Proxy Transparente + NAT pra host especifico
Boa Tarde,
Tenho algumas maquinas firewall que junto roda o squid, configurei um proxy transparente que funcionou perfeitamente,
o problemas é relacionado a minha estrutura, tenho algumas maquinas na qual utilizo NAT, sou seja navegam na internet sem passarem pelas restrições de proxy, entretanto ao aplicar o proxy transparente as maquinas que eram para navegar pela NAT estou saindo pelo porta 3128 (porta do squid) ou seja estão navegando pelo proxy.
Veja as regras que criei para disponibilizar o serviço, e por favor me digam onde estou errando ou me deem um luz:
# Regra Nat p maquina diretor
iptables -t nat -A POSTROUTING -s 192.168.0.2\324 -o ppp0 -j MASQUERADE
# Regra direcionamento squid
iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Lembrando que no squid habilitei a opção:
http_port 3128 transparent
Agradeço desde já
Re: Proxy Transparente + NAT pra host especifico
Boa noite wasley,
No caso vc tem lembrar da regra
o prerouting é para mudar o destino e o postrouting é para mudar a origem.
entao vc tem de acrescentar a seguinte regra ACIMA da regra de proxy transparente
iptables -t nat -A PREROUTING -s 192.168.0.2\24 -p tcp -j ACCEPT
Espero retorno e estrela hein :)
Re: Proxy Transparente + NAT pra host especifico
Bom dia magnorm .
Sua regra funcionou perfeitamente, muito obrigado.
Agora pessoal estou com problemas no proxy transparente, alguns sites (ex: hotmail.com, gmail.com) não estão sendo possível o acesso, mas p problema n se trata de bloqueio de proxy, parece mais alguma coisa no retorno da requisição, sera q esta faltando um regra tipo de FORWARD ou uma outra regra de NAT antes da regra de proxy transparente?
A unica regra de proxy transparente que estou utilizando é:
iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Segue o log do squid ao tentar acessa o site do GMAIL.
1340105591.289 3 192.168.0.18 TCP_HIT/301 784 GET http://www.gmail.com/ - NONE/- text/html
1340105591.651 339 192.168.0.18 TCP_MISS/302 996 GET http://mail.google.com/mail/ - DIRECT/74.125.229.53 text/html
Agradeço desde já
Re: Proxy Transparente + NAT pra host especifico
Existe no firewall a regra
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
pois esses sites como gmail, hotmail e facebook estao usando tudo https. ai vc tem de colocar essa regra ou configurar manualmente o proxy no navegador nas maquinas
Esperando minha estrelinha hein :D
Re: Proxy Transparente + NAT pra host especifico
Não tem a regra
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
Se habilito a regra todas minha rede navega sem proxy pelo MASQUERADE, vou dar uma estudada melhor no assunto e qualquer coisa aviso, de qualquer forma agradeço sua atenção.
Sobre a estrelinha que você comentou é um brincadeira, ou tem como te qualificar no site? se tiver como te qualificar me explica como faço.
grande abraço e obrigado.