Squid Transparente

Question

seguinte o squid aqui t&aacute; funcionando perfeitamente, isso se em todas as m&aacute;quinas clientes o browser tiver configurado apontando pro servidor proxy.

se eu tentar deixar o server trasparente, d&aacute; erro nos clientes.

regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

ser&aacute; que o fato da net ser o speedy (da telef&ocirc;nica) estaria influenciando em algo?
visto que ele barra portas...

bom.. sei la
algu&eacute;m tem id&eacute;ia?

Answer

acho que n&atilde;o tem muita coisa a ver, ja que essas s&atilde;o portas internas. Qual erro que d&aacute;?

Answer

Voc&ecirc; tem outras regras para o iptables antes dessa?

Answer

n&atilde;o, nem tem

Answer

Mas vc altera tamb&eacute;m os cliente para n&atilde;o usar Proxy?

Answer

sim

Answer

N&atilde;o custa nada tenta trocar a regra por estas.

iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 80,443 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE


Coloca os parametros para squid transparente que vc est&aacute; usando no squid para verificarmos.

Answer

ent&atilde;o.. o erro que t&aacute; dando na m&aacute;quina cliente.. quando tenta acessar um site que seria liberado pelo squid... &eacute; erro de DNS...

 :?

Answer

[quote=juniox]ent&atilde;o.. o erro que t&aacute; dando na m&aacute;quina cliente.. quando tenta acessar um site que seria liberado pelo squid... &eacute; erro...[/quote]


Quanto clientes tem essa rede?
como vc est&aacute; configurando a rede nos clientes?

Dependendo da quantidade de m&aacute;quinas, porque vc n&atilde;o monta um Server dhcp  no servidor, pois poderia configura para da acesso a DNS tamb&eacute;m ficaria mais pratico qualquer mudan&ccedil;a na rede.

Answer

Pro proxy transparente funcionar, al&eacute;m do redirecionamento da porta, tem uma outra config que tem de fazer mas n&atilde;o me lembro agora qual &eacute;. Eu j&aacute; fiz numa empresa e, na &eacute;poca, achei um tuto no google que explicava direitinho como se faz.

Answer

Mande seu squid.conf

Provalmente n&atilde;o ativou a fun&ccedil;&atilde;o de proxy transparente no mesmo:

Answer

http_port 192.168.0.1:3128
icp_port 192.168.0.1:3130

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 4096 KB
cache_mgr juniox@vivaolinux.com.br
visible_hostname JuNiOx

cache_dir ufs /usr/local/squid/cache 100 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

emulate_httpd_log off

dns_nameservers 200.204.0.138

#acl juniox src 192.168.0.1
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rede src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 444 447 563 7443 10000
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl proibir_sites dstdomain /usr/local/squid/etc/bloqueados/sites.txt
acl proibir_palavras url_regex -i /usr/local/squid/etc/bloqueados/palavras.txt

#http_access allow proibir_sites juniox
http_access deny proibir_palavras
http_access deny proibir_sites
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow rede
http_access allow localhost
http_access allow all

icp_access allow rede
icp_access deny all

cache_effective_user squid
cache_effective_group squid

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host on
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

---------------

algum erro?

Answer

se a navega&ccedil;&atilde;o estiver funcionando normalmente no servidor Linux, ent&atilde;o comente a linha dns_nameservers 200.204.0.138, deixe o Squid usar os mesmos servidores DNS que o servidor.

Answer

humm....
faz diferen&ccedil;a as ordens das regras?

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

tem diferen&ccedil;a primeiro compartilhar e depois redirecionar porta.. e vice-versa?

valeu

Answer

o seguinte erro aparece na m&aacute;quina cliente depois que comentei o DNS:

--

The following error was encountered:

    Unable to determine IP address from host name for www.terra.com.br 

The dnsserver returned:

    Name Error: The domain name does not exist. 

This means that:

 The cache was not able to resolve the hostname presented in the URL. 
 Check if the address is correct.

Ferramentas

Mover Tópico