+ Responder ao Tópico



  1. #1

    Smile Problemas com Squid Proxy Transparente e Contas Gmail

    Pessoal... montei o meu servidor squid.... esta rodando 90%, mas tenho dois problema nele...

    1.º Não esta rodando o proxy transparente como era pare ser
    Alterei o squid.conf, adicionei os comandos no /etc/rc.d/rc.local

    # modprobe iptable_nat
    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    mas nada do proxy funcionar....

    2º. depois do colocar o squid para rodar não concegui mais recber e-mails do GMAIL pelo outlook provavelmente devo liberar as portas SSL ?

    Squid.conf
    _______________________
    http_port 3128
    visible_hostname DIPLOMATA

    # Configuração do cache
    cache_mem 32 MB
    maximum_object_size_in_memory 64 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256

    # Localização do log de acessos do Squid
    cache_access_log /var/log/squid/access.log

    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    # Libera para a rede local
    acl redelocal src 192.168.1.0/24
    http_access allow localhost
    http_access allow redelocal

    # Bloqueia acessos externos
    http_access deny all

    # Proxy transparente
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    Abraço... Obrigado

  2. #2

    Padrão

    kra, dá alguma mensagem de erro, ou apenas nao navega ??

    e outra, qual sua política padrao de firewall ?? é DROP ?

    eu fiz a proeza uma vez de colocar politica padrao DROP, jogar o trafego da 80 para a 3128, mas tinha esquecido de liberar a porta 3128.

    aí nao navegava mesmo


    ve ae e posta

  3. #3

    Padrão

    Kra veja bem pq o squid e um firewall a nivel de aplicação (camada 7 OSI) qu e trabalha especificamente na porta 80, tanto é que no firewall vc mandou redirecionar apenas a porta 80 pro squid: "iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128"
    O https trabalha na porta 443

    outra coisa, qd vc vai la no navegador e marca a opção de Proxy manual cetando o seu proxy como fica?

    Uma dica, seu squid.conf mude esta linha:
    http_port 3128
    para:
    http_port 192.168.0.1:3128

    No caso eu coloquei o IP 192.168.0.1 como exemplo + coloque o do seu server la, isso serve pra evitar q pessoas não autorizadas usem seu proxy sem q vc saiba, fazendo isso vc limita seu proxy somente a sua rede interna.

  4. #4

    Padrão

    ixxx... eu não mexi no firewal não... tenho que adicionar essas linhas de comando no firewal.... e qual o arquivo para ser editado ???

    # modprobe iptable_nat
    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

  5. #5

    Padrão

    O Squid não trabalha com SSL quando setado como transparente. Você tem que passar esse tráfego via um NAT convencional.

  6. #6

    Padrão

    Citação Postado originalmente por erolf Ver Post
    ixxx... eu não mexi no firewal não... tenho que adicionar essas linhas de comando no firewal.... e qual o arquivo para ser editado ???

    # modprobe iptable_nat
    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    Kra existe um firewall iptables ai ? Se num tive ja na hora de implementa...
    Agora se tive ai vc tem q v com quem implemento onde ta o script, esse negocio de script de firewall e foda dos q eu vi cada um coloca o seu em um lugar diferente e com nome diferente, eu por exemplo crio uma pasta scripts em / e coloco todos os scripts meus la, no meu caso o meu script de firewall eu chamo de firewall.sh.

    Agora vc disse anteriormente q tinha colocado esses comandos em /etc/rc.d/rc.local se vc fez isso entao ta blz pq esse arquivo inicia junto com o sistema, portanto essas regras são carregadas.

  7. #7

    Padrão

    Citação Postado originalmente por tuxson Ver Post
    Kra veja bem pq o squid e um firewall a nivel de aplicação (camada 7 OSI) qu e trabalha especificamente na porta 80, tanto é que no firewall vc mandou redirecionar apenas a porta 80 pro squid: "iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128"
    O https trabalha na porta 443

    outra coisa, qd vc vai la no navegador e marca a opção de Proxy manual cetando o seu proxy como fica?

    Uma dica, seu squid.conf mude esta linha:
    http_port 3128
    para:
    http_port 192.168.0.1:3128

    No caso eu coloquei o IP 192.168.0.1 como exemplo + coloque o do seu server la, isso serve pra evitar q pessoas não autorizadas usem seu proxy sem q vc saiba, fazendo isso vc limita seu proxy somente a sua rede interna.
    é isso mesmo... a regra de redirecionamento está tratando apenas da porta 80, então não é pra ter influência alguma sobre o recebimento de e-mails através do outlook...

    veja se não existe alguma outra regra de iptables com os comandos:

    # iptables -L -n -v -t filter
    # iptables -L -n -v -t nat
    # iptables -L -n -v -t mangle
    com estes comandos é pra aparecer regras apenas na tabela nat, em PREROUTING e POSTROUTING...

    veja também com está a política padrão, é pra estarem ACCEPT em todas...

    bom para testes e aprendizagem, vá por eliminatória, tire a regra de redirecionamento, tire o proxy, deixe tudo liberado, se funciona, ative o proxy, sete manualmente o proxy no programa, volte como proxy transparente.. e assim vai...

    valeu

  8. #8

    Padrão

    bom... deixa eu entender melhor....
    tenho o arquivo /etc/rc.d/rc.local certo... la eu tenho os comandos:

    # modprobe iptable_nat
    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    tendo isso não precisso mecher em firewall nada.....

    fiz alguns teste... seu eu desativar o proxy no navegador - não funciona
    se eu ativar o proxy no navegador colocar o ip do servidor 192.168.0.1 e na porta colocar 80... funciona....
    que eu entendo que ele esta redirecionando para a porta 80 mas não esta achando o ip do servidor....???


    Agradeço a todos.. pela ajuda.

  9. #9

    Padrão

    cara...

    é assim, quando você seta manualmente o proxy no navegador, você irá colocar os seguintes dados:
    - ip do servidor proxy
    - porta do proxy

    neste caso a porta é a 3128 e não a 80...

    quando você usa proxy transparente, coloca-se a regra de redirecionamento do iptables, esta regra joga o tráfego da porta 80 para a 3128 que é a porta do proxy,.. assim não precisa configurar nada no navegador...

    pelo que deu a entender, você configurou no navegador para usar a porta 80, mas você deve colocar a 3128...

  10. #10

    Padrão

    sim... sim... isso eu sei....

    seu expecificar a porta 80 no lugar da 3128... e funcionar é por esta redirecionando as portas... mas não esta localizando o ip do proxy...

    esse é o meu problema.... seu deixar tudo sem proxy... até navega... mas colocando o ip do site.. no lugar do endereço....
    Última edição por erolf; 26-02-2007 às 15:23.

  11. #11

    Padrão

    Citação Postado originalmente por erolf Ver Post
    bom... deixa eu entender melhor....
    tenho o arquivo /etc/rc.d/rc.local certo... la eu tenho os comandos:

    # modprobe iptable_nat
    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    # echo 1 > /proc/sys/net/ipv4/ip_forward
    # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    tendo isso não precisso mecher em firewall nada.....
    Kra + pelo q vc citou ai se as linhas tiverem fielmente copiadas elas estao comentadas....

    O sinal de "#" significa que é pro sistema ignorar a linha

  12. #12

    Padrão

    só funciona se você colocar o IP do site??? se colocar o endereço não funciona??? se estiver ocorrendo isso é problema de DNS...