém pode me ajudar?
Então meu amigo...
Você tem uma topologia que pode ser complicada de se configurar!
Possui 2 firewalls e um IPS!
Outra coisa...
Você não precisa colocar ips 127 nas interfaces!
Simplesmente faça isso:
Lembre-se que dessa forma você não terá possibilidade de gerenciar essa máquina remotamente!Código :
ifconfig eth0 0.0.0.0 up ifconfig eth1 0.0.0.0 up brctl addbr br0 brctl addif br0 eth0 eth1 ifconfig br0 0.0.0.0 up echo "1" > /proc/sys/net/ipv4/ip_forward
O que eu recomendo para você é colocar seu squid no segundo firewall, dessa forma você evita trafego desnecessário passando pelo FW2, se estiver no cache ele libera direto pela interface conectada na LAN!
E outra coisa... como você pensa em fazer isso na pratica?Código :
NET --RTR--FW1--IPS--FW2+PROXY--LAN.
Vai ter VLANs na parada? Você vai segmentar isso de forma que um espertinho não saia direto pelo seu FW1?
Ou essa galera vai estar ligada tudo com cabo cross?? :p
Blza!
Eu to usando nesse IPS o projeto hlbr. Ele é um IPS e quando configurado se torna um bridge.
Eu configurei o squid nessa máquina, porém quando digito
ps aux |grep squid ele mostra o squid rodando normalmente sem erro, e quando vou dentro do arquivo
root@madona# /var/log/squid/access.log
Não tem nada dentro do arquivo!
Alguém pode me ajudar?
cara foi o que o zenun disse, se voce nao colocar ip na interface br0 (e nao em eth0 e eth1 como eu disse anteriormente) voce nao vai conseguir acessar essa maquina remotamente e ela nao vai se comunicar com a rede.
faça o que zenun disse só que alterando para
ifconfig br0 192.168.0.100 up
route add default gw 192.168.0.1
lembrando que nao importa se a bridge tem ip ou nao, ela sempre vai ser transparente.
nessa sua topologia eu nao entendi para que 2 firewalls se voce só tem 1 rede...
inseguro rodar o squid na mesma maquina... IPS foi feito para uma maquina dedicada a ele. sem IP inclusive !!
Bom meu amigo...
O fato de você não concordar não faz disso ser a melhor opção do ponto de vista de segurança! ;)
Sobre o squid eu bato na tecla que deve estar fora do IPS, como disse antes!
sao palavras dos desenvolvedores... como o ips (no caso o hlbr) cria uma bridge transparente.. ela ficara invisivel.. entao seguro por inseguro.. melhor deixar sem ip :P
e fazer o gerenciamento localmente... sao palavras e sugestoes ateh de dentro da propria lista do hlbr !!
ok, voces estao falando do hlbr...
nunca vi e nunca mexi, mas no Cisco ASA por exemplo que é firewall e pode ser adicionado um modulo de IPS (transparente ou nao) o uso de endereço ip nele é praticamente "obrigatorio"... tanto que ele tem 1 ip para o firewall e 1 ip para o modulo de IPS mesmo os 2 estando na mesma caixa...
eu disse apenas que nao concordo e nao que por causa disso é melhor ou nao, eu estava apenas expressando a minha opniao...