Regra iptables + Squid problema

1. Regra iptables + Squid problema

jptudobem
(usa Debian)

Enviado em 20/03/2012 - 17:50h

Galera, tenho a seguinte regra no meu ip:

ptables -p tcp -t nat -A PREROUTING -d $IPINTERNET --dport 44354 -j DNAT --to-destination $IPLOCAL:443
iptables -p tcp -t nat -A POSTROUTING -s $REDELOCAL -d $IPLOCAL --dport 443 -j SNAT --to-source $IPINTERNET
iptables -p tcp -t filter -A FORWARD -s $REDELOCAL -d $IPLOCAL --dport 443 -j ACCEPT

Essa regra me faz ter acesso externo da mesma forma que internamente, ou seja, acesso o link: https://site.no-ip.info:44354 tanto interno quanto externo.

O problema é, os usuário que usam Squid não conseguem acessar internamente, da Limite de tempo atigido, apenas os IPs que não passam pelo Proxy conseguem acessar.
Meu Squid não é transparente e setado no navegador para todos os protocolos forçadamente, já que todos usam Firefox e eu travei as opções de alterar.

Preciso que esses usuários, mesmo usando proxy, consigam acessar o endereço https://site.no-ip.info:44354.

ALGUMA LUZ?

Valeu galera.

0 0

Quote

2. Regra

andrecanhadas
(usa Debian)

Enviado em 20/03/2012 - 18:34h

Pode tentar a opção de proxy no navegador para não usar proxy para endereços locais e adicionar manualmente esse endereço nos ignorados.

Se tiver a regra que direciona a porta 80 para o squid no seu firewall tente o seguinte:(antes da regra de redirecionamento para o squid)


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d seudominio_ou_IP -j RETURN

Onde eth0= RedeLocal.
Explicando:
O return faz com que as regras seguintes não interfiram nesta.

0 0

Quote

3. Re: Regra iptables + Squid problema

phrich
(usa Slackware)

Enviado em 20/03/2012 - 20:34h

vc já liberou esta porta no squid?

0 0

Quote

4. Re: Regra iptables + Squid problema

jptudobem
(usa Debian)

Enviado em 20/03/2012 - 21:25h

andrecanhadas escreveu:

Pode tentar a opção de proxy no navegador para não usar proxy para endereços locais e adicionar manualmente esse endereço nos ignorados.

Se tiver a regra que direciona a porta 80 para o squid no seu firewall tente o seguinte:(antes da regra de redirecionamento para o squid)


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d seudominio_ou_IP -j RETURN

Onde eth0= RedeLocal.
Explicando:
O return faz com que as regras seguintes não interfiram nesta.

- O endereço no-ip está no próprio servidor.
- Nos navegadores são setados o proxy para todos os protocolos.
- No firewall eu não direciono a porta 80 para 3128, direciono a porta 80 para uma página Web de bloqueio no próprio servidor.

phrich escreveu:

vc já liberou esta porta no squid?

Teoricamente a porta 44354 está na range:

acl Safe_ports port 1025-65535

Correto?

Volto a repetir, o endereço tem que ser exatamente esse: https://site.no-ip.info:44354
Tanto de dentro quanto de fora, de fora e de dentro funcionam apenas para os que não passam pelo proxy.

0 0

Quote

5. Re: Regra iptables + Squid problema

jptudobem
(usa Debian)

Enviado em 21/03/2012 - 10:06h

Analizando a saída do tcpdump temos:

Sem proxy (Acesso se dá normalmente):


09:57:01.466611 IP 192.168.2.1.55880 > IPINTERNET.44354: Flags [R], seq 4187274299, win 0, length 0
09:57:01.467254 IP 192.168.2.1.55881 > IPINTERNET.44354: Flags [F.], seq 486, ack 153, win 108, options [nop,nop,TS val 14600674 ecr 92600325], length 0
09:57:01.467305 IP IPINTERNET.44354 > 192.168.2.1.55881: Flags [P.], seq 153:190, ack 487, win 54, options [nop,nop,TS val 92600331 ecr 14600673], length 37
09:57:01.467335 IP IPINTERNET.44354 > 192.168.2.1.55881: Flags [F.], seq 190, ack 487, win 54, options [nop,nop,TS val 92600331 ecr 14600673], length 0

Com proxy (Tempo limite atingido):


10:01:13.737784 IP 192.168.2.1.38580 > 192.168.2.254.3128: Flags [S], seq 3666754339, win 5840, options [mss 1460,sackOK,TS val 14663737 ecr 0,nop,wscale 6], length 0
10:01:13.737816 IP 192.168.2.254.3128 > 192.168.2.1.38580: Flags [S.], seq 1057746364, ack 3666754340, win 5792, options [mss 1460,sackOK,TS val 92852602 ecr 14663737,nop,wscale 7], length 0
10:01:13.737947 IP 192.168.2.1.38580 > 192.168.2.254.3128: Flags [.], ack 1, win 92, options [nop,nop,TS val 14663737 ecr 92852602], length 0
10:01:13.738135 IP 192.168.2.1.38580 > 192.168.2.254.3128: Flags [P.], seq 1:253, ack 1, win 92, options [nop,nop,TS val 14663738 ecr 92852602], length 252
10:01:13.738151 IP 192.168.2.254.3128 > 192.168.2.1.38580: Flags [.], ack 253, win 54, options [nop,nop,TS val 92852602 ecr 14663738], length 0
10:01:13.738347 IP 192.168.2.254.3128 > 192.168.2.1.38580: Flags [P.], seq 1:1192, ack 253, win 54, options [nop,nop,TS val 92852602 ecr 14663738], length 1191

0 0

Quote

6. Re: Regra iptables + Squid problema

removido
(usa Nenhuma)

Enviado em 21/03/2012 - 11:29h

jptudobem escreveu:

O problema é, os usuário que usam Squid não conseguem acessar internamente, da Limite de tempo atigido, apenas os IPs que não passam pelo Proxy conseguem acessar.

Os usuários que estão com configuração de proxy ativa no browser, não acessam direto os websites pela porta 80 ou 443 e nem a sua 44354. Eles vão direto pra porta padrão do Squid (3128 ou 8080). Então não há efeito essas regras de redirecionamento que você definiu no iptables para quem usa o proxy.

Eles tem que acessar o endereço diretamente com a porta padrão:

https://site.no-ip.info/

0 0

Quote