iptables

ai pessoal do underlinux, galera to configurando um squid aki, ele ta funcionando belezinha mas quero fazer ele transparente, acrescentei a linhas:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
e usei o iptables
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

para redirecionar a porta 80 pra meu squid, so q nao ta funcionando, pois nao consigo acessar a net depois disso, o q pode ta errado, por favor me de uma ajuda.

[X-LOGAN]

Cara to com o mesmo problema ele não roda transparente e se coloco alguma chain do iptable para tudo!!!!
Se resolver posta ai a solução!!!

Um abraço


"NÃO USE DROGAS, USE LINUX"

[gatoseco]

eth0 é a interface que te conecta a internet ???

[casper-linux]

você recebe alguma mensagem no browser?

se não, olhe no arquivo de log do squid?
access.log


ele te ajuda nessas horas

[jayro]

você recebe alguma mensagem no browser?

se não, olhe no arquivo de log do squid?
access.log


ele te ajuda nessas horas

Cara... to com esse pro tb... o que aparece no acesse.log é: TCP_DENIED/400 1441 GET / - NONE/- text/html.

Alguém já teve esse tipo de problema ?

[NO-BREAK]

to com esse pro tb... se alguém poder dar um toque. agradeço mesmo...

[fdotta]

Eae Pessoal,

Este problemas q vc estao reportanto eh quando na linha do PREROTING eh colocado a interface q esta com o ip real, ou seja, a interface q conectana internet. Para o redirecionamento do proxy transparente funcionar direito deve-se redirecionar a porta 80 para a porta do squid (3128 geralmente) so q na interface interna de rede (a q eh gateway para os clientes).

[] Dotta :twisted:

a eth1 é a interface da rede interna estamos usando ela, nao aparece nada no access.log, alguem tem ideia do q pode ser?

[Jim]

a eth1 é a interface da rede interna estamos usando ela, nao aparece nada no access.log, alguem tem ideia do q pode ser?

Entao sua regra esta errada amigo, deveria ficar assim:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Lembrando que vc vai ter que configurar gateway e DNS nas estações ok...

Pro pessoal que ta recebendo a mensagem de TCP DENIED nos logs, verifiquem as ACL's. Um bom teste é mudar a regra:

http_access deny all

Para:

http_access allow all

[lacierdias]

Olhe está dica pq ela é oq vc precisa para resolver este problema.
https://under-linux.org/modules.php?...ticle&sid=5001
Abraço

ja tentei na eth1 e nao deu certo

[Jim]

vc colocou sua regra de masquerade antes dessa regra?

sim coloquei

[Jim]

Tá usando a porta 3128 mesmo pro squid?

Postas suas regras de firewall e seu squid.conf...

nao to usando firewall, meu squid ta assim:

http_port 192.168.1.3:3128
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 16000 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 18 KB
cache_dir ufs /usr/local/squid/var/cache 1000 16 256
cache_access_log /usr/local/squid/var/logs/access.log
cache_log /usr/local/squid/var/logs/cache.log
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 113 # ident
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl sitesnegados url_regex "/usr/local/squid/etc/conf/negados"
acl sitespermitidos url_regex "/usr/local/squid/etc/conf/permitidos"
acl permissao ident "/usr/local/squid/etc/conf/usuarios"
acl cottolengo src 192.168.1.0/24

http_access allow sitespermitidos
http_access deny sitesnegados

http_access deny !permissao
http_access allow permissao
http_access allow cottolengo
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_pot 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd accel users host header on

esse ai eh o meu squid.conf se puderem me ajudar

[NO-BREAK]

a eth1 é a interface da rede interna estamos usando ela, nao aparece nada no access.log, alguem tem ideia do q pode ser?

Entao sua regra esta errada amigo, deveria ficar assim:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Lembrando que vc vai ter que configurar gateway e DNS nas estações ok...

Pro pessoal que ta recebendo a mensagem de TCP DENIED nos logs, verifiquem as ACL's. Um bom teste é mudar a regra:

http_access deny all

Para:

http_access allow all

Valeu parceiro... mais tenho uma dúvida... não posso atribuir os DNSs e GATEWAY pelo DHCP, ou tenho que desabilitar o DHCP para poder utilizar o SQUID ?

galera valeu pela ajuda no meu caso era erro de permissao no arquivo swap.state, ai resolveu meu problema, valeu pelas dicas fui.

[Jim]

NO-BREAK, pode fornecer por dhcp sim... me referia aos que nao usam DHCP e por usar proxy NAO transparente, nao precisavam setar os mesmos nas estações...

E qto ao amigo visitante... bem cara, vc pode nao usar um firewall propriamente dito, mas posta as regras de iptables... seu squid.conf PARECE estar correto...

kara valeu aki deu certo era erro de permissao no arquivo swap.state