Proxy Transparente + NAT pra host especifico
Boa Tarde,
Tenho algumas maquinas firewall que junto roda o squid, configurei um proxy transparente que funcionou perfeitamente,
o problemas é relacionado a minha estrutura, tenho algumas maquinas na qual utilizo NAT, sou seja navegam na internet sem passarem pelas restrições de proxy, entretanto ao aplicar o proxy transparente as maquinas que eram para navegar pela NAT estou saindo pelo porta 3128 (porta do squid) ou seja estão navegando pelo proxy.
Veja as regras que criei para disponibilizar o serviço, e por favor me digam onde estou errando ou me deem um luz:
# Regra Nat p maquina diretor
iptables -t nat -A POSTROUTING -s 192.168.0.2\324 -o ppp0 -j MASQUERADE
# Regra direcionamento squid
iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Lembrando que no squid habilitei a opção:
http_port 3128 transparent
Agradeço desde já
Re: Proxy Transparente + NAT pra host especifico
Boa noite wasley,
No caso vc tem lembrar da regra
o prerouting é para mudar o destino e o postrouting é para mudar a origem.
entao vc tem de acrescentar a seguinte regra ACIMA da regra de proxy transparente
iptables -t nat -A PREROUTING -s 192.168.0.2\24 -p tcp -j ACCEPT
Espero retorno e estrela hein :)
Re: Proxy Transparente + NAT pra host especifico
Bom dia magnorm .
Sua regra funcionou perfeitamente, muito obrigado.
Agora pessoal estou com problemas no proxy transparente, alguns sites (ex: hotmail.com, gmail.com) não estão sendo possível o acesso, mas p problema n se trata de bloqueio de proxy, parece mais alguma coisa no retorno da requisição, sera q esta faltando um regra tipo de FORWARD ou uma outra regra de NAT antes da regra de proxy transparente?
A unica regra de proxy transparente que estou utilizando é:
iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Segue o log do squid ao tentar acessa o site do GMAIL.
1340105591.289 3 192.168.0.18 TCP_HIT/301 784 GET http://www.gmail.com/ - NONE/- text/html
1340105591.651 339 192.168.0.18 TCP_MISS/302 996 GET http://mail.google.com/mail/ - DIRECT/74.125.229.53 text/html
Agradeço desde já
Re: Proxy Transparente + NAT pra host especifico
Existe no firewall a regra
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
pois esses sites como gmail, hotmail e facebook estao usando tudo https. ai vc tem de colocar essa regra ou configurar manualmente o proxy no navegador nas maquinas
Esperando minha estrelinha hein :D
Re: Proxy Transparente + NAT pra host especifico
Não tem a regra
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
Se habilito a regra todas minha rede navega sem proxy pelo MASQUERADE, vou dar uma estudada melhor no assunto e qualquer coisa aviso, de qualquer forma agradeço sua atenção.
Sobre a estrelinha que você comentou é um brincadeira, ou tem como te qualificar no site? se tiver como te qualificar me explica como faço.
grande abraço e obrigado.
Re: Proxy Transparente + NAT pra host especifico
Amigo
vc deve colocar ela no final da lista ou preferencialmente abaixo da regra de proxy transparente ai deve funcionar.
A estrelinha aparece embaixo de cada post que faço. clicando nela vc aumenta minha reputaçao no forum. vc deve escrever algo na caixa que abrir para add a reputaçao ok
Citação:
Postado originalmente por
wasley
Não tem a regra
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
Se habilito a regra todas minha rede navega sem proxy pelo MASQUERADE, vou dar uma estudada melhor no assunto e qualquer coisa aviso, de qualquer forma agradeço sua atenção.
Sobre a estrelinha que você comentou é um brincadeira, ou tem como te qualificar no site? se tiver como te qualificar me explica como faço.
grande abraço e obrigado.
Re: Proxy Transparente + NAT pra host especifico
Amigo, acho que vc deve dar uma analisada melhor na sua estrutura para poder fazer os bloqueios corretamente.
Qualquer duvida estou a disposição.
Re: Proxy Transparente + NAT pra host especifico
Entao amigo resolveu seu problema?
posta ai
Re: Proxy Transparente + NAT pra host especifico
Ola Magnorm,
Ainda tenho problemas como os sites tipo gmail.com e hotmail.com.
O que não estou conseguindo entender, é que por exemplo, a maquina X tem acesso total do proxy mesmo assim quando utilizando o proxy transparente ela n consegue navegar nos sites acima citados, no entanto se configuro o proxy no browser da maquina X ela passa navegar normalmente nos sites acima citados.
Abs e obrigado pela atenção
Re: Proxy Transparente + NAT pra host especifico
a regra de mascaramento foi colocada abaixo da regra de proxy transparente?
se não existir essa regra os as maquinas não navegam.
qualquer coisa vc posta as suas regras para podermos analisar
ok
Re: Proxy Transparente + NAT pra host especifico
Vou postar as regras novamente para aliarmos nossas ideias.
#Regra host especifico
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT
#Regra proxy transparente
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
obrigado
Re: Proxy Transparente + NAT pra host especifico
Acho q n me expressei corretamente, fiz os teste utilizando as regras desta forma abaixo e tb não objetive sucesso, os site do gmail.com não navega.
#Regra host especifico
iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT
#Regra proxy transparente
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE
Re: Proxy Transparente + NAT pra host especifico
a regra está com a barra invertida no endereço. coloca assim
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
já essa maquina especifica também não ta funcionando?
se poder passar todas as regras do firewall.
Re: Proxy Transparente + NAT pra host especifico
A barra errado foi na hora de digitar aqui no forum, estou colocando a barra corretamente.
vou fazer os testes aqui e depois retorno.
Obrigado.
Re: Proxy Transparente + NAT pra host especifico
Agora funcionou!!! tinha um erro nas regras de proxy, erro relacionado a regra das portas 443.
As regras do firewall ficaram assim:
# REGRA HOST ESPECIFICO
iptables -t nat -A POSTROUTING -s 192.168.0.2./32 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT
# REGRA PORXY TRANSPARENTE
iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
Quero agradecer a todos que ajudaram na resolução desse problema.
Re: Proxy Transparente + NAT pra host especifico
marca a estrelinha por ter ajudado :D
Re: Proxy Transparente + NAT pra host especifico
Já te qualifiquei aquele dia! não esta deixando qualificar novamente, deve ter alguma trava p qualificar apenas uma unica.