+ Responder ao Tópico



  1. #1

    Padrão proxy transparente

    Olá a todos!

    Coloquei um host firewall em minha rede e este tem dois scripts, um de compartilhamento da Internet para os demais hosts da rede e outro com IPtables.

    Outro host possui um servidor proxy com o squid e que configurá-lo com proxy transparente. O host com proxy está funcionando, porém os outros hosts não estão barrando as páginas que está configurado no servidor para barrá-lo.

    Sei que se fosse no mesmo host firewall, que também compartilha a Internet, simplesmente colocaria o comando "iptables -t nat -A PREROUTING -i "rede_local" -p tcp --dport 80 -j REDIRECT --to-port 3128 no script de compartilhamento da Internet que habilitaria o proxy transparente. Mas como o proxy está em outro host que comando teria de ser feito no host com proxy para habilitá-lo?

    Desde já agradecido!

  2. #2

    Padrão

    Citação Postado originalmente por zuzobem Ver Post
    Olá a todos!

    Coloquei um host firewall em minha rede e este tem dois scripts, um de compartilhamento da Internet para os demais hosts da rede e outro com IPtables.

    Outro host possui um servidor proxy com o squid e que configurá-lo com proxy transparente. O host com proxy está funcionando, porém os outros hosts não estão barrando as páginas que está configurado no servidor para barrá-lo.

    Sei que se fosse no mesmo host firewall, que também compartilha a Internet, simplesmente colocaria o comando "iptables -t nat -A PREROUTING -i "rede_local" -p tcp --dport 80 -j REDIRECT --to-port 3128 no script de compartilhamento da Internet que habilitaria o proxy transparente. Mas como o proxy está em outro host que comando teria de ser feito no host com proxy para habilitá-lo?

    Desde já agradecido!
    Olá amigo!!
    Para você mudar o destino de um pacote para um host diferente do seu gateway, é necessário criar uma regra de DNAT (Destination NAT) que é assim:

    Código :
    iptables -t nat -A PREROUTING -i "rede local" -p tcp --dport 80 -j DNAT --to-destination "ip proxy":3128

    Dessa forma todos os pacotes que casarem com esta regra serão direcionados para o destino e porta que você escolher!
    Tenta aee!!



  3. #3

    Padrão

    Primeiramente obrigado pela resposta!

    Este comando já foi experimentado sem sucesso. As máquinas continuaram navegando sem serem barradas pelo proxy. Trata-se de uma regra mais complexa.

  4. #4

    Padrão

    Citação Postado originalmente por zuzobem Ver Post
    Primeiramente obrigado pela resposta!

    Este comando já foi experimentado sem sucesso. As máquinas continuaram navegando sem serem barradas pelo proxy. Trata-se de uma regra mais complexa.
    Amigo...

    Essa regra irá desviar o trafego da porta 80 do seu firewall para o proxy...
    Agora você precisa ajustar as regras do seu proxy para barrar as paginas!
    O iptables não tem a função de barrar as paginas...
    E outra coisa... se você estiver usando suas chains com política padrão em ACCEPT realmente NÃO FUNCIONARÁ!
    Precisa estar em DROP!



  5. #5

    Padrão

    Olhe bem, talvez você esteja se confundindo. Em momento algum eu disse que o Firewall irá barrar páginas. O firewall bloqueia e filtra pacotes. O Proxy (squid) já está configurado, tanto que no servidor ele bloqueia.

    Você diz para que fiquem assim:

    # iptables -P FORWARD DROP


    desde já agradecido.

  6. #6

    Padrão

    Isso amigo...

    A política padrão da CHAIN FORWARD precisa estar em DROP
    Pois de outra forma ele aceitará os pacotes e o trafego estará saindo pelo firewall...
    E é sempre bom você verificar os logs do squid para ter certeza que os acessos estão sendo feitos por la!



  7. #7

    Padrão

    E mais uma coisa...

    A ORDEM em que as regras estão configuradas dentro do seu firewall fazem muita diferença!
    Tome o cuidado de colocar essa regra antes de outras que aceitem o trafego vindo de sua rede!