Proxy transparente não funciona

**w00dy** · 27-09-2007, 23:02

Entaum pessoal,...
Seguinte..
minha rede:
eth0 = DHCP faixa 192.168.1.0/24
eth1 = static 192.168.0.0/24
eth2 = static 10.1.1.0/24

instalei o squid e segui alguns tutoriais mas num tah rolando.. Se eu setar o proxy no navegador funciona tudo direitinho.. mas transparente naum funciona.. Olha minhas regras..

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --t-port 3128
iptables -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Se precisar posso enviar o squid.conf..

Ta dificil.. credo..

Abraço..

**_N3o_** · 28-09-2007, 00:37

bom.. até onde entendi a eth0 que é o gateway, certo?

verifica se o teu firewall está barrando o squid.. que erro aparece?

abraços

**Fabio K. Lima** · 28-09-2007, 08:50

Woody, qual a versao do squid ? (squid -v)

**w00dy** · 28-09-2007, 08:56

2.6.STABLE5

Firewall num tah barrando ninguem pq num criei nenhuma regra de firewall..

**Fabio K. Lima** · 28-09-2007, 09:04

Verifique a diretiva http_port do seu squid.conf , deve ter explicitamente setado a opcao transparent

http_port 3128 transparent

Sds
Fabio K. Lima
LPIC

**rccavalin** · 28-09-2007, 09:05

Verifique o squid.conf

As regras estão corretas.

**w00dy** · 28-09-2007, 09:07

Tah setado mano..

http_port 3128 transparent

Tbem já adicionei a linha

always_direct allow all (logo após a linha "acl all src ... ... ..")

Mas nu tá resolvendo..

**Fabio K. Lima** · 28-09-2007, 09:22

Estranho.

O ip_forward ta ativo no kernel ?

sysctl net.ipv4.ip_forward

Qual o comportamento dos browsers ? Timeout ? Alguma mensagem de erro do Squid ? Suas regras de redirecionamento estao sendo utilizadas ? (iptables -t nat --list PREROUTING -nvx) Seja mais especifico com relacao as ua regra de mascaramento indicando a interface de saida com -o

**w00dy** · 28-09-2007, 09:41

INFOX-Server:~# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
INFOX-Server:~# iptables -t nat --list PREROUTING -nvx
Chain PREROUTING (policy ACCEPT 9 packets, 1866 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- * * 192.168.0.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
0 0 REDIRECT tcp -- * * 10.1.1.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
INFOX-Server:~#

Os navegadores dão time out..

Olhei os logs "access.log, cache.log e store.log" e não vi nada anormal..

**w00dy** · 28-09-2007, 09:44

Coloquei o squid.conf online..

www.ibbogstudio.com/squid.conf

**Fabio K. Lima** · 28-09-2007, 09:56

Entao woody, seu problema nao está no squid, e sim no firewall, note que nada está sendo redirecionado para o squid nas suas regras. Voce esta cometendo algum equivoco na infra. Cole a saida do comando

ip addr | grep inet

A interface eth0 é sua saida pra internet ? Qual o ip do gateway nos clientes ?

Fabio K. Lima
LPIC

**mistymst** · 28-09-2007, 09:56

Bom, os clientes nao estão chegando no teu redirect... sugiro que voce poste tudo para gente:

iptables -L -n
iptables -L -n -t nat

o seu ip_forward esta ok, entao acredito que temos condicoes de pular a parte de ler todas as variaveis do sysctl.

outra, qual a configuração de rede que os seus clientes estão pegando?

Acho que isso dá para ajudar no que falta.

**w00dy** · 28-09-2007, 10:06

Bom..
Vou tentar ser bem detalhado...

eth0 é o gateway... conectado direto no modem.. pega por dhcp da faixa 192.168.1.0/24, no momento tah 192.168.1.64..

eth1 é estatico da faixa 192.168.0.0/24

eth2 tbem estatico da faixa 10.1.1.0/24...

A eth0 tah ligada direto no modem.. da eth1 sai um cabo pra um switch.. a eth2 num tah ligada ainda.. e tenho outros micros ligados neste switch;..

Os micro tão com rede assim

ip = 192.168.0.15
mask = 255.255.255.0
gw = 192.168.0.1
dns = da brasiltelecom.. mas jah coloquei milhões aki e descarte a hipotese..

Se eu seto proxy no navegador, navega... intaum o squid tá funcionando.. pelo jeito o problema é mesmo o firewall..

vamos lá..

INFOX-Server:/var/log/squid# ip addr | grep inet
-bash: ip: command not found
------------------------------------------------------
INFOX-Server:/var/log/squid# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
------------------------------------------------------
INFOX-Server:/var/log/squid# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
REDIRECT tcp -- 10.1.1.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE 0 -- 192.168.0.0/24 0.0.0.0/0
MASQUERADE 0 -- 10.1.1.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

**mistymst** · 28-09-2007, 10:20

Macabro, vou apelar.... é o unico jeito

Vamos supor que voce vai acessar da maquina 192.168.0.15, entao voce digitará:

# tcpdump -i eth1 -n host 192.168.0.15

Se nao existir o tcpdump na sua instalação, por favor instale-o.

Tente acessar a internet pelo browse, sem proxy, e assim que der o "timeout", cole o output para gente.

**w00dy** · 28-09-2007, 10:33

Postado originalmente por mistymst

# tcpdump -i eth1 -n host 192.168.0.15

Se nao existir o tcpdump na sua instalação, por favor instale-o.
.

As maquinas são windows cara..

**mistymst** · 28-09-2007, 10:40

Ueh... geralmente quando a gente poem # é porque é no shell... pensei que irias entender, enfim, digita no firewall o tcpdump e acessa do cliente para ver o que acontece

**w00dy** · 28-09-2007, 10:51

sahushsusah

desculpa.. noob.. shusahsusahu

Vou fazer.. isso.. já posto resultado..

**w00dy** · 28-09-2007, 11:32

Vocês vão me odiar..

Mas era configuração das interfaces de rede..
fui dar o tcpdump no ip e naum rolava.. tentei pingar e naum rolava.. jah me deu um ruim..
sahusahsauas

fui ver.. a eth1 que era pra tah co ip 192.168.0.15 tava 192.168.1.15..

fala seri neh? erro de digitação.. e o maneh aki nem lembrou de olhar isso..
Desculpa aih pessoal..

E obrigado pela força..

**mistymst** · 28-09-2007, 11:44

É essa a hora que a gente esgana a pessoa

hehe brincadeira, enfim mas pelo menos resolveu e jah da tudo tranquilo... esses "casos macabros" sempre é besteira e isso que da raiva haha

**w00dy** · 28-09-2007, 11:47

Postado originalmente por mistymst

É essa a hora que a gente esgana a pessoa

hehe brincadeira, enfim mas pelo menos resolveu e jah da tudo tranquilo... esses "casos macabros" sempre é besteira e isso que da raiva haha

Verdade cara.. Deu vontade de sair correndo e gritando..

Mas vlw a força aí galera..

Proxy transparente não funciona

Ferramentas de Tópicos

Proxy transparente não funciona