Redirecionar pagina no proxy

[agl77]

como faço? tive umas ideias loucas aqui, e queria saber como fazer pra qdo abrir o navegador, eu buscar uma pagina dentro do meu firewall, ou proxy, q tenha um servidor LAMP instalado, pra criar um novo tipo de autenticador, um meu msm, pra poder fazer um log mais adequado a mim!

vou tentar me explicar denovo
tenho uma rede com um firewall e squid, se precisar paro de usar o squid, pois só quero logar quais paginas, quais usuarios estao usando, mas eu queria fazer isso em php com mysql, crio um autenticador, em html, q ira abrir, sendo digitado qq endereço no navegador das maquinas clientes.
ahh não precisam dizer, use NCSA q eu já uso, não é isso q quero!

VLW

[cristianff]

Caro, você pode fazer isso facilmente com o squid + sarg.
De uma olhada aí no forum que você vai encontrar documentação de como implementar squid + sarg.

Abraço

[agl77]

cara, já busquei por isso, queria mesmo q meu navegador colocasse minha pagina inicial, http://localhost/autentica/index.html idependente da pagina inicial do individuo

[cristianff]

Você já pensou em fazer algo com DNAT.
Tipo:

### Redirecionar tudo que chegar pela rede interna e redicionar para a máquina local onde você vai fazer a autenticação (porta 80)
LAN="Sua rede interna"
LOCAL="Máquina local onde você vai rodar um apache para logar"
iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -i eth0 -j DNAT --to $LOCAL:80

Acho que seria mais ou menos isso não seria?
Agora teria que ver depois de logado ele navegar normalmente.

Abraço,

[cristianff]

Me interessei pelo assunto, estou pesquisando aqui.
Quando tiver alguma novidade te aviso.
Se você achar algo me avise também.
Abraço

[agl77]

pronto, já inventei mais um problema, antes mesmo de funcionar, daí como q vou fazer a autenticação de quem pode usar MSN. kkk cada solução q encontro pro que preciso cria mais problemas.
acho q terei q associar isso ao squid tbem!

[agl77]

inda nao deu certo!
cara coloquei a regra assim
iptables -t nat -A PREROUTING -s 192.168.2.0 -p tcp --dport 81 -i eth0 -j DNAT --to 192.168.2.1:81

vamos lá para dizer eth0 - internet, eth1 rede interna
192.168.2.x rede
192.168.2.1 proxy, gateway, servidor DHCP, Apache

usei a porta 81 pra nao parar minha rede
me corrija se eu estiver errado, tentei acessar o Google
teria q acessar a pagina do apache, certo?

[cristianff]

Só um detalhe velho, quando a requisição é feita ele sai com uma porta qualquer do cliente e é direcionada à porta 80 do servidor. Se você quer redirecionar pacotes www você terá colocar porta 80 no --dport, entendeu? Depois você redireciona para a porta 81 do seu server local.

Quando ao msn é mais fácil.

Você pode liberar apenas as máquinas específicar.

iptables -t nat -A POSTROUTING -s "ip liberado" -p tcp --dport 1863 -o eth0 -j MASQUERADE

Abraço

[agl77]

isso do msn entendi, mas quero fazer a autenticação de quem pode msn, pela pagina tbem, mas com essa regra q vc me enviou arrisca eu conseguir adaptar!

eu fiz pela porta 81 só pra nao parar minha rede por enquanto, futuramente mudarei para a porta 80

[cristianff]

Pra fazer autenticação você pode usar o squid com autenticação. Aí você não faz MASQUERADE na porta 1863. Lembrando que pra isso funcionar você ter que incluir uma ACL no squid para barrar a palavra gateway.dll, senão as estações acessar pelo proxy via porta 80 (3128).

### ACL para bloquear msn
acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"

Dentro de /etc/squid/regras/ crie um arquivo expressions_deny ou com o nome que você quiser e insira a palavra "gateway.dll"

A regra pra porta 1863 você libera a máquina.

Eu falei da porta 80 pois a requisição vai pra porta 80, se o seu serviço que vai autenticar está rodando na 81, você tem que redirecionar a requisição que vem na porta 80 pra 81.

Beleza

[agl77]

sim, fiz isso criei a regra e estou mudando td da 81 pra lá!

[agl77]

cara, testei com a porta 81, nao deu boa
mas blz, coloquei ele pra redirecionar pra porta 80, ele abre as pg normalmente