+ Responder ao Tópico



  1. #1

    Padrão Separar proxy e gateway

    pessoal

    tenho a seguinte estrutura:

    s1 firewall e gateway (eth0 internet - eth1 rede) (10.0.0.3)
    s2 dados (eth0 rede) (10.0.0.5)
    s3 proxy e DNS (eth0 rede) (10.0.0.6)
    s4 storage (eth0 rede) (10.0.0.7)

    não estou conseguindo ativar o proxy transparente para interceptar o tráfego, minha como direcionar corretamente para o proxy podendo assim ter cache e bloquear alguns sites.

    vlw

  2. #2

    Padrão

    no gateway vc cria uma regra direcionando o trafego web para o proxy:

    Código :
    iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.6:3128

  3. #3

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    no gateway vc cria uma regra direcionando o trafego web para o proxy:

    Código :
    iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.6:3128
    Alexandre,

    não rodou, no caso seria 10.0.0.0/24 sendo a máscara 255.255.255.0?

    vlw

    Rafael

  4. #4

    Padrão

    qual erro q deu ?


    a regra esta correta... vc coloca ela no GATEWAY..

    mas a configuração do proxy precisa estar ok.. proxy "ouvindo" na porta 3128

  5. #5

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    qual erro q deu ?


    a regra esta correta... vc coloca ela no GATEWAY..

    mas a configuração do proxy precisa estar ok.. proxy "ouvindo" na porta 3128
    Ele parou a navegação

    digitei 4 comando no gateway

    Código :
    modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
    iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.6:3128

    vlw

  6. #6

    Padrão

    eh.. isso mesmo,

    seu proxy ja esta ok ?
    ja esta configurador para aceitar proxy transparent ?

  7. #7

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    eh.. isso mesmo,

    seu proxy ja esta ok ?
    ja esta configurador para aceitar proxy transparent ?
    acredito que sim...
    uma dúvida está certo o DNS ficar atrás do firewall?
    as estações estão enxergando o 10.0.0.6 como DNS e o 10.0.0.3 como gateway, mas se faço as 4 regras no gateway simplesmente para a navegação... como posso testar o proxy transparente?

    vlw

  8. #8

    Padrão

    se o proxy estiver atras do gateway tambem.. precisa fazer uma modificação:

    ou voce coloca o proxy direto tendo o gateway o seu modem/router ou altera a regra que desvia para o proxy para isto:

    Código :
    iptables -t nat -A PREROUTING -s ! 10.0.0.6 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.6:3128

    agora cara.. da uma lida ai no forum que tem bastante coisa sobre topologia de rede, roteamento e firewall ..

  9. #9

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    se o proxy estiver atras do gateway tambem.. precisa fazer uma modificação:

    ou voce coloca o proxy direto tendo o gateway o seu modem/router ou altera a regra que desvia para o proxy para isto:
    Alexandre, não xinga não... rs
    acredito que o problema esteja aqui...
    no s4 (10.0.0.7) tem o dhcpd configurado assim
    Código :
    subnet 10.0.0.0 netmask 255.255.255.0 {
    range 10.0.0.8 10.0.0.100;
    option routers 10.0.0.3;
    option domain-name-servers 10.0.0.6;
    option broadcast-address 10.0.0.255;

    e no resolv.conf do s2 (10.0.0.6 Proxy) está assim
    Código :
    nameserver 10.0.0.3
    search localdomain

    estão certas essas configs?

    vlw

  10. #10

    Padrão

    nao .. dns eh uma coisa... nao esta interferindo em nada no seu caso

    o seu problema eh que o proxy esta atras do gateway... com a regra q te passei (primeira regra). todo trafego que for sair pela porta 80.. ele joga para o proxy.. so que voce faz um LOOP infinito com esta regra porque o proxy quando recebe o redirecionamento, ele TAMBEM tenta sair pela porta 80 e novamente o gateway captura o pacote e RETORNA para o proxy..

    o que a segunda regra q te passei faz é NAO redirecionar os pacotes quando quem for sair eh o ip do proxy ...

  11. #11

    Padrão

    Alexandre, para resolver isso é correto deixar no mesmo server o firewall, dns, proxy e dhcp? ai posso eliminar uma maquina e resolver logo isso?

    vlw

  12. #12

    Padrão

    pode sim.. tem q ver se o micro aguenta.. mas geralmente sim..

  13. #13

    Padrão

    Estou montando a rede com 2 Dell PowerEdge 2650, no caso ficaria uma para dados e outro para internet + dhcp