- squid nat iptables
+ Responder ao Tópico
-
squid nat iptables
não consigo fazer este ´proxy transparente funcionar, redireciono certo da porta 80 para 3128 mas o squid responde que a url é invalida, alguem sabe me responder o que fazer?
script
#!/bin/sh
MP=/sbin/modprobe
IPT=/usr/sbin/iptables
INTRANET=172.16.100.0/24
EXTRANET=10.0.0.0/8
echo -n "Carregando Módulos...."
$MP iptable_nat
$MP ip_nat_ftp
$MP ip_conntrack
$MP ip_conntrack_ftp
echo "."
echo "1" > /proc/sys/net/ipv4/ip_forward
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Setando Proteção contra SPOOF...."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "."
fi
# Politicas
echo -n "Iniciando Políticas...."
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -F
echo "."
# Navegação
echo -n "Iniciando regras NAT...."
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -i eth1 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "."
$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
$IPT -A INPUT -s 169.254.183.96 -i eth1 -j DROP
#echo -n "Redirect pedidos da port 80 para pot 3128 (squid)..."
$IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#echo "."
echo -n "Configurando Serviços..."
# Serviços
$IPT -A INPUT -p tcp -s $EXTRANET --dport 21 -j REJECT #ftp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 22 -j REJECT #ssh
$IPT -A INPUT -p tcp -s $EXTRANET --dport 23 -j REJECT #telnet
$IPT -A INPUT -p tcp -s $EXTRANET --dport 25 -j REJECT #smtp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 53 -j REJECT #dns
$IPT -A INPUT -p tcp -s $EXTRANET --dport 110 -j REJECT #pop3
$IPT -A INPUT -p tcp -s $EXTRANET --dport 111 -j REJECT #rpc
$IPT -A INPUT -p tcp -s $EXTRANET --dport 6000 -j REJECT #X11
echo "."
-
squid nat iptables
Voce consegue pingar em um Valido na Net?
ex 200.204.0.10
A Marcio
-
squid nat iptables
sim consigo, eu acho que o problema está no squid, já que consigo rediercionar as portas o q vc me diz?
-
Danilo_Montagna
Visitante
squid nat iptables
bom.. supondo que o squid esteja instaldo no firewall
vc tem essas duas regras..
$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
uma delas se trata da interface interna do firewall e se vc dropar a mesma.. eles nunca vao chegar no serviço do squid que roda na porta 3128..
retire a regra referente a entrada de pacotes pela interface INTERNA ok?
pois para evitar spoofing vc nao precisa bloquear o trafego que vem da rede interna em direcao a interface interna do firewal.. blz.. pois senao qualquer trafego da rede interna será barrado..
-
squid nat iptables
ai danilo retirei as regras da interface interna e a mesma mensagem continua vindo
-
Danilo_Montagna
Visitante
squid nat iptables
que mensagem é essa?
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-19 11:30, Casp wrote:
ai danilo retirei as regras da interface interna e a mesma mensagem continua vindo
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
-
squid nat iptables
URL FAIL ou ACCESS DENIED???? Se for ACCESS DENIED dá uma olhada no seu squid.conf e procura a linha "http_access deny all" comente ela e coloque embaixo a linha "http_access allow all". E faça ao contrário, em vez de deixar a política da sua rede ACCEPT deixe DROP e só libere o que vc precisar, assim aumenta a segurança e vc tem certeza do que está aberto ou não.
-
squid nat iptables
Se voce consegue pigar das estaçoes na Internet.
O problema pode estar no DNS. os micros podem nao estar resolvendo os IP
voce tambem pode dar um ping www.uol.com.br para tirar esta duvida
caso for isto
aponta o DNS para 200.204.0.10
*** E da uma revisada no seu firewall para ver algo referente ao DNS ***
-
squid nat iptables
ai marcio valeu cara, mas meu dns está resolvendo bem os nomes, consigo pingar pra qualquer host dentro ou fora da minha rede, tambem consigo redirecionar todos os pacotes da porta 80 para a porta do squid, isto ei sei pq o squid retorna uma msg de ivalid URL no IE ou Netscape tanto faz, já modifiquei as regras como o amigo indicouo e nada, tambem com o proxy abilitado eu acesso bem os sites
-
squid nat iptables
Cara neste link abaixo tem a configurações de proxy transparente em sete passos com ipchains, então basta faze-lo para iptables.
http://www.linuxtime.com.br/article.php?sid=36
Marcos Amorim
-
squid nat iptables
ai valeu amorim vou dar uma olhada...
-
squid nat iptables
a mensagem que o squid retorna é essa:
ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: www.terra.com.br
The following error was encountered:
* Invalid URL
Some aspect of the requested URL is incorrect. Possible problems:
* Missing or incorrect access protocol (should be `http://´´ or similar)
* Missing hostname
* Illegal double-escape in the URL-Path
* Illegal character in hostname; underscores are not allowed
Your cache administrator is [email protected].
-
squid nat iptables
Casp,
vc utilizando o proxy não transparente funciona?
Marcos Amorim
-
squid nat iptables
Bahhh Marcos Amorim, erro meu, faltavam quatro linhas no squid.conf:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
ai valeu as dicas e site, só consegui ver o erro depois de um cafe e da tua dica do site...
T+
casp
-
squid nat iptables
Por isso te perguntei se funcionava certinho sem o transparente....
È isso ai mais um problema resolvido
[ OK ]
Marcos Amorim
-
squid nat iptables
Leia este artigo:
Proxy Transparente
falow..