Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Proxy Squid com desvio de portas

    Pessoal,

    Estou a dias procurando, tem como chegar uma requisão no SQUID, e eu conseguir desvia-lá para outro host e porta. Não que fazer isso pelo iptables.



    Atenciosamente,

    Leonardo

  2. #2

    Padrão

    se você especificar um pouco mais o que você que, talvez seja possível ajudá-lo.

    leia: --> https://under-linux.org/forums/assun...niciantes.html

  3. #3

    Padrão

    Minha situação é a seguinte, tenho um Firewall(roteador da rede) em uma maquina, o proxy e o msn-proxy em outra, utilizo acesso a internet por autenticação no proxy, ai que esta o problema como fazer para que as requisições de msn sejem desviadas para o meu msn-proxy, tens alguma regra no squid para esse desvio??/

  4. #4

    Padrão

    Acho que você pode fazer isso no seu Firewall (dependendo da topologia) ou no iptables mesmo. Que eu saiba não tem como fazer isso no squid.
    Agora, se você só quer que as conexões de MSN passem pelo MSN-proxy, porque você não configura o MSN pra usar um proxy??

  5. #5

    Padrão

    Já tentei fazer isso mas não consegui, como posso proceder para ersolver isso??? Alguem tem um case parecido.

  6. #6

    Padrão

    iptables -t nat -A PREROUTING -d "proxy" -p tcp -m tcp --dport "porta-proy" -j DNAT --to-destination "msn-proxy":"porta-msn-proxy"

    tente isso
    Última edição por timidboy; 03-06-2008 às 23:58.

  7. #7

    Padrão

    Obrigado, mas esse comanda ira desviar todo meu trafego do proxy para o msn-proxy ai não dá.


    Já to perdendo cabelo com isso.

  8. #8

    Padrão

    Se no parâmetro porta_proxy você colocar as portas usadas pelo msn ele não irá redirecionar "todo o tráfego".

  9. #9

    Padrão

    MAs igaula ira desviar todo meu trafego do meu proxy para o msn-proxy.

  10. #10

    Padrão

    Não cara, se no parâmetro porta_proxy você definir somente as portas tcp utilizadas pelo msn (se não me falha a memória é a 1863 e umas outras) ele so vai fazer DNAT dos pacotes do MSN. O tráfego Web (que roda na porta 80) não será afetado

  11. #11

  12. #12

    Padrão

    Relamente, pesquisei com mais calma e vi que o live messenger passou a utilizar a porta 80. É isso ai, a empresa do tio Bill dando mais trabalho pra gente...
    Acho que isso aqui talvez te ajude:

    https://under-linux.org/forums/proxy...m-conhece.html

    Até mais...

  13. #13

    Padrão

    Usa o iptables para fazer redirecionamentos de portas...
    Quando vir solicitações da sua rede interna p/ tal porta redireciona p/ a máquina tal...Entendeu?

  14. #14

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Relamente, pesquisei com mais calma e vi que o live messenger passou a utilizar a porta 80. É isso ai, a empresa do tio Bill dando mais trabalho pra gente...
    Acho que isso aqui talvez te ajude:

    https://under-linux.org/forums/proxy...m-conhece.html

    Até mais...

    Eles tentam fazer alguma coisa p/ melhor a conexão usando apenas uma porta e esquecem que existem corporações que proibem o uso do msn!
    Aí lascam tudo!
    e aí..Como bloquear esse live agora rodando na porta 80? Se existe programas como o conectividade social e outros programas que não tem como bloquear a porta 80, pois só funciona nela?
    Quando redireciona a porta 80 p/ 8080 ou até mesmo a do squid 3128, vc faz algumas regras no iptables p/ deixar requisições da máquina x quando partir p/ o ip de determinado banco deixar passar na porta 80. Só que andei liberando isso e fazendo teste com o live da microsoft e consegue passar pelo iptables mesmo especificando para só liberar a porta 80 só para determinandos ip ( ips de bancos, etc..).
    Agora o negocio começou a complicar!
    Acho que vamos ter que mexer na versão do iptables!

