squid e firewall em servidores separados

Bom Dia Senhores,
Tenho uma dúvida que acredito ser de fácil solução.

Tenho 2 servidores, um antigo que roda o firewall e squid (transparente).
a regra do firewall é simples
#iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 80 -j REDIRECT --to-port 3128

gostaria de continuar com o firewall no antigo e passar o squid transparente para o novo server, porém, eles estão longe fisicamente (tornando-se difícil ligar a rede externe nele).

Como faço para ele redirecionar do Servidor velho para a porta 3128 do server novo onde já está o squid transparente?

Consegui ser claro?
Muito Obrigado pela ajuda pessoal!!!!

Hummmm, assim oh:

Código :

---

# iptables -t nat -A PREROUTING -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to-destination $IPSQUID:3128

---

Abraços!

Fala Stéfano
eu fiz o que me falou...deu este erro....

iptables v1.3.3: Unknown arg `--to-destination' Try `iptables -h' or 'iptables --help' for more information.

Alguma dica?

Hummmm... dependendo da versão não aceita esse argumento... tenta só --to no final!

--to $ipsquid sem a porta

cara...

tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...

eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...

logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...

vou postar as regras que testei aqui...

estas foram as regras que testei...

acho q a segunda funcionou...

IP_REDE=ip's da rede interna
IR_REDE_INT=eth ligada a rede interna
IP_GW=ip do gateway - para rede interna
SQUID_BOX=ip do micro proxy

# Configurações para proxy

# Configuração usada para que quando o firewall também for servidor http a requisição não passe pelo proxy
#$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT

# Configuração usada quando o servidor proxy está em outra máquina que não seja o Firewall
# Configuração - 01

#$IPT -t nat -A PREROUTING -s $SQUID_BOX -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT
#$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -p tcp -m tcp --dport 80 -j DNAT --to 10.0.0.10:3128
#$IPT -t nat -A POSTROUTING -s $IP_REDE -o $IR_REDE_INT -d $SQUID_BOX -j MASQUERADE
#$IPT -t filter -A FORWARD -s $IP_REDE -i $IR_REDE_INT -d $SQUID_BOX -o $IR_REDE_INT -p tcp -m tcp --dport 3128 -j ACCEPT


# Configuração - 02
# Obs.: usando esta configuração é necessário adicionar a regra de redirecionamento de porta no squid-box
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

#$IPT -t mangle -A PREROUTING -p tcp --dport 80 -s 10.0.0.10 -j ACCEPT
#$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 3
#ip rule add fwmark 3 table 2
#ip route add default via 10.0.0.10 dev eth0 table 2

é isso....

Citação:

---

Postado originalmente por lucianogf

cara...

tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...


eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...

logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...

vou postar as regras que testei aqui...

---

Cria uma excessão na regra de firewall com o operador "!". Algo tipo isso:

Código :

---

# iptables -t nat -A PREROUTING -s ! $IPSQUID -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to $IPSQUID

---

Eu acho que vai funcionar, não testei, porque a tabela NAT tem umas viadagens com origem, destino, etc.


Abraços!

cara...

mas ainda falta o FORWARD né?

lembro q na época q tentei fazer isso estava bem mais verde do q hj em termos de iptables...

mas não foi muito fácil não...

eu segui o how-to do squid-box...

Citação:

---

Postado originalmente por lucianogf

cara...

mas ainda falta o FORWARD né?

---

Não entendi, hehehe.

é q vc postou a regra de PREROUTING, mas ainda precisa fazer o FORWARD dos pacotes dos micros clientes para o squid-box, correto?

Não, a menos que você esteja utilizando política DROP no seu firewall. Caso esteja, é só liberar o forward... =)

sim.. justamente...

é q, eu particularmente, utilizo politica DROP como padrão...