Problemas com proxy transparente

1. Problemas com proxy transparente

Manoel Guilherme de Faria Moraes
fisicorj

(usa Ubuntu)

Enviado em 04/04/2011 - 08:24h

Bom dia galera.

Tenho um proxy funcionando perfeitamente, porém se coloco ele em modo transparente o gmail, hotmail, alguns bancos, não não conectam, fica um tempo e nada. preciso de uma ajuda, pois esse proxy precisa ser transparente.

meu Squid.conf

http_port 3128 transparent
visible_hostname senior-fw
error_directory /usr/share/squid/errors/pt-br/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl all src 192.168.2.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 70 443 563 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

### Bloqueios #########

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas

#### Bloqueio de ext #####
acl extban url_regex -i \.avi \.exe \.mp3 \.torrent
http_access deny extban

#### SITES Liberados ######

acl sites_permitidos url_regex -i "/etc/squid/permitido"
http_access allow sites_permitidos

#### Permissoes por ip ####

#pode acessar tudo
acl ips_liberados src "/etc/squid/ips_liberados"
http_access allow ips_liberados

#nao acessa nada
acl ips_proibidos src "/etc/squid/ips_proibidos"
http_access deny ips_proibidos

#### Permissao da rede ####

acl redelocal src 192.168.2.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

Minhas regras (básicas) do firewall

#!/bin/bash

# Interface da Internet:
ifinternet="eth0"

# Interface da rede local
iflocal="eth1"

iniciar(){

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 443 -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --syn -j DROP

iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.2.0/255.255.255.0 -o eth0 -j ACCEPT


echo "iniciando o servico"
}

parar(){
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâetros start ou stop"
esac

me ajudem, por favor.


  


2. Re: Problemas com proxy transparente

Renan Gregorio Ribeiro
gregorio_rr

(usa openSUSE)

Enviado em 04/04/2011 - 09:16h

Vc pd tb fazer o seguinte teste, deixe tudo passar pelo proxy com apenas essas tres regras:

#http_port 3128 transparent
#acl all 0.0.0.0/0.0.0.0
#http_access allow all

Tudo vai passar pelo seu proxy, só pra ver se é o squid. Se não funcionar:
Vc redirecionou a porta 80 para a 3128 e compartilhou a internet? Liberou a porta 443 no firewall, pq hotmail, gmail e bancos usam a porta 443. Mais provavel q seja firewall.

Compartilhamento da internet
#mod_probe iptable_nat
#iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Redirecionamento de portas
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to-port 3128

Liberar porta 443
#iptables -A FORWARD -s 192.168.0.0/24 -p tcp --destination-port 443 -j ACCEPT
#iptables -A OUTPUT -s 192.168.0.0/24 -p tcp --destination-port 443 -j ACCEPT






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts