Duvidas com regras no webproxy

[ISP-RJ]

Galera,

So iniciante no MT mas ja sei fazer bastante coisa e da pior forma rsssssssss lendo o maldito MANUAL :roll: Meu DEUS aki é coisa de louco...
Mas meu problema é mais pra duvidas q tenho q tirar pq meu conhecimento é limitado...Vai minha regras do nat ai em baixo:
0 ;;; Nat
chain=srcnat protocol=tcp action=masquerade

1 ;;; Direcionamento do webproxy 3128 para 80
chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=3128

enabled: yes
src-address: 0.0.0.0
port: 3128
hostname: "proxy"
transparent-proxy: yes
parent-proxy: 0.0.0.0:0
cache-administrator: "webmaster"
max-object-size: 4096KiB
cache-drive: system
max-cache-size: 3000000KiB
max-ram-cache-size: unlimited
status: running
reserved-for-cache: 2999296KiB
reserved-for-ram-cache: 338944KiB

Na primeira regra quando coloco a interface da onde esta conectado os meus clientes nao funciona e se deixo como esta acima funciona PQ?? Nas regras q vejo no underlinux tem a interface...
Ja na segunda regra é a mesma coisa se coloco a interface dos clientes o proxy nao tem trafego....quando tiro tem...e tb como ter certeza q esta funcionando...Ex: Quando navego nos graficos do direcionamento mostra que esta funcionando...no status mostra q esta cachendo e q tem 1 cliente conectado...mas nao to muito confiante disso rsssssssssss E na navegaçao nao vejo diferença...nao sei se é pq meu link´de 2M nominal é muito rapido e meus olhos nao chega a perceber....mas fica ai minha duvida.
E por ultimo como bloquear acesso externo ao meu proxy e como testar se tal regra funciona???

Valewww galera...

[Josevaldo]

Amigo, tentando ajudar com suas duvidas faça o seguinte:

1º A interface q vc deve setar é a out, ou seja, por onde o link chega pra tuas maquinas;

2º Quanto ao direcionamento para o proxy, você pode deixar dessa forma mesmo, (sem a interface), em Action vc pode tbm optar pela dst-nat e setar tanto o ip como a porta onde esta rodando o teu proxy (com dst nat, vc pode redirecionar para outra maquina/ip);

3º Para impedir o acesso externo tanto de teu proxy, como do dns :d, faça o seguinte:
vá em Ip>Firewall>Filter Rules.. e adiciona a seguinte regra

add chain=input in-interface="Link" protocol=tcp dst-port=3126 \
action=drop comment="Prote ao Externa Proxy" disabled=no
add chain=input in-interface="Link" protocol=tcp dst-port=53 \
action=drop comment="Prote ao Externa Dns" disabled=no
add chain=input in-interface="Link" protocol=udp dst-port=53 \
action=drop comment="" disabled=no

onde "Link" é o nome da tua interface de saida do link; 3126 é a porta do teu proxy.
Para testar peça a um conhecido pra setar no browser dele antes da regra o teu ip valido com a porta do proxy e o mesmo ira consegui navegação... depois da regra pronta peça ao memso pra tentar novamente e vc verá q a regra irá dropar as tentativas de conexão e impedirá o uso de teu proxy externamente.
PS.: Essas cofigurações é a que uso atualmente no meu mk, se eu tiver equivocado, desculpe por tentar ajudar.
Tenta ai e posta depois os resultado...

[Mr_Dom]

opa..tenho uma dúvida...

to ativando o proxy aqui..a gente usa balanceamento de link..

como fazer com q alguns hosts passem direto sem usar o proxy. (conectividade da caixa, bradesco)

o q ele faz primeiro, marca pacotes ou faz o nat ou joga pro proxy...qual é a ordem disso ae..

agradeço a qq ajuda...

[kilderman]

sinto mto lhe informar.. mais load balance + proxy = sem chance de sucesso!

a questão do conectividade social.. vc vai criar a regra que redireciona o trafego.. e nessa mesma regra vc vai setar o ip da pagina ou paginas que vc nao queh que entre no proxy!

[Mr_Dom]

acho q ja mateia xarada...crio um address com os ips d destino q naum quero q use o proxy...ae nego na regra de proxy transparente...(jogando da 80 pro 3128)...ele redireciona tudo menos esses ips da address list...

alguem me corrija se estiver errado,..

até

[ISP-RJ]

Amigo, tentando ajudar com suas duvidas faça o seguinte:

1º A interface q vc deve setar é a out, ou seja, por onde o link chega pra tuas maquinas;

2º Quanto ao direcionamento para o proxy, você pode deixar dessa forma mesmo, (sem a interface), em Action vc pode tbm optar pela dst-nat e setar tanto o ip como a porta onde esta rodando o teu proxy (com dst nat, vc pode redirecionar para outra maquina/ip);

3º Para impedir o acesso externo tanto de teu proxy, como do dns :d, faça o seguinte:
vá em Ip>Firewall>Filter Rules.. e adiciona a seguinte regra

add chain=input in-interface="Link" protocol=tcp dst-port=3126 \
action=drop comment="Prote ao Externa Proxy" disabled=no
add chain=input in-interface="Link" protocol=tcp dst-port=53 \
action=drop comment="Prote ao Externa Dns" disabled=no
add chain=input in-interface="Link" protocol=udp dst-port=53 \
action=drop comment="" disabled=no

onde "Link" é o nome da tua interface de saida do link; 3126 é a porta do teu proxy.
Para testar peça a um conhecido pra setar no browser dele antes da regra o teu ip valido com a porta do proxy e o mesmo ira consegui navegação... depois da regra pronta peça ao memso pra tentar novamente e vc verá q a regra irá dropar as tentativas de conexão e impedirá o uso de teu proxy externamente.
PS.: Essas cofigurações é a que uso atualmente no meu mk, se eu tiver equivocado, desculpe por tentar ajudar.
Tenta ai e posta depois os resultado...

Josevaldo...ta funfando blzinha...mas to ainda com 1 duvida, setando a interface como out a q se refere ao link da internet q chega no meu MT, colocando ela ou nao continua a mesma coisa...isso tem explicaçao?? :?
Ahhh outra coisa a porta 53 é do DNS??

E valeu mesmo pela dica abraçao!!!!!!