+ Responder ao Tópico



  1. #1
    blahh
    Visitante

    Padrão Rediecionamento de Porta - SQUID

    Tenho um servidor proxy rodando o squid (no debian), e coloquei uma regra de iptables para q as requisicoes de acesso a internet sejam redirecionadas para o proxy (transparente): Ocorre que nem os logs sao gerados (access.log) nem funciona, pq simplesmente as acls nao funcionam, entao retirei a regra de redirecionamento e configurei o proxy no navegador das estacoes, ai sim funciona corretamente (acls e gera logs normalmente)... realmente nao sei o q ocorre...to usando a seguinte regra:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


    onde:

    eth0 - interface conectada ao provedor de acesso a internet

    Ps - Antes dessa regra (no script) vem as regras para compartilhamento e nat:

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  2. #2
    wrochal
    Visitante

    Padrão

    Caro,

    Voce esta usando que versão do squid, a nativa que vem instalar via apt-get?

    abs,



  3. #3

    Padrão

    Ola amigo!! Tenta entrar no squid.conf e ve se encontra as seguintes linhas estão assim elas abilitam o squid p/ suportar o proxy transparente!! espero ter ajudado!! :-)
    http_accel_hot virtual
    http_accel_port 80
    http_accel_with_proxy on
    http_accel_uses_host_header on

  4. #4

    Padrão

    Citação Postado originalmente por netolinux Ver Post
    Ola amigo!! Tenta entrar no squid.conf e ve se encontra as seguintes linhas estão assim elas abilitam o squid p/ suportar o proxy transparente!! espero ter ajudado!! :-)
    http_accel_hot virtual
    http_accel_port 80
    http_accel_with_proxy on
    http_accel_uses_host_header on
    abilitam não desculpa jah deixam teu squid funcional!!



  5. #5

    Padrão

    Amigão, você está referenciando as interfaces de entrada e saída de forma errada nas suas regras. Veja bem, na regra de redirecionamento (A que utiliza a chain PREROUTING) você utiliza -i eth0. Logo à seguir no seu post, você mostra a regra de NAT (A que utiliza a chain POSTROUTING), você utiliza -o eth0.

    Então nós apresentamos o conceito de quê quando utilizamos "-i", a interface que serve de argumento é a interface de ENTRADA. Quando utilizamos "-o", é a interface de SAÍDA. Ou seja: se a sua sua internet vem pela eth1, você deve colocá-la na regra de POSTROUTING e se a sua LAN está em contato com a eth0, você colocaria ela na regra de PREROUTING.

    Finalizando: Como que você consegue fazer a interface de entrada da internet e da LAN ser a mesma?

    Abraços!

  6. #6
    blahh
    Visitante

    Padrão

    perae...vou explicar melhor:

    eth0 - conectada a provedor, entao ela entra no POSTROUTING como -o eth0

    eth1 - conectada à lan, entao entra no PREROUTING como -i eth1

    regras esao configuradas como:
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -F
    iptables -t nat -F
    iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth1 -p udp -m multiport --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


    fora isso preciso habilitar alguma tag no squid.conf que permita o proxy transparente ?



  7. #7

    Padrão

    As regras vão ficar assim:

    Código :
    # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    # iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128

    Não precisa do -m multiport porque você não vai utilizar várias portas na regra e SIM, você precisa alterar algumas coisas no squid.conf, conforme o amigo acima mencionou. Entretanto, aquelas configurações servem para as versões 2.4 e 2.5 do Squid, sendo alteradas na versão 2.6 para outra sintaxe dentro do arquivo.


    Abraços!

  8. #8
    snoopyy
    Visitante

    Padrão

    aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ? aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ?



  9. #9

    Padrão

    Citação Postado originalmente por snoopyy Ver Post
    aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ? aproveitando o embalo deste tópico: Pode ser desabilitado o acesso via proxy opcional (configurado no navegador), ja que existe um proxy transparente redirecionando as requisições ao squid ?
    O quê eu imagino que você queira fazer é bloquear o acesso à proxies externos, para que o usuário não preencha os campos do navegador e passe pelo seu proxy.

    Eu faço isso utilizando política DROP na chain FORWARD.

    =)

  10. #10
    snoopyy
    Visitante

    Padrão

    ok..

    configurei minhas regras dessa maneira:

    iptables -P FORWARD DROP
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT


    e ta funcionando beleza , acredito que máquinas de fora da minha reede não consigam navegar utilizando meu proxy , configurados em seus navegadores, entretanto não resolvi meu problema principal: BLoquear a utilização de proxys através dos navegadores de meus usuários !!!!



  11. #11

    Padrão

    Citação Postado originalmente por snoopyy Ver Post
    ok..

    configurei minhas regras dessa maneira:

    iptables -P FORWARD DROP
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT


    e ta funcionando beleza , acredito que máquinas de fora da minha reede não consigam navegar utilizando meu proxy , configurados em seus navegadores, entretanto não resolvi meu problema principal: BLoquear a utilização de proxys através dos navegadores de meus usuários !!!!
    Utilize política DROP no seu firewall e libere o que for necessário.