+ Responder ao Tópico



  1. #1

    Padrão Transparente

    Ja fiz de vária maneiras como os colegas dos forum mandaram mas não funciona o proxy transparente, so funciona se eu configurar o proxy manualmente, alguem pode ajudar.

    eth0 rede interna
    eth1 internet

    Meu squid
    http_port 3128 transparent
    visible_hostname Firewall-Lauro

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1
    acl ip_liberado src "/etc/squid/ip_liberado.txt"
    acl ip_restrito src "/etc/squid/ip_restrito.txt"
    acl sites_liberados url_regex -i "/etc/squid/sites_liberados.txt"

    http_access allow ip_liberado
    http_access allow sites_liberados
    http_access deny ip_restrito
    http_access deny all
    Meu iptables
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT
    iptables -A FORWARD -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    Última edição por emerson2703; 14-01-2009 às 17:26.

  2. #2

    Padrão

    e qual erro esta acontecendo ?


    troca por isso aqui a regra

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

  3. #3

    Padrão

    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport 80 -j REDIRECT --to-port 3128

    ------------------------------------------^
    evita uso indevido, não autorizado

  4. #4

    Padrão Não funciona

    Tentei desta maneira mas não funciona, de varias maneiras so funciona se colocar o ip do servidor e a porta.

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
    iptables -A FORWARD -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

    DEsta maneira tambem não funciona
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
    iptables -A FORWARD -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
    desta meneira

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80
    iptables -A FORWARD -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t nat -A PREROUTING -i 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

  5. #5

    Padrão

    deve haver algum engano nessa regra:
    iptables -t nat -A PREROUTING -i 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    porque o -i deveria ser -s (origem), -i é interface, não tem endereço.
    também me parecem desnecessária as regras:
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128-j ACCEPT
    iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80

    uma vez que - imagino - vc não ofereça serviços nessa máquina, mas apenas o fwd.

    façamos o seguinte: ATIVE a regra normalmente e acione nas maquinas clientes pra usarem o proxy MAS.. só uma delas (a sua?) sem indicação, pra que seja transparente. Acrescente regra de log:
    $IPT -t nat -A PREROUTING -s SUA_MAQUINA -p tcp --dport 80 -j LOG --log-prefix "** verificar **"
    essa regra deve vir IMEDIATAMENTE antes da regra de fwd (exemplo):
    $IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport 80 -j REDIRECT --to-port 3128
    essa é aquela que normalmente uso nas empresas; note que uso indicar QUAL a interface de entrada; poderia ser endereço de rede ou TAMBÉM endereço de rede.

    bem.. fique de olho nos logs, em dois terminais, lado a lado:

    tail -f /var/log/messages (neste vc ve o log da regra que vc acrescentou, para SUA_MAQUINA)
    tail -f /var/log/squid/access.log | grep ip_da_sua_maquina (vc avalia O QUE o squid tá fazendo com/por vc).
    ah, aproveite que está com a mão na massa e leia tudo direitinho:

    iptables -L (analise)

    iptables-save (confira com as suas regras do script, pra ver se não falta nada)

    se AINDA não funcionar, amanhã eu posto as regras básicas que uso nas empresas onde já fiz isso - é que tenho que "limpa-las" de informações demais

    divirta-se.

