Como criando nova faixa de endereço de rede no servidor proxy rodando o squid?

[saveironorte]

Olá, amidos do fórum preciso criar uma faixa de rede diferente em um servidor Proxy sendo que está faixa terá que sair para a internet e passar também pelo Proxy transparente do mesmo jeito que esta a outra.
Alguém poderia me ajudar ?

[saveironorte]

olá amidos do forun preciso criar uma faixa de rede diferente em um servidor proxy sendo que ésta faixa tera que sair para a internet e passar tambem pelo proxy tranparente do mesmo jeito que esta a outra.
Aguem poderia me ajudar ?

Agora já conseguir mais pintou outra duvida como faço para a nova faixa que criei passar pelo Proxy?
Consigo pingar pra todo lugar do planeta mais não navega. Na minha santa iguinorancia acredito, que é no squid que tenho que alterar alguma coisa se alguém poder me dar uma dica ficarei agradecido!

[trober]

Agora já conseguir mais pintou outra duvida como faço para a nova faixa que criei passar pelo proxy?
Consigo pingar pra todo lugar do planeta mais não navega. Na minha santa iguinorancia acredito que é no squid que tenho que alterar alguma coisa se alguem poder me dar uma dica ficarei agradecido!

Boa tarde.

Com a finalidade de tornar mais elucidativo seu cenário, por gentileza, faça um breve diagrama de sua rede. Pode ser em ASCII mesmo, conforme o exemplo abaixo:

Código :

.
.
.
.200.10.0.1-------(link01)------------------|    
.200.20.0.1-------(link02)----------------| |
.200.30.0.1-------(link03)--------------| | |
.200.40.0.1-------(link04)------------| | | |   
.200.50.0.1-------(link05)----------| | | | |   
.200.60.0.1-------(link06)------- | | | | | |   
.200.70.0.1-------(link07)------| | | | | | |   
.                               | | | | | | |
.                               1 2 3 4 5 6 7   
.                            [RouterBoard 1200]
.                                  (RTR00)
.                               8          9
.                               |          |
.                               |          |
.                               e1         e1
.                            [RB411AR]  [RB411AR]
.                             (RTR01)    (RTR02)
.                               w1        w1
.                               /          /
.                               \          \
.                               /          /
.                               \          \
.                               /          /
.                               \          \
.                               /          /
.                               w1         w1
.                           [RB411AR]   [RB411AR]
.                            (RTR03)     (RTR04)
.                               e1         e1
.                               |          |
.                               |          |
.                               |          |
.                               em1       em2
.                                [FreeBSD]
.                                   em0
.                                    |
.                                    |
.                                    |
.                                    |
.                               [Cliente]
.
.
.

Saudações,

Trober
-
-
-
-
-

[trober]

olá amidos do forun preciso criar uma faixa de rede diferente em um servidor proxy sendo que ésta faixa tera que sair para a internet e passar tambem pelo proxy tranparente do mesmo jeito que esta a outra.
Aguem poderia me ajudar ?

Boa tarde.

Também fica a sugestão de usar um corretor ortográfico antes de publicar/responder. Se você possuir instalado o Microsoft Office ou Oracle OpenOffice, é só abrir um novo documento, compor o texto e pressionar F7. Com isso, o processo de correção será iniciado.

Se não possuir um desses editores no momento da composição da mensagem, pode usar um corretor on-line[1], de uso gratuito.

Com as correções aplicadas, suas mensagens serão mais claras, e de fácil entendimento aos demais colegas, aumentando assim a chance de êxito nas réplicas

[1] http://www.flip.pt/FLiP-On-line/Corr...intactico.aspx

Saudações,

Trober
-
-
-
-
-

[saveironorte]

Pô cara é simples, tenho um servidor Proxy com duas placas de rede (Eth0 recebe o link da Embratel)
Na Eth1 é a interface dos clientes com a faixa (10.0.0.0/24)
Agora preciso que a mesma Eth1 tenha uma faixa com (10.0.1.0/24)
Mais isso já conseguir, mais agora o endereço desta faixa não navega ele pinga pra fora mas não navega . Eu acredito que é alguma configuração no Squid que tenho que mudar.

[trober]

Pô cara é simples, tenho um servidor Proxy com duas placas de rede (Eth0 recebe o link da Embratel)
Na Eth1 é a interface dos clientes com a faixa (10.0.0.0/24)
Agora preciso que a mesma Eth1 tenha uma faixa com (10.0.1.0/24)
Mais isso já conseguir, mais agora o endereço desta faixa não navega ele pinga pra fora mas não navega . Eu acredito que é alguma configuração no Squid que tenho que mudar.

Boa noite.

Então é o caso de você publicar seu squid.conf e suas regras de firewall.

No squid.conf, veremos os ACLs. Nas suas regras de firewall, serão observados os redirecionamentos.

Saudações,

Trober
-
-
-
-
-

[demattos]

bom dia, vamos ver, vc tem duas redes de saida um 10.0.0.1 e outra 10.0.1.1 e isto, ta isto passa por um firewall? vc criou as regras de acls para esta nova rede? se possivel coloca para nos analizar o teu script no squid.conf e tuas regras de firewall que ajudaremos

[saveironorte]

# Aqui vai o meu SQUID 2.7.STABLE7
# ----------------------------
http_port 3128 transparent
visible_hostname net point
error_directory /usr/share/squid/errors/Portuguese/
cache_mem 100 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 100 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 100000 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redelocal src 10.0.0.0/28
acl redelocal:1 src 10.0.1.0/24 #está é a acl da nova faixa

#Banner do msn
acl ADSAdClien url_regex -i ADSAdClien
http_access deny ADSAdClien
deny_info http://10.0.0.1/var/www/banner/msn.JPG.html ADSAdClien

