Squid com proxy transparente [RESOLVIDO]

rcnespoli
(usa Debian)

Enviado em 31/10/2008 - 11:26h

Tenho uma dúvida, o proxy transparente é melhor por não ter que configurar máquina à máquina, porém, ele pode ser burlado com protocolo como HTTPS que usa outra porta fora da 80, correto ?

só que se eu colocar uma regra no firewall, para que todas conexões externas, fora do ip da redelocal, ele passe pela porta 3180, que é o squid, assim tendo todo controle que se passa pela internet, correto isso ?

e como seria a regra no iptables ?

obrigado pela atenção,
e um grande abraços a comunidade.
Renato

reng.unip
(usa Debian)

Enviado em 01/11/2008 - 11:15h

Não entendi muito bem, como assim conexões externas? O proxy é feito para controlar o acesso da sua rede à internet, ou seja, controlar o que seus usuários vão acessar e quando, através de ACL´s. A regra de firewall para o redirecionamento de porta é a que se segue:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

No caso estamos direcionando todo o conteúdo da porta 80 para a porta 3128, que é a que o Squid usa.

Nas versões mais recentes do Squid, mais precisamente a 2.6, você pode configurar o proxy transparente apenas acrescentando "transparent" na seguinte opção:

http_port 3128 transparent

Sempre que fizer alguma alteração no arquivo squid.conf, reinicie o serviço

# squid -k reconfigure
# /etc/init.d/squid reload

Espero ter ajudado


Abraço...

rcnespoli
(usa Debian)

Enviado em 01/11/2008 - 13:08h

então isso eu entendi, tudo ok

porém quando você acessa por exemplo https://www.orkut.com

ele sai da porta 80, para outra porta, aí ele não passa pela regra do squid, porque ele "fugiu" da porta 80, que era direcionado para a porta do squid.

eu precisava que toda navegação por qualqer pacote ou protocolo passasse pelo squid.

obrigado ;)

wtet
(usa BackTrack)

Enviado em 02/11/2008 - 11:37h

se quiser que todo trafego passe pelo proxy, oq eu por vezes não seria o melhor a fazer, já que tem outros protocolos como smtp, ssh, e-mail... crie uma regra redirecionando todo trafego para a porta 3128, coloco abaixo uma regra, não tenho certeza se está correta.

iptables -t nat -A PREROUTING -i eth0 -p tcp -j REDIRECT --to-port 3128

outra solução é escolher quais portas redirecionar colocar uma a uma, https e por ai vai