Não consigo implementar proxy transparente.

1. Não consigo implementar proxy transparente.

paulofnet
(usa Debian)

Enviado em 20/12/2010 - 13:41h

Antes de mais nada FELIZ NATAL e 2011 SAUDÁVEL A TODOS!
============================================================================
Preciso de ajuda. Não estou conseguindo implementar proxy transparente. Meu servidor tem duas placas ethernet. Uma para rede interna/proxy e outra para acesso a internet.

Abaixo segue toda a minha configuração de rede. O que está errado/faltando...????

Desde já agradeço qq. ajuda.

Meu ambiente/servidor: Debian Lenny

# uname -a
Linux wega 2.6.26-2-amd64 #1 SMP Thu Nov 25 04:30:55 UTC 2010 x86_64 GNU/Linux

# squid -v
Squid Cache: Version 2.7.STABLE3

Clientes: Ubuntu 9.10/10.04, Windows XP, windows Vista, Windows 7 e Windows XP.

Configuração das minhas placas de rede:
/etc/network/interfaces:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface

auto eth0
iface eth0 inet static
address yyy.yyy.yyy.y
netmask 255.255.255.192
gateway yyy.yyy.yyy.x

#Rede Interna

auto eth1
iface eth1 inet static
address 192.168.1.7 #proxy
netmask 255.255.255.0

========================================================================
Saída para internet através de NAT carregado no rc.local:

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -F
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Limite contra ping da morte e DoS
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

exit 0

========================================================================
Proxy/Squid:

http_port 3128 transparent
visible_hostname wega
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 KB
minimum_object_size 0KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 443 563 70 210 280 488 59 777 901 1025-65535 # ftp https, snews, gopher whais http_mgmt gss-http filemaker multiling http swat
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl permitidos url_regex -i "/etc/squid/data/permitidos"
http_access allow permitidos

acl bloqueados dstdomain -i "/etc/squid/data/sites_bloqueados"
http_access deny bloqueados

acl wordblock url_regex "/etc/squid/data/wordblock"
http_access deny wordblock

acl extbloq url_regex -i "/etc/squid/data/ext_bloqueda"
http_access deny extbloq

acl redelocal src 192.168.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

=========================================================================
Configuração DHCP para rede interna:

default-lease-time 600;
max-lease-time 7200;

option domain-name-servers 200.221.11.100, 200.221.11.101;

# sub-rede lig
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.7 192.168.1.254;
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
default-lease-time 600;
max-lease-time 7200;
}

0 0

Quote

2. Não consigo implementar Proxy transparent

pqd
(usa Debian)

Enviado em 20/12/2010 - 14:15h

Olá jhoww blz , estive dando uma olhada nas suas conf ,e no script do firewall está faltando um mero detalhe mas que é de suma importancia acrescente essa linha logo abaixo da linha que ativa o roteamento: iptables -A INPUT -i lo -j ACCEPT
esta regra eh a responsavel,por realizar a comuicação entre os processos.blz
Veja se resolve flw

0 0

Quote

3. Ainda nada

paulofnet
(usa Debian)

Enviado em 20/12/2010 - 14:42h

Segui sua sugestão e ainda não deu certo. Pelo que já li a respeito basta deixar os clientes/navegador sem configuração de proxy. Fiz isto em plataformas diferentes e nada ainda. Será que se eu mudar o options router para o ip do proxy 192.168.1.7 funciona??? Vou testar. E já retorno...

0 0

Quote

4. Vou aguardar...

paulofnet
(usa Debian)

Enviado em 20/12/2010 - 14:50h

Por enquanto o jeito vai ser configurar no muque mesmo...

0 0

Quote

5. Não consigo implementar proxy transparente nos clietes

pqd
(usa Debian)

Enviado em 21/12/2010 - 12:59h

Opa e ae jhoww..
Vc instalou o apache2??
Se ja tiver intalado o apache2, e ainda não esta funcionando, vc tera que fazer uma configuração automatica de proxy nos clientes.
De uma olhada neste artigo do VOL.
http://www.vivaolinux.com.br/artigo/Configuracao-automatica-(mesmo)-de-proxy-com-WPAD/
Blz espero ter ajudado.

0 0

Quote

6. Estou com o mesmo problema no debian lenny

alnetosilva
(usa Debian)

Enviado em 03/05/2011 - 15:58h

no lenny estou tentando fazer com que o squid fique tranparente e nao ta funcionando.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

tem que ser digitado cliente por cliente, como se o iptables nao estivesse fazendo o redirecionamento de portas da 80 para a 3128.

ainda o outlook nao passa de jeito nem um mesmo liberando o acesso
iptables -I FORWARD -m multiport -s 192.168.0.0 -p tcp --dport 25,110 -j ACCEPT

sinistro!

0 0

Quote

7. Mais um detalhe

alnetosilva
(usa Debian)

Enviado em 03/05/2011 - 16:01h

no meu caso quando executo o comando
#/etc/init.d/networking restart

me volta a seguinte msg!

Reconfiguring network interfaces...if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS mounts (warning).
done.

isso me soa um erro!

o que será?

0 0

Quote

8. Re: Não consigo implementar proxy transparente.

riesdra
(usa Debian)

Enviado em 03/05/2011 - 19:53h

Neto,

além desta rotina para ativar o fowarding, tem que acrescentar uma lina ano arquivo do squid,
http_port 3128 transparent onde esta a linha "http_port 3128"

maiores informações você pode dar uma olhada neste link.
http://www.hardware.com.br/livros/servidores-linux/configurando-proxy-transparente.html

0 0

Quote