squid e firewall em servidores separados
Bom Dia Senhores,
Tenho uma dúvida que acredito ser de fácil solução.
Tenho 2 servidores, um antigo que roda o firewall e squid (transparente).
a regra do firewall é simples
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 80 -j REDIRECT --to-port 3128
gostaria de continuar com o firewall no antigo e passar o squid transparente para o novo server, porém, eles estão longe fisicamente (tornando-se difícil ligar a rede externe nele).
Como faço para ele redirecionar do Servidor velho para a porta 3128 do server novo onde já está o squid transparente?
Consegui ser claro?
Muito Obrigado pela ajuda pessoal!!!!
Re: squid e firewall em servidores separados
Hummmm, assim oh:
Código :
# iptables -t nat -A PREROUTING -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to-destination $IPSQUID:3128
Abraços!
Re: squid e firewall em servidores separados
Fala Stéfano
eu fiz o que me falou...deu este erro....
iptables v1.3.3: Unknown arg `--to-destination' Try `iptables -h' or 'iptables --help' for more information.
Alguma dica?
Re: squid e firewall em servidores separados
Hummmm... dependendo da versão não aceita esse argumento... tenta só --to no final!
Re: squid e firewall em servidores separados
--to $ipsquid sem a porta
Re: squid e firewall em servidores separados
cara...
tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...
eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...
logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...
vou postar as regras que testei aqui...
Re: squid e firewall em servidores separados
estas foram as regras que testei...
acho q a segunda funcionou...
IP_REDE=ip's da rede interna
IR_REDE_INT=eth ligada a rede interna
IP_GW=ip do gateway - para rede interna
SQUID_BOX=ip do micro proxy
# Configurações para proxy
# Configuração usada para que quando o firewall também for servidor http a requisição não passe pelo proxy
#$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT
# Configuração usada quando o servidor proxy está em outra máquina que não seja o Firewall
# Configuração - 01
#$IPT -t nat -A PREROUTING -s $SQUID_BOX -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT
#$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -p tcp -m tcp --dport 80 -j DNAT --to 10.0.0.10:3128
#$IPT -t nat -A POSTROUTING -s $IP_REDE -o $IR_REDE_INT -d $SQUID_BOX -j MASQUERADE
#$IPT -t filter -A FORWARD -s $IP_REDE -i $IR_REDE_INT -d $SQUID_BOX -o $IR_REDE_INT -p tcp -m tcp --dport 3128 -j ACCEPT
# Configuração - 02
# Obs.: usando esta configuração é necessário adicionar a regra de redirecionamento de porta no squid-box
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPT -t mangle -A PREROUTING -p tcp --dport 80 -s 10.0.0.10 -j ACCEPT
#$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 3
#ip rule add fwmark 3 table 2
#ip route add default via 10.0.0.10 dev eth0 table 2
é isso....
Re: squid e firewall em servidores separados
Citação:
Postado originalmente por lucianogf
cara...
tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...
eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...
logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...
vou postar as regras que testei aqui...
Cria uma excessão na regra de firewall com o operador "!". Algo tipo isso:
Código :
# iptables -t nat -A PREROUTING -s ! $IPSQUID -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to $IPSQUID
Eu acho que vai funcionar, não testei, porque a tabela NAT tem umas viadagens com origem, destino, etc.
Abraços!
Re: squid e firewall em servidores separados
cara...
mas ainda falta o FORWARD né?
Re: squid e firewall em servidores separados
lembro q na época q tentei fazer isso estava bem mais verde do q hj em termos de iptables...
mas não foi muito fácil não...
eu segui o how-to do squid-box...
Re: squid e firewall em servidores separados
Citação:
Postado originalmente por lucianogf
cara...
mas ainda falta o FORWARD né?
Não entendi, hehehe.
Re: squid e firewall em servidores separados
é q vc postou a regra de PREROUTING, mas ainda precisa fazer o FORWARD dos pacotes dos micros clientes para o squid-box, correto?
Re: squid e firewall em servidores separados
Não, a menos que você esteja utilizando política DROP no seu firewall. Caso esteja, é só liberar o forward... =)
Re: squid e firewall em servidores separados
sim.. justamente...
é q, eu particularmente, utilizo politica DROP como padrão...