Squid Transparent + Conectividade Social

[RafaelR]

Estou com um grande problema aqui na empresa onde implantei o proxy Squid pela primeira vez!
Pesquisei em varios forums usei dicas mas não consegui muita coisa!
O Squid acho que ja está dominado. Problema agora é o tal do Iptables onde tenho bastante
dificuldade!

Uso um unico comando para ativar o proxy transparent que seria esse abaixo.

#!bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.1.2/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0 é a rede interna!
e eth1 a rede externa!

Ja tentei varias regras que achei na internet para acessar o conectividade social e nao funcionaram!

No iptables existe uma sequencia de comandos ou posso usar as linhas aleatoriamente?

OBS: O Conectividade social conectou com uma internet movel (sem proxy...)

[RafaelR]

#!bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.207 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.207 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.204 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.204 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.1.1/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 312

Com essa regra consegui resolver o problema!

Essa regra proporciona proxy transparent e libera todos os ips da minha rede para acessar o conectividade social livremente....
Pra quem tiver a mesma duvida só copiar e colar!

Agora vou tentar resolver o problema do acesso ao TS...

ETH0 = REDE INTERNA
ETH1 = REDE EXTERNA

Tem algo errado que postei nessa regra?

[paulojrandrade]

amigo, desculpa a ignorancia, mas
iptables -t nat -A PREROUTING -s 192.168.1.1/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128, nao seria redirect apenas de UM IP ???? o certo nao seria
iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128, pra rede toda ???

[RafaelR]

Essa é a regra do proxy transparent...
iptables -t nat -A PREROUTING -s 192.168.1.1/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Pelo que entendi, tudo que entra no ip da rede interna (192.168.1.1 (Eth0)) pela porta 80 é direcionado para a porta 3128...

No caso essa regra poderia subistuir o ip 192.168.1.1/255.255.255.0 por eth0

Ficando assim
iptables -t nat -A PREROUTING -s eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

[paulojrandrade]

sim amigo essa é a regra do proxy transparent.... mas ce vc ver a regra apenas o ip 192.168.1.1 esta sendo redirecionado da porta 80 para a 3128, lembre-se... vc colocou o ip e nao a rede. Olha um exemplo.


# Declara Interface rede - INTERNA
R_INTERNA="eth1";


iptables -t nat -A PREROUTING -i $R_INTERNA -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 3128
echo "#--> Redirecionando Navegacao Web para Squid ..[ OK ]#"

Uso essa regra em um servidor q montei para um escritorio de contabilidade.

Outra coisa interessante, essa regra q vc colocou no seu firewall
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.207 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.207 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.204 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.204 -d 0/0 -p tcp --dport 80 -j ACCEPT

tem valia, mas ela tem q estar antes do redirect, assim ele repassa direto antes de chegar no redirect (proxy)

[irado]

como disse o paulo (aí em cima) essa sua regra está errada, normalmente liberamos a rede inteira. Se não fez com um propósito qualquer (bem estranho), corrija.

a conectividade social usa um pool de servidores ("apenas" 4094) então era bem espinhoso tratar disso. Eu costumo colocar algumas variáveis no inicio do scritp, logo após o "bang":

#!/bin/bash
CONECTIVIDADE_SOCIAL=200.201.160.0/20
REDE=192.168.1.0/24
NIC_INTERNA=eth1
depois, ANTES da regra de redirecionamento para o proxy, eu libero a conectividade, e finalmente libero todo mundo:

$IPT -t nat -A PREROUTING -s $REDE -d $CONECTIVIDADE_SOCIAL -p tcp -m multiport --dport 80,443 -j ACCEPT
$IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 --dport http -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $NIC_INTERNA -s $REDE -d 0/0 -j ACCEPT

[RafaelR]

Vixe então como vocês me explicam isso. Minha rede está funcionando aqui como proxy transparent... lol
Avisando que sou leigo em iptables.
Todos os ips estao acessando normalmente a internet...

[irado]

mistérios da fé, quem sabe?

[paulojrandrade]

o Nat esta antes ou depois do redirect ????
claro q teus clientes devem estar navegando !!! Mas estao passando pelo proxy ??????
Aqui no under vc encontra muito post, passo a passo etc etc, um pouco de leitura ira te fazer muito bem.
Boa sorte

[paulojrandrade]

mistérios da fé, quem sabe?

Boa .... Irado hehehe

[RafaelR]

Bom não preciso vir aqui em busca de informações e aprendizado pra mentir...
Agora se eu disse que está tudo ok é pq está!
Todos os usuarios estão passando pelo proxy.........
E a rede está funcionando corretamente!

Mas msm assim mudei o script para:

#!bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.1.3
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth1 --dport 5900 -j DNAT --to-destination 10.0.0.2
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.207 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.207 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -d 200.201.174.204 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -s 200.201.174.204 -d 0/0 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

O acesso externo pelo vnc funcionou mas o acesso ao TS não! Oq será que está errado?
Quando reinicio a placa de rede externa não fica ativa. Eu tenho que ativa-la manualmente! Como
configuro ela pra ficar ativa no start do Ubuntu?

[sirdata]

So tem um probleminha amigo, a rede ta funcionando mas o seu squid não esta cacheando!!!
Voce esperimentou verificar os logs para ver se ele esta cacheando ???
Sim a sua primeira linha esta correta e ai que e feito o mascaramento da rede, mas o transparente e feito no direcionamento da porta 80 para porta 3128 ou configurando o squid para escutar na 80.
Ou voce configurou o squid para escutar na 80 ou voce nao ta cacheando.
O certo seria configurar a rede como.
iptables -t nat -A PREROUTING -s eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

VEJA SE O SQUID TA CACHEANDO ???
CASO ESTEJA CHUTA QUE E MACUMBA...

[sirdata]

Amigo verifica se o squid ta Cacheando ???
A configuração esta mesmo errada ou seus clientes estão usando configuração no navegador.

SE ESTIVER CACHEANDO COM ESSA CONFIGURAÇÃO CHUTA QUE E MACUMBA...

[sirdata]

Desculpa não tinha visto o poste.
Agora sim avaianas de pau....

[RafaelR]

Kara o pior que estava cacheando e os usuarios estavam navegando transparent...
Olhei a pasta de cache e ela estava crescendo bem rapido!
tipo ja tinha 1GB em 4 dias de uso.

Da vontade até de fazer um vídeo pra mostrar que nao estou mentindo! \o/
A regra realmente estava iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j REDIRECT --to-port 3128

[sirdata]

CARA ENTAO CHUTA QUE MACUMBAAAAAAAAAAAAAAAAAAAAAA!!!!

[RafaelR]

So não consigo resolver a regra pro TS funcionar. Pqp

[GuE]

Cara pq vc poem -m na regra acho que não precisa, tira o -m e ve se funciona o ts, verifica se o firewall da maquina que ta o ts ta liberado a porta.

Algora um duvida aqui pessoal eu tenho 2 servers 1 proxy e 1 firewall
no meu firewall crio a regra para redirecionar o trafego para o server proxy
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.1.2:3128 Blz

Server proxy recebeu a requisição, só que o gateway do proxy é meu firewall eu preciso criar alguma regra no servidor proxy ?