OK vou checar se não estou fazendo confusão com relação a ordem das acls.
Valeu mesmo.
Versão Imprimível
OK vou checar se não estou fazendo confusão com relação a ordem das acls.
Valeu mesmo.
Olha acho que realmente vou voltar ao ipchains pois com o iptables não tive muita sorte não.. <IMG SRC="images/forum/smilies/icon_lol.gif">
Entaum volte o kernel para o 2.2 que q o ipchains com o 2.4 tem algumas imcompatibilidades...
mas isso q esta acontecendo eu acho q num eh problema com o iptables mas sim o squid
Vou tirar a prova recentemente saiu uma versão nova e estavel do squid irei baixa-la e refazer todas as confs , começando do zero.
Valeu pela ajuda de todos.
<IMG SRC="images/forum/smilies/icon_smile.gif">
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
Ative o repasse de pacotes
no rc.local adicione
echo 1 > /proc/sys/net/ipv4/ip_forward
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2002-11-22 13:30, Anonymous wrote:
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
Ative o repasse de pacotes
no rc.local adicione
echo 1 > /proc/sys/net/ipv4/ip_forward
Allan PAtrick
[email protected]
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
nas configurações do squid.conf:
http_access allow rede_interna
httpd_accel_host virtual # aqui, ao invés de "virtual" vc deve inserir o nome da máquina q vc esta ulilizando para o proxy
httpd_accell_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
<IMG SRC="images/forum/icons/icon_wink.gif">
Qdo fui implementar Proxy Transparente aqui, tive o mesmo problema:
A configuração do Proxy sobe sem erros, mas NADA de transparente, tinha que especificar o proxy no navegador.
Resolvi o problema corrigindo minhas configurações do BIND
Talves vc não tenha o BIND rodando, mas pode ser alguma coisa relacionada com servidor DNS.
Verifique /etc/resolv.conf
e na configuração do squid
visible_hostname seudominio.com.br
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2002-11-25 20:44, 4ndr3 wrote:
Qdo fui implementar Proxy Transparente aqui, tive o mesmo problema:
A configuração do Proxy sobe sem erros, mas NADA de transparente, tinha que especificar o proxy no navegador.
Resolvi o problema corrigindo minhas configurações do BIND
Talves vc não tenha o BIND rodando, mas pode ser alguma coisa relacionada com servidor DNS.
Verifique /etc/resolv.conf
e na configuração do squid
visible_hostname seudominio.com.br
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
FOI MAL
MARQUEI E NÃO ME LIGUEI QUE JÁ HAVIA MAIS DUAS PAGINAS COM RESPOSTAS.
SAIO DE FININHO E VOLTO MAIS TARDE ...
<IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_cool.gif"> <IMG SRC="images/forum/icons/icon_eek.gif">
Galerinha,
tive o mesmo problema que os amigos ae... e discubri uma coisa....
heuheuehue
so acontece isso no WINDOWS!!! tenho estacoes linux... que funcionam normalmente.... com o proxy transparente
<IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon27.gif">
se vcs quizerem eu tenho os arquivos do Iptables e squid para proxy transparente que eu fiz
Mas transparent proxy de web só funciona HTTP... não se pode fazer transparent proxy de HTTPS... resumindo... não vale muito a pena não...
Caros,
Comigo funciona assim, basta isto:
eth1 - ligada a internet
eth2 - para a rede interna
echo 1 > /proc/sys/net/ipv4/ip_forward
# Mascaramento da Internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p tcp -s 10.10.0.0/16 -d 0/0
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p udp -s 10.10.0.0/16 -d 0/0
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p icmp -s 10.10.0.0/16 -d 0/0
# Jogando para o SQUID
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 8080 -s 10.10.0.0/16
------------------------------------------------------
Detalhe crucial do squid.conf
http_port 10.10.5.1:8080
(...) acl´s e outros...
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Cara o meu problema é o mesmo.
Observe esta linha no seu iptables
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
ela esta fazendo com que tudo que venha da sua rede com destina a qualquer lugar no protocolo tcp na porta 80 seja redirecionado para a porta 3128 que é a porta padrão do squid
Tente tirar a linha de redirecionamento do seu iptables e observe que sua rede não navega mais.
ou seja o squid compartilha a internet sem a regra de nat
estranho isto não?
é bastante claro que o problema está no filtro de pacotes (iptables), não no Squid.
proxy transparente é um pé no s$%##, mesmo quando funciona gera uma porção de outros problemas.
a minha sugestão fica configurar o firewall para aceitar requisições http/https/ftp do servidor proxy, barrar todas as outras máquinas.
já que vc usa windows xp, configure políticas de usuários nas máquinas, configurando o proxy no IE e desabilitando acesso dos usuários a configuração do mesmo.
To com um problema quase igual aqui!!
No Server está Conectiva 8.0 com proxy squid da distribuição.; as estações são windows 98 / 2000 / xp.
As configurações estão assim:
no final do arquivo "/etc/rc.d/rc.local" inclui as seguintes linhas:
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_nat
modprobe iptable_nat_ftp
modprobe iptable_filter
iptable-restore < /etc/iptables
Conteúdo do arquivo iptables:
iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -d 0/0 -s 172.16.64.0/32 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 172.16.64.0./32 -s 0/0 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t filter -A INPUT -s 172.16.64.0./32 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 172.16.64.0/32 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -s 172.16.64.0/32 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
Observações:
- quando digito "#iptables -L" as regras do arquivo iptables estão ativas.
- A Configuração das estações de trabalho estão assim: na placa de rede eu coloco o ip do meu servidor como gateway; coloco os dois dns do meu provedor + 0 ip do server; no brouser falo para ele procurar automaticamente; mas quando vou navegar não navega......falta configurar mais alguma coisa? Tentei navegar só com ips, pois pensei que não estava resolvendo nomes, mas também não funcionou!!!
O que fazer? O que falta configurar? Está faltando alguma regra?
- se eu seto no brouser o ip do server e porta 3128 a navegação está normal; mas assim eu não quero!!!! pois o objetivo de implantação desse firewall, inicialmente é transformar o meu proxy em proxy transparente e depois que estiver funcionando assim, liberar o envio e recebimento de e-mails (smtp - pop3);
O que está faltando? Eu tenho que configurar um servidor de DNS?
Grato pelas respostas!!!
Quando listo as minhas regras elas ficam assim, mas não está funcionando!!!
Chain INPUT (policy ACCEPT)
target prot opt source destination ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 172.16.64.0 anywhere LOG tcp -- anywhere anywhere tcp dpt:ssh LOG level warning
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Grato pelas respostas!!!!
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 172.16.64.0 anywhere
ACCEPT all -- anywhere 172.16.64.0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 172.16.64.0 anywhere
ACCEPT icmp -- 172.16.64.0 anywhere
HELP-ME!!!