+ Responder ao Tópico



  1. #1

    Padrão Proxy Transparente + NAT pra host especifico

    Boa Tarde,

    Tenho algumas maquinas firewall que junto roda o squid, configurei um proxy transparente que funcionou perfeitamente,

    o problemas é relacionado a minha estrutura, tenho algumas maquinas na qual utilizo NAT, sou seja navegam na internet sem passarem pelas restrições de proxy, entretanto ao aplicar o proxy transparente as maquinas que eram para navegar pela NAT estou saindo pelo porta 3128 (porta do squid) ou seja estão navegando pelo proxy.
    Veja as regras que criei para disponibilizar o serviço, e por favor me digam onde estou errando ou me deem um luz:


    # Regra Nat p maquina diretor
    iptables -t nat -A POSTROUTING -s 192.168.0.2\324 -o ppp0 -j MASQUERADE

    # Regra direcionamento squid
    iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Lembrando que no squid habilitei a opção:
    http_port 3128 transparent

    Agradeço desde já

  2. #2

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Boa noite wasley,

    No caso vc tem lembrar da regra
    o prerouting é para mudar o destino e o postrouting é para mudar a origem.
    entao vc tem de acrescentar a seguinte regra ACIMA da regra de proxy transparente

    iptables -t nat -A PREROUTING -s 192.168.0.2\24 -p tcp -j ACCEPT

    Espero retorno e estrela hein

  3. #3

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Bom dia magnorm .

    Sua regra funcionou perfeitamente, muito obrigado.

    Agora pessoal estou com problemas no proxy transparente, alguns sites (ex: hotmail.com, gmail.com) não estão sendo possível o acesso, mas p problema n se trata de bloqueio de proxy, parece mais alguma coisa no retorno da requisição, sera q esta faltando um regra tipo de FORWARD ou uma outra regra de NAT antes da regra de proxy transparente?

    A unica regra de proxy transparente que estou utilizando é:
    iptables -t nat -A PREROUTING -s 192.168.0.0\24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Segue o log do squid ao tentar acessa o site do GMAIL.

    1340105591.289 3 192.168.0.18 TCP_HIT/301 784 GET http://www.gmail.com/ - NONE/- text/html
    1340105591.651 339 192.168.0.18 TCP_MISS/302 996 GET http://mail.google.com/mail/ - DIRECT/74.125.229.53 text/html


    Agradeço desde já

  4. #4

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Existe no firewall a regra

    iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE

    pois esses sites como gmail, hotmail e facebook estao usando tudo https. ai vc tem de colocar essa regra ou configurar manualmente o proxy no navegador nas maquinas


    Esperando minha estrelinha hein

  5. #5

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Não tem a regra
    iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE

    Se habilito a regra todas minha rede navega sem proxy pelo MASQUERADE, vou dar uma estudada melhor no assunto e qualquer coisa aviso, de qualquer forma agradeço sua atenção.

    Sobre a estrelinha que você comentou é um brincadeira, ou tem como te qualificar no site? se tiver como te qualificar me explica como faço.

    grande abraço e obrigado.

  6. #6

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Amigo
    vc deve colocar ela no final da lista ou preferencialmente abaixo da regra de proxy transparente ai deve funcionar.
    A estrelinha aparece embaixo de cada post que faço. clicando nela vc aumenta minha reputaçao no forum. vc deve escrever algo na caixa que abrir para add a reputaçao ok

    Citação Postado originalmente por wasley Ver Post
    Não tem a regra
    iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE

    Se habilito a regra todas minha rede navega sem proxy pelo MASQUERADE, vou dar uma estudada melhor no assunto e qualquer coisa aviso, de qualquer forma agradeço sua atenção.

    Sobre a estrelinha que você comentou é um brincadeira, ou tem como te qualificar no site? se tiver como te qualificar me explica como faço.

    grande abraço e obrigado.

  7. #7

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Amigo, acho que vc deve dar uma analisada melhor na sua estrutura para poder fazer os bloqueios corretamente.
    Qualquer duvida estou a disposição.

  8. #8

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Entao amigo resolveu seu problema?
    posta ai

  9. #9

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Ola Magnorm,

    Ainda tenho problemas como os sites tipo gmail.com e hotmail.com.

    O que não estou conseguindo entender, é que por exemplo, a maquina X tem acesso total do proxy mesmo assim quando utilizando o proxy transparente ela n consegue navegar nos sites acima citados, no entanto se configuro o proxy no browser da maquina X ela passa navegar normalmente nos sites acima citados.

    Abs e obrigado pela atenção

  10. #10

    Padrão Re: Proxy Transparente + NAT pra host especifico

    a regra de mascaramento foi colocada abaixo da regra de proxy transparente?
    se não existir essa regra os as maquinas não navegam.
    qualquer coisa vc posta as suas regras para podermos analisar
    ok

  11. #11

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Vou postar as regras novamente para aliarmos nossas ideias.

    #Regra host especifico
    iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o ppp0 -j MASQUERADE
    iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT

    #Regra proxy transparente
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    obrigado

  12. #12

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Acho q n me expressei corretamente, fiz os teste utilizando as regras desta forma abaixo e tb não objetive sucesso, os site do gmail.com não navega.

    #Regra host especifico
    iptables -t nat -A POSTROUTING -s 192.168.0.2/32 -o ppp0 -j MASQUERADE
    iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT

    #Regra proxy transparente
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0\24 -o ppp0 -j MASQUERADE

  13. #13

    Padrão Re: Proxy Transparente + NAT pra host especifico

    a regra está com a barra invertida no endereço. coloca assim

    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
    já essa maquina especifica também não ta funcionando?
    se poder passar todas as regras do firewall.

  14. #14

    Padrão Re: Proxy Transparente + NAT pra host especifico

    A barra errado foi na hora de digitar aqui no forum, estou colocando a barra corretamente.

    vou fazer os testes aqui e depois retorno.

    Obrigado.

  15. #15

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Agora funcionou!!! tinha um erro nas regras de proxy, erro relacionado a regra das portas 443.

    As regras do firewall ficaram assim:

    # REGRA HOST ESPECIFICO
    iptables -t nat -A POSTROUTING -s 192.168.0.2./32 -o ppp0 -j MASQUERADE
    iptables -t nat -A PREROUTING -s 192.168.0.2/32 -p tcp -j ACCEPT

    # REGRA PORXY TRANSPARENTE
    iptables -t nat -A PREROUTING -s 192.168.0.0/32 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE


    Quero agradecer a todos que ajudaram na resolução desse problema.

  16. #16

    Padrão Re: Proxy Transparente + NAT pra host especifico

    marca a estrelinha por ter ajudado

  17. #17

    Padrão Re: Proxy Transparente + NAT pra host especifico

    Já te qualifiquei aquele dia! não esta deixando qualificar novamente, deve ter alguma trava p qualificar apenas uma unica.