como fazer o squid funcionar como gateway?

stallion · 22-02-2005, 10:14

ola!!!
tenho estações windows 2000 com um servidor squid, toda vez que um usuário novo loga, tenho que ir até a maquina para configurar o squid, como fazer isso configurando a máquina, para todos os usuários de uma vez? como um gateway?, se não vou ter que configurar máquina por máquina para cada usuário.

**Jim** · 22-02-2005, 10:53

vc usa squid autenticado? Se usa, acho que vc vai ter que mexer no registro do windows das estações, do contrário, use estas regras de Iptables para tornar seu proxy transparente:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ethX -j MASQUERADE
iptables -t nat -A PREROUTING -i ethY -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde ethX é a placa inet e ethY é a placa interna.

Nas estações vc terá que setar IP, mascara, gateway e DNS, eliminando a necessidade de configurar o proxy no borwser.

stallion · 22-02-2005, 13:33

ola!!
fiz isso

iptables -t nat -A POSTROUTING -s 11.77.2.254/24 -o eth0 -j MASQUERADE (de onde vem a net)

iptables -t nat -A PREROUTING -i eth1 -s 192.168.6.1/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 (para onde vai)

não funcionou:
tenho algumas dúvidas:

1)/24 no ip se refere a mascara da rede?, no caso uso 255.255.0.0 nas duas, devo colocar /16 ou /24 (não funcionou com nenhuma das duas)?

2) o gateway que coloco é o ip do meu servidor, mas quais serão os dns, os mesmos que uso na placa eth0?

obs: deixei meu squid.conf como recomenda o artigo de proxy transparente aqui no underlinux.

obrigado e até mais!!!

stallion · 22-02-2005, 13:36

ah não uso autenticação no proxy!!

**Jim** · 22-02-2005, 13:55

Postado originalmente por stallion

iptables -t nat -A POSTROUTING -s 11.77.2.254/24 -o eth0 -j MASQUERADE (de onde vem a net)

iptables -t nat -A PREROUTING -i eth1 -s 192.168.6.1/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 (para onde vai)

Olá amigo, vc tem que colocar os endereços DE REDE e não de estações nestas regras.

11.77.2.254 e 192.168.6.1 devem ser trocados pelo IP da rede que deve ser:

192.168.6.0, logo ficaria:

iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -s 192.168.6.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0 deve ser sua interface conectada à internet, e eth1 a interface conectada à rede local.

Espero tê-lo ajudado.

stallion · 22-02-2005, 15:12

a minha configuração é:

placa da internet

ip 11.77.2.254
mascara 255.255.0.0
dns 11.3.2.3 e 11.3.1.1
gateway 11.77.1.30

rede interna
192.168.6.1
mascara 255.255.0.0

No rc.local adicionei ao final do arquivo:

iptables -t nat -A POSTROUTING -s 11.77.0.0/16 -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

se configurar o proxy no IE funciona.

como faço na estação:

ip: 192.168.x.x
mascara 255.255.0.0
dns: 11.3.2.3 e 11.3.1.1
gateway: 192.168.6.1

o que estou fazendo de errado?

obrigado pela atenção!!

**Jim** · 22-02-2005, 16:13

Postado originalmente por Jim

Postado originalmente por stallion

iptables -t nat -A POSTROUTING -s 11.77.2.254/24 -o eth0 -j MASQUERADE (de onde vem a net)

iptables -t nat -A PREROUTING -i eth1 -s 192.168.6.1/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 (para onde vai)

Olá amigo, vc tem que colocar os endereços DE REDE e não de estações nestas regras.

11.77.2.254 e 192.168.6.1 devem ser trocados pelo IP da rede que deve ser:

192.168.6.0, logo ficaria:

iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -s 192.168.6.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Onde eth0 deve ser sua interface conectada à internet, e eth1 a interface conectada à rede local.

Espero tê-lo ajudado.

