Direcionando navegação para eth específica com squid

do_morro
(usa Debian)

Enviado em 01/05/2011 - 22:03h

Olá, pessoal do VOL.

Estou encontrando uma dificuldade na criação de regras para desviar o fluxo de navegação da empresa onde trabalho para uma eth específica.

O cenário é o seguinte:

- Uma rede interna 172.0.0.0;

- Um link fibrado 200.x.x.x;

- Um Virtua com IP dinâmico;

- Um servidor com 3 placas de rede
* eth0 - Ligado ao link da empresa
* eth1 - Ligado à rede interna
* eth2 - Ligado a um Virtua.


O servidor tem squid instalado e o meu desafio é fazer todo o fluxo da rede interna (eth1) sair pelo link da empresa (eth0) exceto o HTTP, que sairá pelo Virtua (eth2).

Para fazer todo mundo passar por um proxy transparente obrigatoriamente usei a regra:

iptables -t nat -A PREROUTING -s 172.0.0.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Beleza!! Funcionou perfeitamente!

Agora para fazer o resto user as regras:


iptables -t mangle -A PREROUTING -s 172.0.0.0/24 -i eth1 -p tcp --dport 80 -j MARK --set-mark 2

iptables -t mangle -A OUTPUT -s 172.0.0.0/24 -p tcp --dport 80 -j MARK --set-mark 2

ip rule add fwmark 2 table internet prio 20

ip route add default via x.x.x.x dev eth2 table internet


Só que essas regras não funcionaram para o que preciso fazer.

Alguém pode me dizer onde estou errando?


Grato

Paulo

islan
(usa Debian)

Enviado em 01/05/2011 - 22:38h

Ja tentou esse comando?

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

do_morro
(usa Debian)

Enviado em 02/05/2011 - 01:19h

sim... a navegação já funciona... o que falta é só direcionar toda a saída HTTP para a eth2...

eritonalmeida
(usa Debian)

Enviado em 02/05/2011 - 09:17h

cara posta o seguinte:

iptables -t mangle -L
/etc/iproute2/rt_tables
ip rule
ip route show table internet

do_morro
(usa Debian)

Enviado em 02/05/2011 - 13:13h

iptables -t mangle -L ***está vazio! removi as regras pois não funcionavam.***
/etc/iproute2/rt_tables

#
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep

200 internet

ip rule

0: from all lookup local
20: from all fwmark 0x2 lookup 20
20: from all fwmark 0x2 lookup internet
20: from all fwmark 0x2 lookup internet
32765: from all fwmark 0x1 lookup internet
32766: from all lookup main
32767: from all lookup default

ip route show table internet

default via 201.x.x.x dev eth2 ***está usando o gateway do virtua***

eritonalmeida
(usa Debian)

Enviado em 02/05/2011 - 13:26h

acho que seu problema é "-s 172.0.0.0/24"

tenta deixa mais simples
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2

isso é para as conexões que passam pelo squid.

do_morro
(usa Debian)

Enviado em 02/05/2011 - 13:40h

mas isso já funciona. o que não funciona é o resto... você acha que um problema nessa regra afetaria as demais dessa maneira??

eritonalmeida
(usa Debian)

Enviado em 02/05/2011 - 14:10h

pelo que descreveu os pacotes com destino a porta 80 não estão sendo marcados na tabela mangle. tenta colocar essa regra que eu passei e testa.
aqui onde trabalho nós usamos esse esquema para fazer balanceamento dos links de internet e funciona perfeitamente.

fenixspeed
(usa Outra)

Enviado em 02/05/2011 - 14:23h

o squid faz o que voce esta querendo com maestria. procure no google por
tcp_outgoing
utilizo aqui a mais de ano, sem problema algum

do_morro
(usa Debian)

Enviado em 02/05/2011 - 14:25h

eriton

irei testar pela manhã e logo cedo lhe reporto se funcionou.

Obrigado

do_morro
(usa Debian)

Enviado em 02/05/2011 - 14:26h

fenixspeed

Estou usando o squid numa boa... Só quero que a navegação saia por um outro link depois de passar pelo squid.

do_morro
(usa Debian)

Enviado em 05/05/2011 - 13:11h

Olá, Eriton

Testei da forma que me pediu e a navegação parou de vez.

Não funcionou! :(


Paulo