squid nat iptables

Casp · 19-03-2003, 10:15

não consigo fazer este ´proxy transparente funcionar, redireciono certo da porta 80 para 3128 mas o squid responde que a url é invalida, alguem sabe me responder o que fazer?
script

#!/bin/sh

MP=/sbin/modprobe

IPT=/usr/sbin/iptables

INTRANET=172.16.100.0/24

EXTRANET=10.0.0.0/8

echo -n "Carregando Módulos...."

$MP iptable_nat

$MP ip_nat_ftp

$MP ip_conntrack

$MP ip_conntrack_ftp

echo "."

echo "1" > /proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then

echo -n "Setando Proteção contra SPOOF...."

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo 1 > $f

done

echo "."

fi

# Politicas

echo -n "Iniciando Políticas...."
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -F
echo "."

# Navegação

echo -n "Iniciando regras NAT...."

$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -i eth1 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "."

$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
$IPT -A INPUT -s 169.254.183.96 -i eth1 -j DROP

#echo -n "Redirect pedidos da port 80 para pot 3128 (squid)..."
$IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#echo "."

echo -n "Configurando Serviços..."

# Serviços
$IPT -A INPUT -p tcp -s $EXTRANET --dport 21 -j REJECT #ftp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 22 -j REJECT #ssh
$IPT -A INPUT -p tcp -s $EXTRANET --dport 23 -j REJECT #telnet
$IPT -A INPUT -p tcp -s $EXTRANET --dport 25 -j REJECT #smtp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 53 -j REJECT #dns
$IPT -A INPUT -p tcp -s $EXTRANET --dport 110 -j REJECT #pop3
$IPT -A INPUT -p tcp -s $EXTRANET --dport 111 -j REJECT #rpc
$IPT -A INPUT -p tcp -s $EXTRANET --dport 6000 -j REJECT #X11
echo "."

**A-Marcio** · 19-03-2003, 10:43

Voce consegue pingar em um Valido na Net?

ex 200.204.0.10

A Marcio

Casp · 19-03-2003, 10:47

sim consigo, eu acho que o problema está no squid, já que consigo rediercionar as portas o q vc me diz?

Danilo_Montagna · 19-03-2003, 11:05

bom.. supondo que o squid esteja instaldo no firewall

vc tem essas duas regras..

$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP

uma delas se trata da interface interna do firewall e se vc dropar a mesma.. eles nunca vao chegar no serviço do squid que roda na porta 3128..

retire a regra referente a entrada de pacotes pela interface INTERNA ok?
pois para evitar spoofing vc nao precisa bloquear o trafego que vem da rede interna em direcao a interface interna do firewal.. blz.. pois senao qualquer trafego da rede interna será barrado..

Casp · 19-03-2003, 11:30

ai danilo retirei as regras da interface interna e a mesma mensagem continua vindo

Danilo_Montagna · 19-03-2003, 12:05

que mensagem é essa?

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-19 11:30, Casp wrote:
ai danilo retirei as regras da interface interna e a mesma mensagem continua vindo
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

Futuremax · 19-03-2003, 12:15

URL FAIL ou ACCESS DENIED???? Se for ACCESS DENIED dá uma olhada no seu squid.conf e procura a linha "http_access deny all" comente ela e coloque embaixo a linha "http_access allow all". E faça ao contrário, em vez de deixar a política da sua rede ACCEPT deixe DROP e só libere o que vc precisar, assim aumenta a segurança e vc tem certeza do que está aberto ou não.

**A-Marcio** · 19-03-2003, 12:16

Se voce consegue pigar das estaçoes na Internet.

O problema pode estar no DNS. os micros podem nao estar resolvendo os IP

voce tambem pode dar um ping www.uol.com.br para tirar esta duvida

caso for isto

aponta o DNS para 200.204.0.10

*** E da uma revisada no seu firewall para ver algo referente ao DNS ***

Casp · 19-03-2003, 13:54

ai marcio valeu cara, mas meu dns está resolvendo bem os nomes, consigo pingar pra qualquer host dentro ou fora da minha rede, tambem consigo redirecionar todos os pacotes da porta 80 para a porta do squid, isto ei sei pq o squid retorna uma msg de ivalid URL no IE ou Netscape tanto faz, já modifiquei as regras como o amigo indicouo e nada, tambem com o proxy abilitado eu acesso bem os sites

**marcosmamorim** · 19-03-2003, 13:59

Cara neste link abaixo tem a configurações de proxy transparente em sete passos com ipchains, então basta faze-lo para iptables.

http://www.linuxtime.com.br/article.php?sid=36

Marcos Amorim

Casp · 19-03-2003, 14:50

ai valeu amorim vou dar uma olhada...

Casp · 19-03-2003, 14:57

a mensagem que o squid retorna é essa:
ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: www.terra.com.br

The following error was encountered:

* Invalid URL

Some aspect of the requested URL is incorrect. Possible problems:

* Missing or incorrect access protocol (should be `http://´´ or similar)
* Missing hostname
* Illegal double-escape in the URL-Path
* Illegal character in hostname; underscores are not allowed

Your cache administrator is [email protected].

**marcosmamorim** · 19-03-2003, 15:19

Casp,

vc utilizando o proxy não transparente funciona?

Marcos Amorim

Casp · 19-03-2003, 15:28

Bahhh Marcos Amorim, erro meu, faltavam quatro linhas no squid.conf:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

ai valeu as dicas e site, só consegui ver o erro depois de um cafe e da tua dica do site...

T+

casp

**marcosmamorim** · 19-03-2003, 15:49

Por isso te perguntei se funcionava certinho sem o transparente....

È isso ai mais um problema resolvido

[ OK ]

Marcos Amorim

wrochal · 19-03-2003, 16:26

Leia este artigo:

Proxy Transparente

falow..

squid nat iptables

Ferramentas de Tópicos