  15. #15

    Padrão

    nesse link que eu postei ai em cima, um cara explica um jeito de bloquear o live messenger. Dá uma olhada...

  16. #16

    Padrão

    Ainda estou com problemas, minha situação é o seguinte, tenho meu firewall e roteador da minha rede, meu servidor proxy e msn-proxy e minhas estações, não estou conseguinte fazer o msn-proxy funcionar com essa topologia, só que é o seguinte, não posso mudar essa topologia, pois os serviços que estão rodando nesse entorno já estão criticos e complexos.
    Preciso fazer o msn-proxy funcionar com a topologia atual, no meu ambiente de teste funciona blz, pois uso o proxy como roteador. Mas no abiente de produção vai ser conforme o atual.

    https://under-linux.org/forums/attac...1&d=1213649584
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Minha rede.jpg
Visualizações:	1024
Tamanho: 	20,3 KB
ID:      	2297  

  17. #17

    Padrão

    Como estão as regras do firewall??
    O problema provavelmente é devido ao redirecionamento com Nat...

  18. #18

    Padrão

    Use o Layer7 para jogar o MSN para seu msn-proxy.

  19. #19

    Padrão

    Coloquei o IP do Proxy/msn-proxy representado com IP 10.0.0.2, e assim estão minhas regras no Firewall e Proxy/msn-proxy.



    Ex.:

    Regra do Firewall

    iptables -t nat -A PREROUTING -i eth0 -p tcp -s ! 10.0.0.2/255.255.255.255 --dport 1863 -j DNAT --to-destination 10.0.0.2:1863


    Regra do Proxy/msn-proxy

    iptables -t nat -I PREROUTING -p tcp --dport 1863 -j REDIRECT --to-port 1863
    Última edição por leonardoss; 17-06-2008 às 10:40.

  20. #20

    Padrão

    Cara, é 99,9% de certeza que o seu problema é o seguinte:

    Quando seu gateway recebe os pacotes de MSN ele executa a seguinte regra: iptables -t nat -A PREROUTING -i eth0 -p tcp -s ! 10.0.0.2/255.255.255.255 --dport 1863 -j DNAT --to-destination 10.0.0.2:1863
    Que altera o IP de destino dos pacotes para 10.0.0.2.

    Vou explicar passo a passo:
    vamos supor que a máquina esteja usando o MSN tenha o IP 10.0.0.30, que o gateway seja o 10.0.0.1 e o MSN-proxy o 10.0.0.2.

    Quando o host gera o pacote ele contem os campos IP de origem e IP de destino que respectivamente são os IP: 10.0.0.30 e 10.0.0.1.
    Quando o gateway recebe esse pacote ele altera o IP de destino, de 10.0.0.1 para 10.0.0.2 e roteia o pacote.
    Quando o MSN-proxy recebe o pacote ele processa e tenta responder, ao tentar responder ele envia diretamente para o host 10.0.0.30, uma vez que ambos estão na mesma rede (10.0.0.0/24) ele não encaminha o pacote para o gateweay.
    Quando o host recebe o pacote com IP de origem 10.0.0.2 e IP de destino 10.0.0.30 (ele mesmo), ele simplesmente descarta esse pacote, pois ele requisitou essa conexão com o IP 10.0.0.1 e não com o 10.0.0.2! Deu pra entender ne?! Se esse pacote voltasse pelo gateway esse DNAT seria desfeito, e o host aceitaria a conexão...

    Agora vamos pra solução:
    1. Criar um SNAT, porém para o MSN-proxy todas as conexões estarão sendo abertas pelo gateway, 10.0.0.1 devido ao SNAT.
    2. Mover esse MSN-proxy para outra rede (o que você disse que era inviável).

    Qualquer dúvida posta ai...
    Última edição por Magnun; 17-06-2008 às 17:55.