- Desafio Squid + Iptables
+ Responder ao Tópico
-
Desafio Squid + Iptables
OK vou checar se não estou fazendo confusão com relação a ordem das acls.
Valeu mesmo.
-
Desafio Squid + Iptables
Olha acho que realmente vou voltar ao ipchains pois com o iptables não tive muita sorte não.. <IMG SRC="images/forum/smilies/icon_lol.gif">
-
Desafio Squid + Iptables
Entaum volte o kernel para o 2.2 que q o ipchains com o 2.4 tem algumas imcompatibilidades...
mas isso q esta acontecendo eu acho q num eh problema com o iptables mas sim o squid
-
Desafio Squid + Iptables
Vou tirar a prova recentemente saiu uma versão nova e estavel do squid irei baixa-la e refazer todas as confs , começando do zero.
Valeu pela ajuda de todos.
<IMG SRC="images/forum/smilies/icon_smile.gif">
-
Desafio Squid + Iptables
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
Ative o repasse de pacotes
no rc.local adicione
echo 1 > /proc/sys/net/ipv4/ip_forward
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
-
Desafio Squid + Iptables
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2002-11-22 13:30, Anonymous wrote:
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
Ative o repasse de pacotes
no rc.local adicione
echo 1 > /proc/sys/net/ipv4/ip_forward
Allan PAtrick
[email protected]
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
-
Desafio Squid + Iptables
nas configurações do squid.conf:
http_access allow rede_interna
httpd_accel_host virtual # aqui, ao invés de "virtual" vc deve inserir o nome da máquina q vc esta ulilizando para o proxy
httpd_accell_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
<IMG SRC="images/forum/icons/icon_wink.gif">
-
Desafio Squid + Iptables
Qdo fui implementar Proxy Transparente aqui, tive o mesmo problema:
A configuração do Proxy sobe sem erros, mas NADA de transparente, tinha que especificar o proxy no navegador.
Resolvi o problema corrigindo minhas configurações do BIND
Talves vc não tenha o BIND rodando, mas pode ser alguma coisa relacionada com servidor DNS.
Verifique /etc/resolv.conf
e na configuração do squid
visible_hostname seudominio.com.br
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
-
Desafio Squid + Iptables
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2002-11-25 20:44, 4ndr3 wrote:
Qdo fui implementar Proxy Transparente aqui, tive o mesmo problema:
A configuração do Proxy sobe sem erros, mas NADA de transparente, tinha que especificar o proxy no navegador.
Resolvi o problema corrigindo minhas configurações do BIND
Talves vc não tenha o BIND rodando, mas pode ser alguma coisa relacionada com servidor DNS.
Verifique /etc/resolv.conf
e na configuração do squid
visible_hostname seudominio.com.br
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
FOI MAL
MARQUEI E NÃO ME LIGUEI QUE JÁ HAVIA MAIS DUAS PAGINAS COM RESPOSTAS.
SAIO DE FININHO E VOLTO MAIS TARDE ...
<IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_cool.gif"> <IMG SRC="images/forum/icons/icon_eek.gif">
-
Desafio Squid + Iptables
Galerinha,
tive o mesmo problema que os amigos ae... e discubri uma coisa....
heuheuehue
so acontece isso no WINDOWS!!! tenho estacoes linux... que funcionam normalmente.... com o proxy transparente
<IMG SRC="images/forum/icons/icon_mad.gif"> <IMG SRC="images/forum/icons/icon27.gif">
-
Desafio Squid + Iptables
se vcs quizerem eu tenho os arquivos do Iptables e squid para proxy transparente que eu fiz
-
Desafio Squid + Iptables
Mas transparent proxy de web só funciona HTTP... não se pode fazer transparent proxy de HTTPS... resumindo... não vale muito a pena não...
-
Desafio Squid + Iptables
Caros,
Comigo funciona assim, basta isto:
eth1 - ligada a internet
eth2 - para a rede interna
echo 1 > /proc/sys/net/ipv4/ip_forward
# Mascaramento da Internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p tcp -s 10.10.0.0/16 -d 0/0
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p udp -s 10.10.0.0/16 -d 0/0
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE -p icmp -s 10.10.0.0/16 -d 0/0
# Jogando para o SQUID
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 8080 -s 10.10.0.0/16
------------------------------------------------------
Detalhe crucial do squid.conf
http_port 10.10.5.1:8080
(...) acl´s e outros...
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
-
Desafio Squid + Iptables
Cara o meu problema é o mesmo.
Observe esta linha no seu iptables
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
ela esta fazendo com que tudo que venha da sua rede com destina a qualquer lugar no protocolo tcp na porta 80 seja redirecionado para a porta 3128 que é a porta padrão do squid
Tente tirar a linha de redirecionamento do seu iptables e observe que sua rede não navega mais.
ou seja o squid compartilha a internet sem a regra de nat
estranho isto não?
-
Desafio Squid + Iptables
é bastante claro que o problema está no filtro de pacotes (iptables), não no Squid.
proxy transparente é um pé no s$%##, mesmo quando funciona gera uma porção de outros problemas.
a minha sugestão fica configurar o firewall para aceitar requisições http/https/ftp do servidor proxy, barrar todas as outras máquinas.
já que vc usa windows xp, configure políticas de usuários nas máquinas, configurando o proxy no IE e desabilitando acesso dos usuários a configuração do mesmo.
-
Desafio Squid + Iptables
To com um problema quase igual aqui!!
No Server está Conectiva 8.0 com proxy squid da distribuição.; as estações são windows 98 / 2000 / xp.
As configurações estão assim:
no final do arquivo "/etc/rc.d/rc.local" inclui as seguintes linhas:
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_nat
modprobe iptable_nat_ftp
modprobe iptable_filter
iptable-restore < /etc/iptables
Conteúdo do arquivo iptables:
iptables -F
iptables -Z
iptables -t nat -F
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -d 0/0 -s 172.16.64.0/32 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -d 172.16.64.0./32 -s 0/0 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t filter -A INPUT -s 172.16.64.0./32 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -s 172.16.64.0/32 -d 0/0 -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -s 172.16.64.0/32 -d 0/0 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
Observações:
- quando digito "#iptables -L" as regras do arquivo iptables estão ativas.
- A Configuração das estações de trabalho estão assim: na placa de rede eu coloco o ip do meu servidor como gateway; coloco os dois dns do meu provedor + 0 ip do server; no brouser falo para ele procurar automaticamente; mas quando vou navegar não navega......falta configurar mais alguma coisa? Tentei navegar só com ips, pois pensei que não estava resolvendo nomes, mas também não funcionou!!!
O que fazer? O que falta configurar? Está faltando alguma regra?
- se eu seto no brouser o ip do server e porta 3128 a navegação está normal; mas assim eu não quero!!!! pois o objetivo de implantação desse firewall, inicialmente é transformar o meu proxy em proxy transparente e depois que estiver funcionando assim, liberar o envio e recebimento de e-mails (smtp - pop3);
O que está faltando? Eu tenho que configurar um servidor de DNS?
Grato pelas respostas!!!
-
Desafio Squid + Iptables
Quando listo as minhas regras elas ficam assim, mas não está funcionando!!!
Chain INPUT (policy ACCEPT)
target prot opt source destination ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 172.16.64.0 anywhere LOG tcp -- anywhere anywhere tcp dpt:ssh LOG level warning
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Grato pelas respostas!!!!
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 172.16.64.0 anywhere
ACCEPT all -- anywhere 172.16.64.0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- 172.16.64.0 anywhere
ACCEPT icmp -- 172.16.64.0 anywhere
HELP-ME!!!