  6. #6

    Padrão

    Amigos, neste momento preciso muito da ajuda de vocês, tenho uma lan house com 13 makinas, uso internet velox de 1mega. devido ao congestionamento da rede por varios acessos, downloads etc, resolvi implementar aki um servidor proxy cache, usando o brazilfw 2.31.10 e o squid 2.7 stable 3.
    As configurações da makina servidor são a seguinte:
    processador amd 1.2 sempron 756 mb de ram hd 40 gb.
    Já instalei os mesmos, não sei c corretamente, mas acontece o seguinte, fiz algumas configurações na tela do webadmin no bfw, pois não sei como acessar os comandos do squid.conf, a principio o cache de download de arquivos funciona bem, mas o cahe de paginas da internet não, a velocidade esta tendendo a ficar lenta ao inves de mais rapida ( acho que um link de 01 mega de velox com squid deveria ficar q nem uma bala)os processos da memoria que acompanho pelo webadmin do bfw acho q estão aumentando muito chegando até 80% e com poucos usuarios e apenas um dia de uso do cache(foi implementado a um dia) não sei por onde começar, não sei por onde ver se o processo esta funcionando legal. uso a linha de ip 192.168.0.1 , na lan house eu queria bloquear dounloads de extensões mp3, amv, rmvb , mp4. e tambem fazer um proxy transparente.
    ter um cache de paginas grande, um cache de arquivos de download e youtube..
    Mas é bem complicado, já vi varios tópicos a respeito, mas na verrdade quando se é leigo em um assunto se não contarmos com alguem p/ darmos os primeiros passos é bem dificil, sendo assim gostaria se possivel contar c/ a solidariedade dos amigos desta renomada comunidade.

    Obrigado.... msn: [email protected].

  7. #7

    Padrão

    bem, em principio:
    a) conviria abrir um novo trédi, ao invés de acrescentar em um quase-fechado
    b) o "empacotador" do produto - brazilfw - deveria dar suporte para vc; vc pediu isso?
    c) está instalado como o gateway da rede? se NÃO estiver, a configuração é MUITO diferente; qual o topologico/posição dele na sua rede?

    vc tem acesso à um terminal para linha de comando, possivelmente pela interface mesmo? se tem, então comecemos:
    no geral:
    # top
    verifique o "load average" - não deve ser acima de 2, idealmente abaixo de 1. Se acima de 2 (ou próximo), verifique:
    swap utilizado - se estiver usando, indica que vc tem pouca ram para os processos
    veja QUEM (processo) está usando muita CPU
    #df -h - pra ver se o disco ainda tem espaço útil ou se está "estrangulado"

    no squid:
    transparente? ou vc tem que marcar em TODOS os browser's pra usa-lo?
    #tail -f /var/log/squid/access.log --> pra ver se está registrando os acessos

    PARE o squid e inicie-o (ainda no terminal):
    squid -z -d 9 -D
    anote CUIDADOSAMENTE qualquer mensagem de erro que surja

    bem.. é por enquanto; anote tudo direitinho, ANALISE E ORGANIZE as informações e poste novamente.

    divirta-se.
    Última edição por irado; 18-01-2009 às 08:04.

  8. #8

    Padrão

    Citação Postado originalmente por irado Ver Post
    bem, em principio:
    a) conviria abrir um novo trédi, ao invés de acrescentar em um quase-fechado
    b) o "empacotador" do produto - brazilfw - deveria dar suporte para vc; vc pediu isso?
    c) está instalado como o gateway da rede? se NÃO estiver, a configuração é MUITO diferente; qual o topologico/posição dele na sua rede?

    vc tem acesso à um terminal para linha de comando, possivelmente pela interface mesmo? se tem, então comecemos:
    no geral:
    # top
    verifique o "load average" - não deve ser acima de 2, idealmente abaixo de 1. Se acima de 2 (ou próximo), verifique:
    swap utilizado - se estiver usando, indica que vc tem pouca ram para os processos
    veja QUEM (processo) está usando muita CPU
    #df -h - pra ver se o disco ainda tem espaço útil ou se está "estrangulado"

    no squid:
    transparente? ou vc tem que marcar em TODOS os browser's pra usa-lo?
    #tail -f /var/log/squid/access.log --> pra ver se está registrando os acessos

    PARE o squid e inicie-o (ainda no terminal):
    squid -z -d 9 -D
    anote CUIDADOSAMENTE qualquer mensagem de erro que surja

    bem.. é por enquanto; anote tudo direitinho, ANALISE E ORGANIZE as informações e poste novamente.

    divirta-se.
    Tudo bom Irado? Obrigado por responder ao topico:
    a) O que é mesmo um trédi?
    b) Eu não sei onde fica o empacotador do bfw!
    c) Sim ele esta como gatway da rede
    Infelismente tambem não sei em qual posição da rede ele ocupa, ele esta com o ip 192.168.0.1.
    Em questão ao terminal eu poço ligar um teclado dirto na makina e acessar ela, essas opções q vc disse ai depois de "top" eu não sei bem como acessar elas, e quero usar como proxy transparente, ou vc ache melhor manual?
    Obrigado por hora, aguardo se possivel sua ajuda, Deus te abençõe....

  9. #9

    Padrão

    ROTFL - pelo visto essa história vai longe.
    bem, eu vou tentar ajudar vc até o limite da minha incompetencia, não espere muito

    trédi - corruptela de "thread", ou seja, esta longa sucessão (cadeia) de posts (aqui chamados de "topico"). Vc postou numa sucessão de posts que (eventualmente) tratavam marginalmente do seu assunto, teria sido melhor abrir um tópico novo aqui no under.

    "Eu não sei onde fica o empacotador do bfw!"

    bem.. por "empacotador" eu me referia ao fabricante ou revendedor/instalador disso aí (suponho não tenha sido vc); então, quem vende/instala é (ou deveria) ser responsável pelo produto. Então, a pergunta é: vc tentou contato com o fabricante/vendedor/instalador disso aí, que tenha feito o serviço pra vc?

    se tem certeza de que ele é o gw da rede, tudo bem, é a primeira máquina. Então vamos lá:

    vc tem senha de root nessa máquina? se tem, ponha um monitor/teclado lá e acesse o prompt do console:

    # <-- isso aqui é PARTE do prompt de console do root. Podem existir montes de informações, nomes, hora/região, mas TERMINA com '#', tendeu?

    estando então no console, o resto são comandos (aqueles que te passei):

    top - mostra um monte de informações, nas primeiras linhas; veja o da minha máquina:

    top - 13:26:37 up 1 day, 5:52, 4 users, load average: 1.97, 1.04, 0.84
    Tasks: 117 total, 2 running, 115 sleeping, 0 stopped, 0 zombie
    Cpu(s): 35.3%us, 6.3%sy, 4.0%ni, 53.8%id, 0.7%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 255532k total, 182420k used, 73112k free, 1664k buffers
    Swap: 497972k total, 231532k used, 266440k free, 62208k cached

    as informações importantes são as do load average (sempre menor que 2), não podem haver "zombies" (0 zombies) e, tanto quanto possivel, não deve usar swap (a minha está usando mas com 256k, fazer o q?)

    depois, abaixo da linha que diz:
    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

    vc vai ver os processos que estão usando MUITA memoria e/ou MUITA cpu (na linha vc logo vê do que estou falando)

    pra parar o squid - primeiro verifique se o teu pessoal não vai ficar bloqueado - ache o processo:

    [root@irado:~#]: netstat -nlpt

    encontre a linha que indica o squid:

    tcp 0 0 127.0.0.1:3128 0.0.0.0:* OUÇA 4654/(squid)

    veja bem: como estou usando a MINHA máquina, os dados podem diferir, espero que esteja acompanhando.

    vamos "matar" o processo do squid:

    #killall -15 4654 (o pid que vc encontrou ali em cima)

    o -15 é um modo "educado" de "matar" um processo, como usar veneno na veia - dá tempo dele fechar os arguivos, encerrar seus negócios, transferir dinheiro pros parentes, sabe como é?

    se o squid se rebelar e não "morrer" (veja com o netstat de novo), use -9 na linha de comando; é um modo menos.. elegante (eu ia dizer estúpido, mas sou educadinho também).. mais ou menos como uma calibre doze encostada no céu da boca. É irremediável e inapelável.

    bem, aí vem o squid -z (etc, etc).

    tá bão? mais claro que isso acho que só o magnum faria.

    divirta-se.

  10. #10

    Padrão

    Citação Postado originalmente por irado Ver Post
    ROTFL - pelo visto essa história vai longe.
    bem, eu vou tentar ajudar vc até o limite da minha incompetencia, não espere muito

    trédi - corruptela de "thread", ou seja, esta longa sucessão (cadeia) de posts (aqui chamados de "topico"). Vc postou numa sucessão de posts que (eventualmente) tratavam marginalmente do seu assunto, teria sido melhor abrir um tópico novo aqui no under.

    "Eu não sei onde fica o empacotador do bfw!"

    bem.. por "empacotador" eu me referia ao fabricante ou revendedor/instalador disso aí (suponho não tenha sido vc); então, quem vende/instala é (ou deveria) ser responsável pelo produto. Então, a pergunta é: vc tentou contato com o fabricante/vendedor/instalador disso aí, que tenha feito o serviço pra vc?

    se tem certeza de que ele é o gw da rede, tudo bem, é a primeira máquina. Então vamos lá:

    vc tem senha de root nessa máquina? se tem, ponha um monitor/teclado lá e acesse o prompt do console:

    # <-- isso aqui é PARTE do prompt de console do root. Podem existir montes de informações, nomes, hora/região, mas TERMINA com '#', tendeu?

    estando então no console, o resto são comandos (aqueles que te passei):

    top - mostra um monte de informações, nas primeiras linhas; veja o da minha máquina:

    top - 13:26:37 up 1 day, 5:52, 4 users, load average: 1.97, 1.04, 0.84
    Tasks: 117 total, 2 running, 115 sleeping, 0 stopped, 0 zombie
    Cpu(s): 35.3%us, 6.3%sy, 4.0%ni, 53.8%id, 0.7%wa, 0.0%hi, 0.0%si, 0.0%st
    Mem: 255532k total, 182420k used, 73112k free, 1664k buffers
    Swap: 497972k total, 231532k used, 266440k free, 62208k cached

    as informações importantes são as do load average (sempre menor que 2), não podem haver "zombies" (0 zombies) e, tanto quanto possivel, não deve usar swap (a minha está usando mas com 256k, fazer o q?)

    depois, abaixo da linha que diz:
    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

    vc vai ver os processos que estão usando MUITA memoria e/ou MUITA cpu (na linha vc logo vê do que estou falando)

    pra parar o squid - primeiro verifique se o teu pessoal não vai ficar bloqueado - ache o processo:

    [root@irado:~#]: netstat -nlpt

    encontre a linha que indica o squid:

    tcp 0 0 127.0.0.1:3128 0.0.0.0:* OUÇA 4654/(squid)

    veja bem: como estou usando a MINHA máquina, os dados podem diferir, espero que esteja acompanhando.

    vamos "matar" o processo do squid:

    #killall -15 4654 (o pid que vc encontrou ali em cima)

    o -15 é um modo "educado" de "matar" um processo, como usar veneno na veia - dá tempo dele fechar os arguivos, encerrar seus negócios, transferir dinheiro pros parentes, sabe como é?

    se o squid se rebelar e não "morrer" (veja com o netstat de novo), use -9 na linha de comando; é um modo menos.. elegante (eu ia dizer estúpido, mas sou educadinho também).. mais ou menos como uma calibre doze encostada no céu da boca. É irremediável e inapelável.

    bem, aí vem o squid -z (etc, etc).

    tá bão? mais claro que isso acho que só o magnum faria.

    divirta-se.

    #top esta assim:

    mem: 29468k used, 712380 free, ok shrd, 1724k buff, 12896k cached
    load averange: 0.00 0.00 0.00
    antes ele tava 0. alguma coisa
    isso sem ninguem usar, tirei ele da rede pois mudei algumas configurações ontem e o mesmo parou ne conectar na net, os teste mostram gatway, dns e o resto ok mas não conecta.
    mudei apenas o cache memo de 128 p/ 256, as redes p/ o squid q na verdade não sei como deve ficar, estava em 192.168.0.1/24 coloquei em 192.168.0.0/24
    mudei o cache de disco que estava em 10000 mb p/ 20.000 mb
    as conexões por usuarios estavam em 0 coloquei em 1000
    ai reiniciei parou de conectar
    depois voltei tudo atrás e msmo assim não conecta mais
    embora os teste mostram q tá tudo ok...
    foi eu mesmo q instalei tudo, então preciso de ajuda p/ configurar tudo do zero!

  11. #11

    Padrão Transparente

    Citação Postado originalmente por LASERNET Ver Post
    Amigos, neste momento preciso muito da ajuda de vocês, tenho uma lan house com 13 makinas, uso internet velox de 1mega. devido ao congestionamento da rede por varios acessos, downloads etc, resolvi implementar aki um servidor proxy cache, usando o brazilfw 2.31.10 e o squid 2.7 stable 3.
    As configurações da makina servidor são a seguinte:
    processador amd 1.2 sempron 756 mb de ram hd 40 gb.
    Já instalei os mesmos, não sei c corretamente, mas acontece o seguinte, fiz algumas configurações na tela do webadmin no bfw, pois não sei como acessar os comandos do squid.conf, a principio o cache de download de arquivos funciona bem, mas o cahe de paginas da internet não, a velocidade esta tendendo a ficar lenta ao inves de mais rapida ( acho que um link de 01 mega de velox com squid deveria ficar q nem uma bala)os processos da memoria que acompanho pelo webadmin do bfw acho q estão aumentando muito chegando até 80% e com poucos usuarios e apenas um dia de uso do cache(foi implementado a um dia) não sei por onde começar, não sei por onde ver se o processo esta funcionando legal. uso a linha de ip 192.168.0.1 , na lan house eu queria bloquear dounloads de extensões mp3, amv, rmvb , mp4. e tambem fazer um proxy transparente.
    ter um cache de paginas grande, um cache de arquivos de download e youtube..
    Mas é bem complicado, já vi varios tópicos a respeito, mas na verrdade quando se é leigo em um assunto se não contarmos com alguem p/ darmos os primeiros passos é bem dificil, sendo assim gostaria se possivel contar c/ a solidariedade dos amigos desta renomada comunidade.

    Obrigado.... msn: [email protected].

    Man, abrir este topico para que meu firewall funcione transparente para que os colegas ajudarem me ajudar e ajudar outras pessoas com a mesma dificuldade, ai você chega lança um topico que não tem nada a ve com o assunto discutido no momento, o ideal era você abrir um novo topico enão utilizar um topico criado relacionado a um tema e colocar outra questão, espero que me compreenda.

    fico grato.

  12. #12

    Padrão

    Citação Postado originalmente por emerson2703 Ver Post
    Man, abrir este topico para que meu firewall funcione transparente para que os colegas ajudarem me ajudar e ajudar outras pessoas com a mesma dificuldade, ai você chega lança um topico que não tem nada a ve com o assunto discutido no momento, o ideal era você abrir um novo topico enão utilizar um topico criado relacionado a um tema e colocar outra questão, espero que me compreenda.

    fico grato.

    Me desculpe amigo, minha intenção não era esta, mas preciso de ajuda, se você poder me ajudar ficarei grato.

  13. #13

    Padrão

    Olá LASERNET.

    Por questões de organização do fórum e para facilitar a localização de informações cada tópico deve ter apenas um assunto. Por favor abra um novo tópico solicitando ajuda. Creio que muitas pessoas irão te ajudar.

    Infelizmente se esse tópico continuar a fugir do assunto inicial (ajuda com Proxy transparente) teremos que trancar o tópico!

    Obrigado pela compreensão!

  14. #14

    Padrão iptables

    Conseguir colocar as estações para funcionar como transparente era o dns