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl proibidos dstdom_regex "/etc/squid/proibidos"
acl youtubecache dstdomain .youtube.com

#nega cache do youtube
cache deny youtubecache

http_access deny proibidos
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow redelocal
http_access allow redelocal:1 # está é a regra que aceita a nova faixa
http_access deny all

#url_rewrite_children 200
#acl store_rewrite_list url_regex -i "/etc/squid/thunder.lst"
#url_rewrite_access allow store_rewrite_list
#url_rewrite_access deny all
#url_rewrite_program /etc/squid/loader.php

#nega cache local

acl localcache dstdomain 10.0.0.1
cache deny localcache

# final do meu squid.conf

######### aqui o meu FIREWALL

#!/bin/sh -e
#carrega os modolos
modprobe ip_tables
modprobe iptable_nat

#compartilha a conexão
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


#bloqueia icmp externo
#iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP
#iptables -t filter -A INPUT -i eth0 -p icmp -j DROP
#iptables -t filter -A OUTPUT -o eth0 -p icmp -j ACCEPT

#abre para a rede local
iptables -A INPUT -p tcp --syn -j ACCEPT
#protesao diversas
#iptables -A OUTPUT -d uol.com.br -j DROP

#fecha todo o resto
iptables -A INPUT -p tcp --syn -j DROP

#######FINAL DO FIREWALL

Agradeço a todos os amigos que estão ajudando! ( obridagado )

[trober]

# Aqui vai o meu SQUID 2.7.STABLE7
# ----------------------------

acl redelocal src 10.0.0.0/28
acl redelocal:1 src 10.0.1.0/24 #está é a acl da nova faixa


http_access allow redelocal
http_access allow redelocal:1 # está é a regra que aceita a nova faixa


#######FINAL DO FIREWALL

Agradeço a todos os amigos que estão ajudando! ( obridagado )

Bom dia.

Encontrei o que provavelmente é um erro de configuração no seu squid.conf, mas que no entanto, não foi identificado pelo parsing (squid -k parse).

Você está empilhando de forma equivocada endereços em um ACL. Conforme o manual[1] de ACLs do Squid, a acumulação não se dá por ":" (dois pontos), como se fosse aliases de endereço no GNU/Linux, e sim por nova atribuição, conforme exemplifico abaixo.

Código :

acl redelocal src 10.0.0.0/28 
acl redelocal src 10.0.1.0/24
http_access allow redelocal

No exemplo, foram acumuladas (empilhadas) dentro do ACL, do tipo source (src), as faixas de endereços 10.0.0.0/28 (de 10.0.0.1 até 10.0.0.14) e também 10.0.1.0/24 (de 10.0.1.1 até 10.1.1.254).

Na terceira linha do exemplo, na diretiva http_access, a permissão será concedida para todos os endereços dentro do ACL

Resumindo, terão acesso todos os endereços entre 10.0.0.1 e 10.0.0.14 e também entre 10.0.1.1 e 10.1.1.254.

Espero ter ajudado. Faça as alterações e nos avise.

[1] http://wiki.squid-cache.org/SquidFaq/SquidAcl


Saudações,

Trober
-
-
-
-
-

[saveironorte]

Deu certo ficou da seguinte maneira:
acl redelocal src 10.0.0.0/28
acl redelocal1 src 10.0.1.0/24

http_access allow redelocal
http_access allow redelocal1

Apenas retirei os ( : ) dois pontos e deu certo.
Ai pintou uma nova duvida que aproveitando aqui nossa discussão irei citar. Apesar de já está
Funcionando é sempre bom agente botar em questão, no firewall não precisei alterar mais nada como pensei que teria que criar uma nova regra de redirecionamento para que a eth1:1 fosse redirecionada para a porta 3128 que é a porta usada pelo meu Proxy

[trober]

Deu certo ficou da seguinte maneira:
acl redelocal src 10.0.0.0/28
acl redelocal1 src 10.0.1.0/24

http_access allow redelocal
http_access allow redelocal1

Apenas retirei os ( : ) dois pontos e deu certo.
Ai pintou uma nova duvida que aproveitando aqui nossa discussão irei citar. Apesar de já está
Funcionando é sempre bom agente botar em questão, no firewall não precisei alterar mais nada como pensei que teria que criar uma nova regra de redirecionamento para que a eth1:1 fosse redirecionada para a porta 3128 que é a porta usada pelo meu Proxy

Boa tarde.

Que bom que funcionou

Não havia a necessidade de criar um novo ACL, poderia acumular dentro do ACL já existente. Enfim, funciona igual.

Em relação ao seu firewall, não precisa alterar nada, já que sua regra (no código abaixo) contempla tudo que passar na 80 (TCP), independente de aliases de endereços. Resumindo, passou na interface, "sequestrou"

Código :

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Espero ter ajudado.

Saudações,

Trober
-
-
-
-
-

[saveironorte]

boa valeu muito obrigado Trober, a sua força foi muito importante
Você poderia dar uma olhada no meu outro post denominado ( TROCANDO O BANNER DO MSN E ORKUT) Ainda não conseguir resolver:

[petrolina360graus]

Já fiz isso para um Hotel em Luiz Eduardo Magalhães-BA, na conf do squid você vai ter que informar as duas faixas e na configuração da porta e visible_hostname tb informe os ips e portas das faixas. Dessa forma a internet é liberada tanto para a primeira faixa como para segunda, e vc ainda pode fazer com que elas não se enxerguem pelo iptables.

No caso do hotel a faixa 10.0.0.1 ficou para administração e a faixa 192.168.0.0 para os hospedes.

Lembra de configurar também a liberação da porta 3128 para a outra faixa ip pelo iptables e também o mascaramento de pacotes.