+ Responder ao Tópico



  1. #1
    Wins
    Visitante

    Padrão squid e firewall em servidores separados

    Bom Dia Senhores,
    Tenho uma dúvida que acredito ser de fácil solução.

    Tenho 2 servidores, um antigo que roda o firewall e squid (transparente).
    a regra do firewall é simples
    #iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.0.0/16 --dport 80 -j REDIRECT --to-port 3128

    gostaria de continuar com o firewall no antigo e passar o squid transparente para o novo server, porém, eles estão longe fisicamente (tornando-se difícil ligar a rede externe nele).

    Como faço para ele redirecionar do Servidor velho para a porta 3128 do server novo onde já está o squid transparente?

    Consegui ser claro?
    Muito Obrigado pela ajuda pessoal!!!!


  2. #2

    Padrão Re: squid e firewall em servidores separados

    Hummmm, assim oh:

    Código :
    # iptables -t nat -A PREROUTING -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to-destination $IPSQUID:3128


    Abraços!



  3. #3
    Wins
    Visitante

    Padrão Re: squid e firewall em servidores separados

    Fala Stéfano
    eu fiz o que me falou...deu este erro....

    iptables v1.3.3: Unknown arg `--to-destination' Try `iptables -h' or 'iptables --help' for more information.

    Alguma dica?

  4. #4

    Padrão Re: squid e firewall em servidores separados

    Hummmm... dependendo da versão não aceita esse argumento... tenta só --to no final!



  5. #5

    Padrão Re: squid e firewall em servidores separados

    --to $ipsquid sem a porta

  6. #6

    Padrão Re: squid e firewall em servidores separados

    cara...

    tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...

    eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...

    logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...

    vou postar as regras que testei aqui...



  7. #7

    Padrão Re: squid e firewall em servidores separados

    estas foram as regras que testei...

    acho q a segunda funcionou...

    IP_REDE=ip's da rede interna
    IR_REDE_INT=eth ligada a rede interna
    IP_GW=ip do gateway - para rede interna
    SQUID_BOX=ip do micro proxy

    # Configurações para proxy

    # Configuração usada para que quando o firewall também for servidor http a requisição não passe pelo proxy
    #$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT

    # Configuração usada quando o servidor proxy está em outra máquina que não seja o Firewall
    # Configuração - 01

    #$IPT -t nat -A PREROUTING -s $SQUID_BOX -i $IR_REDE_INT -d $IP_GW -p tcp -m tcp --dport 80 -j ACCEPT
    #$IPT -t nat -A PREROUTING -s $IP_REDE -i $IR_REDE_INT -p tcp -m tcp --dport 80 -j DNAT --to 10.0.0.10:3128
    #$IPT -t nat -A POSTROUTING -s $IP_REDE -o $IR_REDE_INT -d $SQUID_BOX -j MASQUERADE
    #$IPT -t filter -A FORWARD -s $IP_REDE -i $IR_REDE_INT -d $SQUID_BOX -o $IR_REDE_INT -p tcp -m tcp --dport 3128 -j ACCEPT


    # Configuração - 02
    # Obs.: usando esta configuração é necessário adicionar a regra de redirecionamento de porta no squid-box
    # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

    #$IPT -t mangle -A PREROUTING -p tcp --dport 80 -s 10.0.0.10 -j ACCEPT
    #$IPT -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 3
    #ip rule add fwmark 3 table 2
    #ip route add default via 10.0.0.10 dev eth0 table 2

    é isso....

  8. #8

    Padrão Re: squid e firewall em servidores separados

    Citação Postado originalmente por lucianogf
    cara...

    tentei fazer isso aqui e para redirecionar o tráfego do squid para outra máquina não bastou apenas esta linha no iptables nãoi...


    eu até consegui fazer funcionar, mas não ficou da maneira como eu gostaria, então larguei mão por um tempo e esqueci de mexer novamente...

    logo de cara deve-se liberar o acesso a porta 80 o firewall para o squid, pois caso contrário ele ficará em loop...

    vou postar as regras que testei aqui...
    Cria uma excessão na regra de firewall com o operador "!". Algo tipo isso:

    Código :
    # iptables -t nat -A PREROUTING -s ! $IPSQUID -i $LAN_IFACE -p TCP --dport 80 --j REDIRECT --to $IPSQUID

    Eu acho que vai funcionar, não testei, porque a tabela NAT tem umas viadagens com origem, destino, etc.


    Abraços!



  9. #9

    Padrão Re: squid e firewall em servidores separados

    cara...

    mas ainda falta o FORWARD né?

  10. #10

    Padrão Re: squid e firewall em servidores separados

    lembro q na época q tentei fazer isso estava bem mais verde do q hj em termos de iptables...

    mas não foi muito fácil não...

    eu segui o how-to do squid-box...



  11. #11

    Padrão Re: squid e firewall em servidores separados

    Citação Postado originalmente por lucianogf
    cara...

    mas ainda falta o FORWARD né?
    Não entendi, hehehe.

  12. #12

    Padrão Re: squid e firewall em servidores separados

    é q vc postou a regra de PREROUTING, mas ainda precisa fazer o FORWARD dos pacotes dos micros clientes para o squid-box, correto?



  13. #13

    Padrão Re: squid e firewall em servidores separados

    Não, a menos que você esteja utilizando política DROP no seu firewall. Caso esteja, é só liberar o forward... =)

  14. #14

    Padrão Re: squid e firewall em servidores separados

    sim.. justamente...

    é q, eu particularmente, utilizo politica DROP como padrão...