Proxy Transparente no Debian

1. Proxy Transparente no Debian

Cesar
camandrade

(usa Suse)

Enviado em 08/06/2010 - 10:33h

Instalei o Squid 2.7.stable3 no Debian, testei ele colocando o ip e a porta no browser funciona certinho, mas quando tento conectar como proxy transparente ele nao funciona. Parece que a porta 80 esta bloqueada ou algo assim. Segue as configuracoes do squid.conf e do firewall.sh


*************** squid.conf *****************

http_port 3128 transparent
visible_hostname LinuxNetServer

cache_mem 350 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 4096 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
error_directory /usr/share/squid/errors/Portuguese/

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all






*************** firewall.sh *****************

# proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# regras para envio e recebimento de emails
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.176.2.10 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.176.2.10 --sport 53 -d 192.168.0.0/24 -j ACCEPT

iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.176.2.12 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.176.2.12 --sport 53 -d 192.168.0.0/24 -j ACCEPT

iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE



Obrigado a todos!
Cesar


  


2. Re: Proxy Transparente no Debian

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 08/06/2010 - 11:35h

o seu squid está funcionando?

# netstat -nlpt

# telnet ip.do.servidor 3128


3. Re: Proxy Transparente no Debian

Cesar
camandrade

(usa Suse)

Enviado em 08/06/2010 - 12:47h

telnet 192.168.0.200 3128
Trying 192.168.0.200...
Connected to 192.168.0.200.
Escape character is '^]'.



netstat -nlpt
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
tcp 0 0 0.0.0.0:3050 0.0.0.0:* OUÃA 3735/xinetd
tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÃA 1833/portmap
tcp 0 0 0.0.0.0:22 0.0.0.0:* OUÃA 6400/sshd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* OUÃA 7357/(squid)
tcp 0 0 127.0.0.1:25 0.0.0.0:* OUÃA 2353/exim4
tcp6 0 0 :::901 :::* OUÃA 3735/xinetd
tcp6 0 0 :::22 :::* OUÃA 6400/sshd





4. Re: Proxy Transparente no Debian

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 08/06/2010 - 13:44h

vc redireciona a porta 80 (está correto) porém esquece da 443 - https que NÃO PODE passar pelo squid (faça forward nela destino 0/0)

seu firewall não tem clausula para retorno - statefull.

sugiro uma boa leitura dêste artigo:
http://www.vivaolinux.com.br/artigo/Squid-3-como-proxy-transparente-+-firewall-Iptables

a maioria das suas possíveis dúvidas já foram resolvidas antecipadamente por êle.


5. tópico transparente no debian

Iron Uirassu Ayres
iron_ayres

(usa Debian)

Enviado em 22/01/2011 - 18:50h

Caro colega, a partir da versão 2.6 squid do Debian, ficou mais fácil fazer o proxy transparente, basta na linha do squid que contem,
http_port 3128, inserir "transparent"
http_prot 3128 transparente

é batata.

quanto ao nat, nada é novo.


6. Re: Proxy Transparente no Debian

Rodrigo
rodrigom

(usa Debian)

Enviado em 22/01/2011 - 18:59h

eth0, é mesmo a interface de rede da rede interna ? :)






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts