Estação não navega com o proxy configurado

matheus-hf
(usa Debian)

Enviado em 26/05/2017 - 14:02h

Boa tarde amigos,

Sou novo no linux, estou tentando montar um proxy para empresa onde trabalho, porem as estações não navegam quando indico o proxy no opções de internet, estou usando o Debian 8, squid3, iptables,
segue as configurações:

squid
##squid.conf
http_port 3128 transparent
visible_hostname ACOMARPROXY
cache_mem 1000 MB # Se seu servidor for dedicado, coloque neste valor a metade de sua memória RAM, do contrário use apenas 25%
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log 

maximum_object_size 30000 KB
maximum_object_size_in_memory 40 KB

access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
pid_filename /var/log/squid3/squid3.pid # pid - mudamos para esta pasta para facilitar na identificação de problemas
mime_table /usr/share/squid3/mime.conf

cache_mgr acomar@acomar.com.br
memory_pools off

diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
request_header_max_size 20 KB
reply_header_max_size 20 KB
request_body_max_size 0 KB

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT 

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge

acl rede_local src 192.168.0.0/24
acl palavras_bloqueadas url_regex -i "/etc/squid3/palavras_bloqueadas.txt "
acl sites_bloqueados url_regex -i "/etc/squid3/ sites_bloqueados.txt "
acl redes_sociais url_regex -i "/etc/squid3/redes_sociais.txt"
acl liberados src "/etc/squid3/ips_liberados.txt"
acl [*****] url_regex -i "/etc/squid3/sites_porno.txt"
acl formato_arquivo url_regex -i "/etc/squid3/formato_arquivo.txt"
acl horario_almoco time 12:00-13:00 

http_access allow liberados
http_access allow horario_almoco redes_sociais
http_access deny redes_sociais
http_access deny sites_bloqueados
http_access deny palavras_bloqueadas
http_access deny [*****]
http_access deny formato_arquivo
http_access allow rede_local
http_access allow localhost

http_access allow all

iptables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j$

souzacarlos
(usa Outra)

Enviado em 27/05/2017 - 23:04h

Boa noite
Seguinte, vc definiu que seu proxy deve ouvir a porta 3128 (default squid) e que ele seja configurado de forma transparente, entretanto, vc não disse ao teu firewall o que fazer quando ele receber uma conexão proveniente da tua rede local com destino a porta default HTTP <80>

A regra mais parecida que vc postou foi: iptables -t nat -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j$
Mais que está errada.
Por gentileza coloque mais informações a respeito do teu firewall ou busque aqui no fórum que vc vai encontrar um monte de referência de como fazer REDIRECT de porta!
Abraço

Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

Buckminster
(usa Debian)

Enviado em 28/05/2017 - 01:06h

http_port 3128 transparent

Esse parâmetro acima a partir do Squid 3.2 deve ficar assim:

http_port 3128 intercept

E se teu proxy é transparente (interceptador) não precisa indicar o proxy nos navegadores das estações.

E no Iptables faltou redirecionar a porta 80 para a porta 3128.
Deixe assim teu Iptables:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE <<< aqui vai a placa de rede que vem do roteador
iptables -t nat -A PREROUTING -i ethX -p tcp --dport 80 -j REDIRECT --to-port 3128 <<< aqui vai a placa que sai para a tua rede

matheus-hf
(usa Debian)

Enviado em 29/05/2017 - 08:19h

Bom dia Amigos, tentei as dicas, porem o meu problema ainda continua,

O meu iptables, esta apenas com as configurações indicadas.

Buckminster
(usa Debian)

Enviado em 29/05/2017 - 11:22h

Você reiniciou o Iptables após efetuar as alterações?
Você configurou o Iptables para iniciar junto com o sistema?

matheus-hf
(usa Debian)

Enviado em 29/05/2017 - 11:41h

Fiz o comando:
/etc/init.d/networking restart

e a regra:
/etc/init.d/bootmisc.sh

if [ -x /etc/init.d/firewall ]; then
. /etc/init.d/firewall
fi

O erro que da na estação é:
IE (Esta página não pode ser exibida)
chrome (Esta página não está funcionando)

Buckminster
(usa Debian)

Enviado em 29/05/2017 - 13:04h

Posta aqui o conteúdo do arquivo /etc/init.d/firewall.

matheus-hf
(usa Debian)

Enviado em 29/05/2017 - 13:07h

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3$
eth0 internet
eth1 rede

Buckminster
(usa Debian)

Enviado em 29/05/2017 - 13:13h

Esta linha

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3$

deixa assim

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Faça a alteração, reinicie o Iptables e teste.

matheus-hf
(usa Debian)

Enviado em 29/05/2017 - 13:16h

Ja esta assim, cortou quando copiei do terminal

Buckminster
(usa Debian)

Enviado em 29/05/2017 - 13:19h

Veja bem, teu proxy é transparente (interceptado), portanto, não precisa configurar o proxy nos navegadores.
Configurar proxy nos navegadores somente se o proxy não for transparente.

matheus-hf
(usa Debian)

Enviado em 29/05/2017 - 13:24h

Estou tentando pelos navegadores, pois quando colo proxy como gateway, ai as maquinas não recebem nem emais pelo outlook do pacote office.