Redirecionamento de porta com squid

09-12-2004, 13:12

boa tarde, bom tenho um pequeno problema...
Eu tenho dois servidores... um é o da Speedy e o outro Dados.
Nessa de dados roda uma aplicação na porta 80, portanto eu redirecionei a porta 80 q tem como destino o ip da speedy, para o server de dados. Bom até ai tudo funcionou, quem esta fora da empresa acessa e dentro tb... só q temos a maioria das maquinas rodando em baixo de um squid proxy, e essas máquinas não acessam o endereço http://ipdaspeedy, mas as máquinas sem o squid acessam normal, queria saber se tem alguma configuração em relação ao squid.

Notielc · 09-12-2004, 13:46

E aeee galera... esse visitante sou eu, é q naum estava na empresa.. vamo me ajudar aeee....

Vlw

felco · 09-12-2004, 15:03

Eu tenho o mesmo problema aqui eh ainda nao resolvi, o Squid retorna falando que a conexao foi recusada ou ele fica carregando a pagina e depois da erro que nao conseguiu acessar eu nem procurei entende o pq mas eu sei que o problema nao eh o Squid mesmo tentando sai sem passar pelo Squid nao funciona ele fica carregando... carregando... carregando... mas nunca conecta! Bom eu acredito que o problema pelo menos aqui seja a forma como esta a parte fisica, porque tem um Cisco na frente do meu Firewall mas ele nao esta em modo Bridge ele ta fazendo um monte de roteamento eu pretendo mudar isso eh nem vou ter que mexer muito no Firewall eu tinha uma estrutura parecida, mas tinha uma DMZ eh tudo mais aqui esta uma zona!

**Brenno** · 09-12-2004, 15:05

vc ta usando squid transparente?

felco · 09-12-2004, 15:25

Eu to

**Brenno** · 09-12-2004, 15:35

mas as máquinas sem o squid acessam normal, queria saber se tem alguma configuração em relação ao squid.

que maquinas sao essas?

vc usa squid transparente?

guardian_metal · 09-12-2004, 16:01

Aqui tb tenho esse problema de o squid ficar procurando a página e retornar esse erro de conexão recusada e/ou conection reset by peer. Depois de uns dois minutos a net volta a abrir normal e depois de um certo intervalo de tempo da o mesmo erro e assim vai. Tenho um D-Link na frente de meu firewall e notei que se eu desligar ele e o modem do adsl, esse erro demora mais para aparecer. Não sei se estou falando bobagem mas creio que o D-Link que trava e depois volta a funcionar.

felco · 09-12-2004, 17:45

No meu caso com Squid ou sem Squid nao acessa, so pra vc enteder o cenario:
Estou na maquina 192.168.0.10 e meu Firewall tem o IP 200.100.1.2, eu saio para a internet por ele, ele tbm faz o DNAT para a maquina 192.168.0.100 que eh o Webserver, quando eu tento acessar na minha maquina o Webserver pelo IP externo dele nao consigo, mesmo sem passar pelo Squid, ele nao consegue conectar

Danilo_Montagna · 09-12-2004, 18:09

para os dois casos.. vc terao que fazer um PREROUTING com destino a esse IP valido entrando pela interface interna, fazer um DNAT para o servidor de destino..

nao esqueçam do POSTROUTING para esse caso, pois os pacotes de volta teram que passar por nat tb para poderem ser respondidos pelo firewall..

seria mais ou menos isso aqui.. sem me ater a detalhes do ambiente de cada um de vcs..

iptables -t nat -A PREROUTING -i eth0 -s rede_interna -p tcp -d ip_valido --dport 80 -j DNAT --to webserver:80
iptables -t nat -A POSTROUTING -o eth0 -s rede_interna -d webserver -j SNAT --to ip_firewall

Dependendo de suas politicas Default do FORWARD.. tb ira precisar da regra abaixo..

iptables -A FORWARD -s rede_internet -d webserver -i eth0 -o eth0 -p tcp --dport 80 -j ACCEPT

**Brenno** · 09-12-2004, 19:45

iptables -t nat -A PREROUTING -i eth0 -s rede_interna -p tcp -d ip_valido --dport 80 -j DNAT --to webserver:80

so uma obs:

em vez de colocar --to
coloque --to-destination

iptables -t nat -A PREROUTING -i eth0 -s rede_interna -p tcp -d ip_valido --dport 80 -j DNAT --to-destination webserver:80

eu costumo usar --to-destination

mas como foi o danilo que posto --to, certeza que --to --to-destination eh a mesma coisa, hehehehe

falow

Danilo_Montagna · 09-12-2004, 20:11

mas como foi o danilo que posto --to, certeza que --to --to-destination eh a mesma coisa, hehehehe

Exatamente.. além de ser a mesma coisa.. economiza-se digitação.. :lol:

porem.. lembre-se que --to-destination só usa-se na chain PREROUTING.. e nao na POSTROUTING...

entao.. por isso é mais util se usar --to apenas.. que serve para as duas chains..

**Brenno** · 09-12-2004, 23:44

mesmo assim, uso --to-destination HHEEHHEEH

vlw danilo

felco · 10-12-2004, 20:15

Hummmm faz sentido... acho que vai resolver meu problema na segunda vou testar isso ae... valeu velhinho

felco · 14-12-2004, 14:08

Postado originalmente por Danilo_Montagna

para os dois casos.. vc terao que fazer um PREROUTING com destino a esse IP valido entrando pela interface interna, fazer um DNAT para o servidor de destino..

nao esqueçam do POSTROUTING para esse caso, pois os pacotes de volta teram que passar por nat tb para poderem ser respondidos pelo firewall..

seria mais ou menos isso aqui.. sem me ater a detalhes do ambiente de cada um de vcs..

iptables -t nat -A PREROUTING -i eth0 -s rede_interna -p tcp -d ip_valido --dport 80 -j DNAT --to webserver:80
iptables -t nat -A POSTROUTING -o eth0 -s rede_interna -d webserver -j SNAT --to ip_firewall

Dependendo de suas politicas Default do FORWARD.. tb ira precisar da regra abaixo..

iptables -A FORWARD -s rede_internet -d webserver -i eth0 -o eth0 -p tcp --dport 80 -j ACCEPT

Velinho nao funciono ele fica tentando conecta eh da timeout

Danilo_Montagna · 14-12-2004, 14:16

vc deve estar pecando em algum lugar.. ou na sua config.. etc..

eu uso isso ae sem problemas.. inclusive.. ja fiz para varios clientes meus.. que usam adsl.. e hospedam site dentro da empresa..

felco · 14-12-2004, 14:50

Eh eu acredito porque eu tambem ja fiz isso
Olha so aqui eu tenho a seguinte estrutura
Um link da Diveo chegando via Mini-Link pra um router Cisco esse por sua vez (infelizmente) esta plugado direto no Switch aonde o Firewall esta tambem plugado, assim eu converso com o Cisco via IP valido porem qualquer um dentro do Switch pode fazer o mesmo, entao estou presumindo que por motivos de seguranca o Cisco nao esta reencaminhando os pacotes que vem do valido para dentro do Switch ja que o Firewall mesmo encaminha tudo para o Cisco nao faz sentido o Cisco devolta, mesmo porque se o pacote saiu da mesma Int que originou ele, ele nao deveria ter saido da maquina, nao sei se vc entendeu

Danilo_Montagna · 14-12-2004, 15:00

sim.. entendi..

eu acho que o problema esta pelo fato de vc esta fazendo NAT por um IP mais quem deveria responder por esse NAT é o ip do cisco..

felco · 14-12-2004, 15:14

Esquece cara!

Eu vo abri um chamado la com os caras eh vo muda esse esquema assim que chegar o Switch pra fazer a DMZ ai vai fica file
Valeu velinho!

14-12-2004, 15:47

Se for conexão de ADSL comum a intranet não consegue acessar usando o ip interno. Somente o ip da intranet consegue ser usado.

Rafael

Danilo_Montagna · 14-12-2004, 16:01

Visitante..

mesmo sendo ADSL é possivel acessar pelo IP Valido.. é so interceptar o trafego pelo iptables com destino ao IP e redirecionar via NAT para o IP interno do servidor..

[]'s

Redirecionamento de porta com squid

Ferramentas de Tópicos