Rediecionamento de Porta - SQUID

[blahh]

Tenho um servidor proxy rodando o squid (no debian), e coloquei uma regra de iptables para q as requisicoes de acesso a internet sejam redirecionadas para o proxy (transparente): Ocorre que nem os logs sao gerados (access.log) nem funciona, pq simplesmente as acls nao funcionam, entao retirei a regra de redirecionamento e configurei o proxy no navegador das estacoes, ai sim funciona corretamente (acls e gera logs normalmente)... realmente nao sei o q ocorre...to usando a seguinte regra:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


onde:

eth0 - interface conectada ao provedor de acesso a internet

Ps - Antes dessa regra (no script) vem as regras para compartilhamento e nat:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[wrochal]

Caro,

Voce esta usando que versão do squid, a nativa que vem instalar via apt-get?

abs,

[netolinux]

Ola amigo!! Tenta entrar no squid.conf e ve se encontra as seguintes linhas estão assim elas abilitam o squid p/ suportar o proxy transparente!! espero ter ajudado!! :-)
http_accel_hot virtual
http_accel_port 80
http_accel_with_proxy on
http_accel_uses_host_header on

[netolinux]

Ola amigo!! Tenta entrar no squid.conf e ve se encontra as seguintes linhas estão assim elas abilitam o squid p/ suportar o proxy transparente!! espero ter ajudado!! :-)
http_accel_hot virtual
http_accel_port 80
http_accel_with_proxy on
http_accel_uses_host_header on

abilitam não desculpa jah deixam teu squid funcional!!

[xstefanox]

Amigão, você está referenciando as interfaces de entrada e saída de forma errada nas suas regras. Veja bem, na regra de redirecionamento (A que utiliza a chain PREROUTING) você utiliza -i eth0. Logo à seguir no seu post, você mostra a regra de NAT (A que utiliza a chain POSTROUTING), você utiliza -o eth0.

Então nós apresentamos o conceito de quê quando utilizamos "-i", a interface que serve de argumento é a interface de ENTRADA. Quando utilizamos "-o", é a interface de SAÍDA. Ou seja: se a sua sua internet vem pela eth1, você deve colocá-la na regra de POSTROUTING e se a sua LAN está em contato com a eth0, você colocaria ela na regra de PREROUTING.

Finalizando: Como que você consegue fazer a interface de entrada da internet e da LAN ser a mesma?

Abraços!

[blahh]

perae...vou explicar melhor:

eth0 - conectada a provedor, entao ela entra no POSTROUTING como -o eth0

eth1 - conectada à lan, entao entra no PREROUTING como -i eth1

regras esao configuradas como:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


fora isso preciso habilitar alguma tag no squid.conf que permita o proxy transparente ?

[xstefanox]

As regras vão ficar assim:

Código :

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128

Não precisa do -m multiport porque você não vai utilizar várias portas na regra e SIM, você precisa alterar algumas coisas no squid.conf, conforme o amigo acima mencionou. Entretanto, aquelas configurações servem para as versões 2.4 e 2.5 do Squid, sendo alteradas na versão 2.6 para outra sintaxe dentro do arquivo.


Abraços!

[snoopyy]

aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ? aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ?

[xstefanox]

aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ? aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ?

O quê eu imagino que você queira fazer é bloquear o acesso à proxies externos, para que o usuário não preencha os campos do navegador e passe pelo seu proxy.

Eu faço isso utilizando política DROP na chain FORWARD.

=)

[snoopyy]

ok..

configurei minhas regras dessa maneira:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT


e ta funcionando beleza , acredito que máquinas de fora da minha reede não consigam navegar utilizando meu proxy , configurados em seus navegadores, entretanto não resolvi meu problema principal: BLoquear a utilização de proxys através dos navegadores de meus usuários !!!!

[xstefanox]

ok..

configurei minhas regras dessa maneira:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT


e ta funcionando beleza , acredito que máquinas de fora da minha reede não consigam navegar utilizando meu proxy , configurados em seus navegadores, entretanto não resolvi meu problema principal: BLoquear a utilização de proxys através dos navegadores de meus usuários !!!!

Utilize política DROP no seu firewall e libere o que for necessário.