+ Responder ao Tópico



  1. #1

    Unhappy Proxy Transparente não funfa

    Meus caros amigos;

    Fiz essa configurações abaixo para quando inicializar o Debian no meu /etc/rc.local
    para compartilhar a internet saindo pela eth0 (internet)fix assim :

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128
    iptables -A FORWARD -j DROP
    exit 0

    Criei meus arquivo: freeips, palavras, sitesnegados, etc.
    Fiz : /etc/init.d/ ./squid restart
    Squid –k parse
    Squid –k reconfigure

    Depois parre o squid: /etc/init.d/ ./squid stop
    Ai fui no Windows XP e tentei navegar e ele está navegando com o squid parado, como faço para isso funcionar e prevalecer as regras do arquivo abaixo.

    tenho 2 placa de rede eth0 (internet) e eth1 (Lan)

    Segue o meu Squid.conf

    # ------------------------------
    # PROXY TRANSPARENTE
    # ------------------------------
    http_port 3128 transparent
    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY
    cache_mem 64 MB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 1024 16 256
    maximum_object_size_in_memory 128 KB
    maximum_object_size 8192 KB
    cache_log /var/log/squid/cache.log
    cache_access_log /var/log/squid/access.log
    cache_store_log /var/log/squid/store.log
    pid_filename /var/run/squid.pid
    visible_hostname proxy.rota1
    error_directory /usr/share/squid/errors/Portuguese
    emulate_httpd_log on
    # DNS a ser utilizado pelo SQUID
    dns_nameservers 200.149.50.150 200.163.133.147
    # Local onde esta o executavel DISKD, que aumenta o desempenho do cache
    diskd_program /usr/lib/squid/diskd-daemon
    hierarchy_stoplist cgi-bin ?
    hierarchy_stoplist html ?
    #INSIRA AQUI AS DETERMINÇÕES PARA PERMITIR OU NEGAR O ACESSO DOS CLIENTES.
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl to_localhost dst 127.0.0.0/8
    acl SSL_ports port 443 563 # https, snews
    acl SSL_ports port 873 # rsyncacl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT
    #----------------------
    # ACLs - Personalizadas
    #----------------------
    # Define a Rede Interna (Lan)
    acl minha_rede src 192.168.0.0/24
    # Define os PC(s) com privilegio total - CUIDADO!
    acl freeips arp "/etc/squid/listas/freeips"
    # Define a lista de PC(s) autorizados ao acesso a Internet
    acl internet arp "/etc/squid/listas/internet"
    # Define a lista de sites Bloqueados
    acl sitesnegados dstdomain "/etc/squid/listas/sitesnegados"
    # Utilizado p/criar lista baseado em conteudos de palavras negadas
    acl palavras url_regex -i "/etc/squid/listas/palavras"
    # Define o browser Internet Explorer
    acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
    # Define PC(s) autorizados a usar o Internet Explorer
    acl ie_usuario arp "/etc/squid/listas/browser"
    # Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
    acl bloqueados arp "/etc/squid/listas/bloqueados"
    # Define o horário do expediente
    acl exp1_seg-qui time MTWH 08:00-12:00
    acl exp2_seg-qui time MTWH 13:30-17:00
    acl exp1_sex time F 08:00-12:00
    #----------------------------
    # HTTP_ACCESS Recomendadas
    #----------------------------
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    #-----------------------------
    # HTTP_ACCESS - Personalizadas
    #-----------------------------
    # Nega sites improprios
    http_access deny sitesnegados !freeips
    # Nega palavras impróprias
    http_access deny palavras !freeips
    # Nega os formatos de vídeo, áudio e outros de risco
    http_access deny video !freeips
    http_access deny audio !freeips
    http_access deny risco !freeips
    # Nega o Internet Explorer
    http_access deny ie_browser !ie_usuario !freeips
    # Nega Internet no expediente para quem não esta na lista
    http_access deny !internet !freeips exp1_seg-qui
    http_access deny !internet !freeips exp2_seg-qui
    http_access deny !internet !freeips exp1_sex
    # Nega PC(s) sem acesso a internet (bloqueados)
    http_access deny bloqueados
    # Permite acesso da rede interna (Intranet)
    http_access allow minha_rede
    # Nega tudo que não foi liberado ou negado
    http_access deny all
    cache_effective_user proxy
    cache_effective_group proxy
    ## No caso do squid parar, onde sera armazendo o arquivo de core dump (depuracao)
    coredump_dir /var/spool/squid

    Alguém pode me ajudar ?
    Muito obrigado

    Última edição por prasantos; 02-09-2008 às 20:51.

  2. #2

    Padrão

    Olá amigo,

    Basicamente só de olhar seu post já deu para encontrar alguns erros:
    Você disse que sua lan é a eth1, e você esta redirecionando a eth0 para a 3180!
    Você esta colocando o trafego web na 3180 e seu squid esta rodando na 3128!
    Http usa protocolo TCP!

    Para colocar a chain FORWARD em DROP é assim:

    Código :
    iptables -t filter -P FORWARD DROP

    Da uma revisada nas suas configurações!

    Abraço,

    André
    Última edição por zenun; 02-09-2008 às 18:44. Razão: agregando informação iptables

  3. #3

    Red face Proxy Transparente não funfa

    Citação Postado originalmente por zenun Ver Post
    Olá amigo,

    Basicamente só de olhar seu post já deu para encontrar alguns erros:
    Você disse que sua lan é a eth1, e você esta redirecionando a eth0 para a 3180!
    Você esta colocando o trafego web na 3180 e seu squid esta rodando na 3128!
    Http usa protocolo TCP!

    Para colocar a chain FORWARD em DROP é assim:

    Código :
    iptables -t filter -P FORWARD DROP

    Da uma revisada nas suas configurações!

    Abraço,

    André

    Oh! Amigão

    Eu digitei errado nas linhas:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128

    vou tentar a alteração que você falou:

    iptables -t filter -P FORWARD DROP

  4. #4

    Padrão Proxy Transparente não funfa

    Fix assim agora como o André falou, e nada, não filtra, eu parei o squid e ele deixa passar.

    tô na roça....ai mamãe

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to port 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to port 3128
    iptables -t filter -P FORWARD DROP
    exit 0

  5. #5

    Padrão

    Amigo...

    Basicamente se você não tem nenhuma outra regra dentro da chain FORWARD colocando a regra padrão como DROP, sem o squid, nada passa! Seu caso não é diferente...

    Antes de você colocar essas regras limpe tudo que esta ali...

    Código :
    iptables -t filter -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP 
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to port 3128

    Se você executar essas regras de iptables e não tiver o squid na porta 3128 nenhuma maquina deveria navegar!
    E você tem certeza de que esta usando esta maquina para sair a internet correto?
    Seu default gateway é ele?
    Estou assumindo que sua lan é eth1 e wan eth0, como você disse no post anterior!
    Não estamos analizando nenhum erro de proxy aqui ainda...