squid-box

[lucianogf]

fala galera, bl'z??

tenho aqui um micro q é o firewall e outro q é proxy transparente, os dois estão com slack 10.2..

qdo seto no browser as configurações do proxy funciona td bl'z...

fiz a configuração no firewall para redirecionar os pacotes para o squid-box, por duas maneiras:

---------------------------
# Configuração usada quando o servidor proxy está em outra máquina que não seja o Firewall
# Configuração - 01

$IPT -t nat -A PREROUTING -s $SQUID_BOX -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -p tcp -m tcp --dport 80 -j DNAT --to 10.0.0.10:3128
$IPT -t nat -A POSTROUTING -s $IP_REDE -o $IR_REDE_INT -d $SQUID_BOX -j MASQUERADE
$IPT -t filter -A FORWARD -s $IP_REDE -i $IR_REDE_INT -d $SQUID_BOX -o $IR_REDE_INT -p tcp -m tcp --dport 3128 -j ACCEPT

# Configuração - 02
# Obs.: usando esta configuração é necessário adicionar a regra de redirecionamento de porta no squid-box
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

$IPT -t mangle -A PREROUTING -p tcp --dport 80 -s 10.0.0.10 -j ACCEPT
$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 3
ip rule add fwmark 3 table 2
ip route add default via 10.0.0.10 dev eth0 table 2
---------------------------

pela configuração 01 como o IP fica mascarado, nos log's do squid aparece como cliente o IP do firewall, e pelo iptraf tbm aparece este IP.

pela configuração 02 pelo iptraf aparece o ip micro da rede como cliente, sem ser mascarado pelo firewall, mas nos log's do squid aparece o ip 10.0.0.0..

alguém sabe o pq isto está acontecendo??

valew
[]'s

[lucianogf]

ae galera..

ninguém tem alguma idéia??

[xstefanox]

Cheque o parâmetro "client_netmask".


Abraços!

[sadirj]

Amigo,

Aqui no provedor, tenho uma estrutura próxima a esta:
http://www.sadi.eti.br/images/exenet.jpg

E nos scripts dos gateways eu permito todo o tráfego que vai em direção a porta 80, rotear (passar direto) sem masquerade até chegar no proxy, onde a regra de proxy transparente cuida do resto e por fim é mascarado o ip.
Não esqueça que para o proxy transparente funcionar no squid é preciso que seja compilada com a opção --enable-linux-netfilter.

Não sei se era isso.

Abraços.

[lucianogf]

Cheque o parâmetro "client_netmask".


Abraços!

cara.. era isso mesmo..

o parametro estava assim..:
client_netmask 255.255.255.0

pensei q isso fosse pra identificar a mascara da rede cliente, como meu ingles nao é aquelas coisa, nao li direito.. hehehe

valew
[]'s

Meio Off topic, mas Sadi qual o programa que vc faz este desenho da sua topologia de rede?

[sadirj]

Meio Off topic, mas Sadi qual o programa que vc faz este desenho da sua topologia de rede?

Lá na empresa tem o M$ Visio 2003 EN.

tadinho!! ele usa microsoft!!