Cara, tenta fazer o que eu falei...

pedro_lemes · 23-02-2005, 08:22

Meu, é como o Jimm disse....
Se voce usa squid com validacao por usuario, te recomendo (caso use uma rede com win2000 server e AD), que crie uma GPO no dominio para nao precisar configurar maquina por maquina. A GPO faz sozinha quando o usuario loga na rede.
MAS....
Se vc usa o squid com regras por ip, recomendo o que o Jimm disse. Use proxy transparente com aquelas regras de iptables q ele passou. Eu uso e é show !

**Jim** · 23-02-2005, 08:40

Postado originalmente por pedro_lemes

Meu, é como o Jimm disse....
Se voce usa squid com validacao por usuario, te recomendo (caso use uma rede com win2000 server e AD), que crie uma GPO no dominio para nao precisar configurar maquina por maquina. A GPO faz sozinha quando o usuario loga na rede.
MAS....
Se vc usa o squid com regras por ip, recomendo o que o Jimm disse. Use proxy transparente com aquelas regras de iptables q ele passou. Eu uso e é show !

Dae amigo, perdoe a ingnorância.... GPO? Tipo... sempre mexi no gpedit.msc para configurar para todos os usuários (rede de w2k) mas não conheço GPO, poderia explicar ou passar algum tutorial?

**spectrum** · 23-02-2005, 09:38

Como monto essa GPO?
posso fazer com que quando um user log naestação ele ja ce valide no squid com essa opção:?????

Postado originalmente por pedro_lemes

Meu, é como o Jimm disse....
Se voce usa squid com validacao por usuario, te recomendo (caso use uma rede com win2000 server e AD), que crie uma GPO no dominio para nao precisar configurar maquina por maquina. A GPO faz sozinha quando o usuario loga na rede.
MAS....
Se vc usa o squid com regras por ip, recomendo o que o Jimm disse. Use proxy transparente com aquelas regras de iptables q ele passou. Eu uso e é show !

pedro_lemes · 23-02-2005, 09:58

vc pode definir uma GPO (Group Policy) que passe a configuracao de proxy pro internet explorer, sempre que o usuario logar na rede... Na verdade as GPO´s sao um recurso um tanto limitados. Mas para definir configuracoes de painel de controle, video, internet explorer, pagina inicial, etc para os usuarios da rede, funciona legal...

Eu mesmo aqui na empresa defini os mapeamentos padrao, papel de parede padrao e cortei acesso a instalacao de hardware, software e outras "coisinhas" que podem causar danos.

Minha vida mudou... (rs) nao tenho mais problemas "idiotas" pra resolver.

**Jim** · 23-02-2005, 10:24

Onde encontro documentação?

guardian_metal · 23-02-2005, 10:54

Achei isso aqui: http://www.vintela.com/products/vgp

**Jim** · 23-02-2005, 11:03

Olá Guardian, parece bom, mas ser pago...

guardian_metal · 23-02-2005, 11:11

Foi o único que achei que funciona em máquinas nt,w2k,xp pq se vc usar o config.pol só vai fazer efeito com máquinas w98, w95..

**Jim** · 23-02-2005, 13:01

Como eu disse, nao conheço essa ferramente, de qualquer forma, valeu pela dica.

**spectrum** · 23-02-2005, 14:32

Fale como vc fez ai o que usou de dicas... :lol:
valews

Postado originalmente por pedro_lemes

vc pode definir uma GPO (Group Policy) que passe a configuracao de proxy pro internet explorer, sempre que o usuario logar na rede... Na verdade as GPO´s sao um recurso um tanto limitados. Mas para definir configuracoes de painel de controle, video, internet explorer, pagina inicial, etc para os usuarios da rede, funciona legal...

Eu mesmo aqui na empresa defini os mapeamentos padrao, papel de parede padrao e cortei acesso a instalacao de hardware, software e outras "coisinhas" que podem causar danos.

Minha vida mudou... (rs) nao tenho mais problemas "idiotas" pra resolver.

stallion · 23-02-2005, 16:43

-consegui fazer o proxy transparente
-consegui utilizando as gpo
-consegui fazendo umscript de logon no windows2003 server

obrigado pela ajuda pessoal, sem vcs ficaria bem díficil
um abraço e até mais!!

como fazer o squid funcionar como gateway?

Ferramentas de Tópicos