+ Responder ao Tópico



  1. #1

    Padrão Classe de ips válidos não funcionam com proxy transparente

    Olá pessoal, estou com o seguinte problema, tenho rodando squid 2.6 com proxy transparente, tá tudo certinho para as classes de ip invalido, porém estou precisando liberar ip válido para alguns clientes(provedor wireless), fiz todos os testes com squid desativado e tudo rodou certinho, quando ativo o proxy transparente ele passa a fazer o seguinte: o ip válido passa a responder porém com um agravante sério, quando eu verifico o meuip (Meu ip - Qual é o Meu IP? 75.126.22.154) por exemplo, ele mostra o ip do servidor proxy e não o do computador em questão.

  2. #2

    Padrão

    Procura na internet sobre proxy_arp que tu vai encontrar uma documentação que ensina a fazer isso de maneira mais fácil, embora menos segura.


    Abraços!

  3. #3

    Padrão

    Agradeço muito a sua dica, porém nao encontrei muita coisa a respeito, mas pelo que vi se habilitar o proxy_arp, não poderei mais usar ips invalidos, somente ips válidos

  4. #4

    Padrão

    Rogerio
    ele vai mostrar o IP do proxy porque mesmo o cliente com ip real, ele está passando pelo proxy transparente

    você terá que tirar esse cliente do proxy transparente para ele ver certinho o ip dele.

  5. #5

    Padrão

    O que esta acontecedo ae e o direcionamento da rede para porta do squid que ta pegando tudo, ips validos e invalidos.

    Altere sua regra de redirecionamento apenas para sua rede invalida. Se tiver duvida poste teu firewall que analiso para vc.

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Existe um patch do Balabit que, pelo que lembro, resolve isso. Procure aqui mesmo no Under um post do Alexandre Correa sobre este assunto.

  7. #7

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Existe um patch do Balabit que, pelo que lembro, resolve isso. Procure aqui mesmo no Under um post do Alexandre Correa sobre este assunto.

    Grande sergio (ou se preferir Oráculo hehehe), Este problema acontece quanto se redireciona a porta 80 para o squid desta forma ele faz nat, colocando o ip para passar direto ele vai mostrar o ip do cliente eu uso solucao parecida aqui e o cliente encherga o ip dele no meuip da vida. Acho bem mais simples do que aplicar um patch.

    Valeu

  8. #8
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por oyama Ver Post
    Grande sergio (ou se preferir Oráculo hehehe), Este problema acontece quanto se redireciona a porta 80 para o squid desta forma ele faz nat, colocando o ip para passar direto ele vai mostrar o ip do cliente eu uso solucao parecida aqui e o cliente encherga o ip dele no meuip da vida. Acho bem mais simples do que aplicar um patch.

    Valeu

    Blz Oyma? Entendo seu ponto de vista, mas desta forma o cidadão com IP público vai acessar tudo diretamente, não consumindo nada do proxy. Em uma rede com meia dúzia de gatos pingados com IP público até que vai, mas se tiver mais que isso começa a complicar. Por isso a funcionalidade do patch... ou seja, todo mundo passa no proxy! Link é caro... tudo que puder economizar é bem vindo.

  9. #9

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Blz Oyma? Entendo seu ponto de vista, mas desta forma o cidadão com IP público vai acessar tudo diretamente, não consumindo nada do proxy. Em uma rede com meia dúzia de gatos pingados com IP público até que vai, mas se tiver mais que isso começa a complicar. Por isso a funcionalidade do patch... ou seja, todo mundo passa no proxy! Link é caro... tudo que puder economizar é bem vindo.
    valew a dica sergio, é por ai mesmo, já havia dito no início que sem proxy transparente tudo funciona direitinho, o problema é que não posso desviar do proxy toda classe de ips validos q eu tenho, alias em relaçao a isso gostaria de uma dica tambem, não sei como informar mais do que 1 classe no desvio do masquerade, por exemplo:
    iptables -t nat -A POSTROUTING -s ! 200.159.xxx.xxx/xx -j MASQUERADE
    como ficaria se eu precisasse informar tambem a classe 200.160.xxx.xxx/xx

  10. #10

    Padrão

    Sergio... ele so passaria direto pelo proxy e não pelo firewall pelo que sei hoje os provedores usa proxy para melhorar o rendimento do link e nao para fazer politica de seguranca.. um sistema ids resolveria o problema.




    Citação Postado originalmente por sergio Ver Post
    Blz Oyma? Entendo seu ponto de vista, mas desta forma o cidadão com IP público vai acessar tudo diretamente, não consumindo nada do proxy. Em uma rede com meia dúzia de gatos pingados com IP público até que vai, mas se tiver mais que isso começa a complicar. Por isso a funcionalidade do patch... ou seja, todo mundo passa no proxy! Link é caro... tudo que puder economizar é bem vindo.

