proxy transparente

[zuzobem]

Olá a todos!

Coloquei um host firewall em minha rede e este tem dois scripts, um de compartilhamento da Internet para os demais hosts da rede e outro com IPtables.

Outro host possui um servidor proxy com o squid e que configurá-lo com proxy transparente. O host com proxy está funcionando, porém os outros hosts não estão barrando as páginas que está configurado no servidor para barrá-lo.

Sei que se fosse no mesmo host firewall, que também compartilha a Internet, simplesmente colocaria o comando "iptables -t nat -A PREROUTING -i "rede_local" -p tcp --dport 80 -j REDIRECT --to-port 3128 no script de compartilhamento da Internet que habilitaria o proxy transparente. Mas como o proxy está em outro host que comando teria de ser feito no host com proxy para habilitá-lo?

Desde já agradecido!

[zenun]

Olá a todos!

Coloquei um host firewall em minha rede e este tem dois scripts, um de compartilhamento da Internet para os demais hosts da rede e outro com IPtables.

Outro host possui um servidor proxy com o squid e que configurá-lo com proxy transparente. O host com proxy está funcionando, porém os outros hosts não estão barrando as páginas que está configurado no servidor para barrá-lo.

Sei que se fosse no mesmo host firewall, que também compartilha a Internet, simplesmente colocaria o comando "iptables -t nat -A PREROUTING -i "rede_local" -p tcp --dport 80 -j REDIRECT --to-port 3128 no script de compartilhamento da Internet que habilitaria o proxy transparente. Mas como o proxy está em outro host que comando teria de ser feito no host com proxy para habilitá-lo?

Desde já agradecido!

Olá amigo!!
Para você mudar o destino de um pacote para um host diferente do seu gateway, é necessário criar uma regra de DNAT (Destination NAT) que é assim:

Código :

iptables -t nat -A PREROUTING -i "rede local" -p tcp --dport 80 -j DNAT --to-destination "ip proxy":3128

Dessa forma todos os pacotes que casarem com esta regra serão direcionados para o destino e porta que você escolher!
Tenta aee!!

[zuzobem]

Primeiramente obrigado pela resposta!

Este comando já foi experimentado sem sucesso. As máquinas continuaram navegando sem serem barradas pelo proxy. Trata-se de uma regra mais complexa.

[zenun]

Primeiramente obrigado pela resposta!

Este comando já foi experimentado sem sucesso. As máquinas continuaram navegando sem serem barradas pelo proxy. Trata-se de uma regra mais complexa.

Amigo...

Essa regra irá desviar o trafego da porta 80 do seu firewall para o proxy...
Agora você precisa ajustar as regras do seu proxy para barrar as paginas!
O iptables não tem a função de barrar as paginas...
E outra coisa... se você estiver usando suas chains com política padrão em ACCEPT realmente NÃO FUNCIONARÁ!
Precisa estar em DROP!

[zuzobem]

Olhe bem, talvez você esteja se confundindo. Em momento algum eu disse que o Firewall irá barrar páginas. O firewall bloqueia e filtra pacotes. O Proxy (squid) já está configurado, tanto que no servidor ele bloqueia.

Você diz para que fiquem assim:

# iptables -P FORWARD DROP


desde já agradecido.

[zenun]

Isso amigo...

A política padrão da CHAIN FORWARD precisa estar em DROP
Pois de outra forma ele aceitará os pacotes e o trafego estará saindo pelo firewall...
E é sempre bom você verificar os logs do squid para ter certeza que os acessos estão sendo feitos por la!

[zenun]

E mais uma coisa...

A ORDEM em que as regras estão configuradas dentro do seu firewall fazem muita diferença!
Tome o cuidado de colocar essa regra antes de outras que aceitem o trafego vindo de sua rede!