  11. #11

    Padrão

    Citação Postado originalmente por rogeriobenvindo Ver Post
    valew a dica sergio, é por ai mesmo, já havia dito no início que sem proxy transparente tudo funciona direitinho, o problema é que não posso desviar do proxy toda classe de ips validos q eu tenho, alias em relaçao a isso gostaria de uma dica tambem, não sei como informar mais do que 1 classe no desvio do masquerade, por exemplo:
    iptables -t nat -A POSTROUTING -s ! 200.159.xxx.xxx/xx -j MASQUERADE
    como ficaria se eu precisasse informar tambem a classe 200.160.xxx.xxx/xx

    iptables -t nat -A POSTROUTING -s <sua rede ip invalido> -j MASQUERADE

    lembrando que vc tem que alterar o redirect da porta 80 para a do squid sendo que esta regra e a que faz nat para tua rede.

  12. #12

    Padrão

    Citação Postado originalmente por oyama Ver Post
    iptables -t nat -A POSTROUTING -s <sua rede ip invalido> -j MASQUERADE

    lembrando que vc tem que alterar o redirect da porta 80 para a do squid sendo que esta regra e a que faz nat para tua rede.
    acho que não fui bem explicito, quero saber como informar mais de uma classe que não devem fazer parte do masquerade, por ex:
    iptables -t nat -A POSTROUTING -s ! 200.159.xxx.xxx/xx -j MASQUERADE
    com esse comando estou informando que o 200.159.xxx.xxx/xx não irá ser mascarado ou seja não fará o nat (observe que tem !), a minha dúvida é como informar mais de 1 classe nesse desvio. ou seja, incluir tambem a classe 200.160.xxx.xxx/xx nesse desvio.

  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por rogeriobenvindo Ver Post
    acho que não fui bem explicito, quero saber como informar mais de uma classe que não devem fazer parte do masquerade, por ex:
    iptables -t nat -A POSTROUTING -s ! 200.159.xxx.xxx/xx -j MASQUERADE
    com esse comando estou informando que o 200.159.xxx.xxx/xx não irá ser mascarado ou seja não fará o nat (observe que tem !), a minha dúvida é como informar mais de 1 classe nesse desvio. ou seja, incluir tambem a classe 200.160.xxx.xxx/xx nesse desvio.
    Rogerio, não complica as coisas...

    Faz o masquerade apenas para as redes privadas. Com rede de IPs públicos faça apenas o roteamento e boa.

  14. #14
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por oyama Ver Post
    Sergio... ele so passaria direto pelo proxy e não pelo firewall pelo que sei hoje os provedores usa proxy para melhorar o rendimento do link e nao para fazer politica de seguranca.. um sistema ids resolveria o problema.
    Mas estamos falando de proxy e não fw... Eu estou dizendo em fazer proxy justamente para economizar banda. Imagina só, sua rede com 1000 clientes, 200 usam IP público... e ai? vai deixar essa galera sem passar pelo proxy?

  15. #15
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por rogeriobenvindo Ver Post
    valew a dica sergio, é por ai mesmo, já havia dito no início que sem proxy transparente tudo funciona direitinho, o problema é que não posso desviar do proxy toda classe de ips validos q eu tenho, alias em relaçao a isso gostaria de uma dica tambem, não sei como informar mais do que 1 classe no desvio do masquerade, por exemplo:
    iptables -t nat -A POSTROUTING -s ! 200.159.xxx.xxx/xx -j MASQUERADE
    como ficaria se eu precisasse informar tambem a classe 200.160.xxx.xxx/xx
    Achou os posts do Alexandre Correa? Pelo que vi em outro post acho que sim... é o tproxy. Acho que ele quebra o galho para o que você precisa.

  16. #16

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Rogerio, não complica as coisas...

    Faz o masquerade apenas para as redes privadas. Com rede de IPs públicos faça apenas o roteamento e boa.
    Sérgio, desculpe a insistência, mas vou ter que entrar em mais detalhes para que você entenda, tenho +- 400 usuários, 200 em uma eth e 200 em outra, com tendências a crescer, eth0 é gateway, eth1 rede 169.0.0.1/24, eth2 172.0.0.1/24, se eu mudar o masquerade para as redes privadas, vou cair no mesmo problema, vou precisar informar mais de 1 rede também a ser mascarada !
    peço desculpas se não estou conseguindo ser suficientemente claro !

  17. #17

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Mas estamos falando de proxy e não fw... Eu estou dizendo em fazer proxy justamente para economizar banda. Imagina só, sua rede com 1000 clientes, 200 usam IP público... e ai? vai deixar essa galera sem passar pelo proxy?
    você está coberto de razão e é isso o que estou procurando, apessar de fugir de proxy para fw ... cai tudo na mesma finalidade, ou seja: sucintamente:
    o que eu preciso é que todo mundo passe pelo proxy transparente, quem tiver ip válido continua com ip válido e quem não tiver fica mascarado, porém tenho mais de 1 classe tanto de ip válido como de ip privado.

  18. #18

    Padrão

    Realmente não li direito o melhor seria o patch para o proxy, quanto ao mascared não complica... use uma regra para cada rede invalida que vc quer :

    iptables -t nat -A POSTROUTING -s 169.0.0.1/24 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 172.0.0.1/24 -j MASQUERADE
    ..quantas mais vc precisar..