Redirecionamento

jonasmdias
(usa Debian)

Enviado em 21/11/2011 - 22:14h

Duvida: Redirecionamento para o servidor web da rede local com proxy autenticado no AD não funciona.


Configuração da interface do servidor proxy e redirecionamentos.

eth0: xxx.xxx.xxx.1 #IP Valido1. (Ip internet da rede interna)
eth0:1 xxx.xxx.xxx.2 #IP Valido2. (Apenas para o redirecionamento)

eth1: 192.168.2.254 # Gateway da rede local

## Redirecionamento para servidor WEB.
iptables -t nat -I PREROUTING -d xxx.xxx.xxx.xx2 -p tcp --dport 80 -j DNAT --to-dest 192.168.2.27

Funciona blz da rede externa mas não funciona da rede local. O engraçado é que so não funciona quando redireciono para a porta 80.
Fiz testes alterando para a porta 22, 880, 3389 e todas funcionam tanto da rede interna quando da rede externa.
So mais um detalhe, aqui o proxy é autenticado, Se tiro o proxy do navegador o redirecionamento funciona tanto na rede interna quando externa, mais quando coloco o proxy novamente o redirecionamento não funciona, parando no servidor proxy.
Então preciso saber se tenho que mudar é a regra de redirecionamento ou squid.conf ???
Obrigado pela atenção.
Att,

n4t4n
(usa Arch Linux)

Enviado em 21/11/2011 - 23:23h

Ao meu ver o que acontece é que você tem uma regra que redireciona todo o tráfego da rede local que chega ao servidor na porta 80 para a porta do squid e isso conflita com o que você quer atualmente, pois a porta 80 já está sendo redirecionada para a 3128.

Para tirar a certeza desative a regra de redirecionamento para o squid e faça o teste. Se funcionar então já sabe a raiz do problema e poderemos procurar uma solução.

jonasmdias
(usa Debian)

Enviado em 22/11/2011 - 09:11h

Acho que o problema é esse mesmo, mais como resolver ?
Porque o proxy aqui é autenticado, ou seja todos os navagadores estão configurados manualmente com o proxy 192.168.2.254 porta 3128.

Se o proxy fosse transparente poderia resolver o problema colocando a regra de redirecionamento antes do redirecionamto para o proxy.

Ex:

#Redirecionamento:
iptables -t nat -I PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 80 -j DNAT --to-dest 192.168.2.32

#Proxy transparente:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


Mais como a configuração é no nagevador, como resolver?

Aguardo, obrigado.

renato_pacheco
(usa Debian)

Enviado em 22/11/2011 - 13:10h

Coloque essa regra d redirecionamento ANTES da regra d REDIRECT. Acredito q assim funcione. Caso contrário, pensarei em outra solução.

jonasmdias
(usa Debian)

Enviado em 22/11/2011 - 19:07h

Esta tudo correto, com o proxy transparente funciona, mais quando a configuração de proxy esta manual no navegador não funciona.


Quando a configuração do proxy e no servidor a comunicação sai do cliente pela porta 80 e uma regra de iptables joga na porta 3128. Nesse caso é so colocar uma outra regra de iptables para redirecionar para o servidor web antes de redirecionar para o squid.

Mais quando a configuração esta manual no navegador do cliente a comunicação ja sai pela porta 3128. Acho que o problema é esse. Preciso de uma regra de iptables para essa situação.

Aguardo.

Obrigado pela atenção.

renato_pacheco
(usa Debian)

Enviado em 23/11/2011 - 10:16h

Se vc configura diretamente no seu navegador, é desnecessária a regra do REDIRECT. Basta apagá-la...

n4t4n
(usa Arch Linux)

Enviado em 23/11/2011 - 16:40h

O problema acontece justamente quando o proxy está configurado manualmente, pois toda requisição feita na porta 80 é feita diretamente através da 3128 do squid, e isso acontece na máquina cliente, ou seja, o servidor não tem controle sobre isso, para o servidor é uma conexão chegando para ele na porta 3128 e por isso tratado na chain INPUT da tabela filter o que inviabiliza o DNAT ou REDIRECT que só pode ser realizado na tabela nat.

Só tive a seguinte idéia:

Editar o arquivo hosts

Windows - C:\WINDOWS\system32\etc\drivers\hosts

http://www.linhadefensiva.org/2005/02/hosts/

Linux - /etc/hosts

e inserir o seguinte

XXX.XXX.XXX.XX2     192.168.2.232

 

renato_pacheco
(usa Debian)

Enviado em 23/11/2011 - 17:17h

Mas se vc colocar nas exceções do navegador os endereços locais, o seu problema desaparece. Se for Windows, melhor ainda, pois vc pode colocar esses endereços em uma GPO definida.

Ah! E isso q vc propôs é loucura! Imagine configurar isso em várias máquinas?

n4t4n
(usa Arch Linux)

Enviado em 23/11/2011 - 18:01h

É verdade, é que foi a única idéia que tive na hora, e se for uma rede pequena dá pra resolver temporariamente (se funcionar).

O único problema que não chega a ser problema é que o endereço que ele quer acessar apesar de estar na rede local é o endereço público, então teria que acessar 192.168.2.232 em vez de XXX.XXX.XXX.XX2

jonasmdias
(usa Debian)

Enviado em 23/11/2011 - 20:26h

O problema e justamente esse, o endereço que preciso redirecionar xxx.xxx.xxx.xx2 é valido então não consigo acessa-lo da rede local.

Ja uso GPO para distribuir o proxy pois são mais de 400 computadores, e a opção para não usar proxy para endereços locais ja esta marcada. Ou seja se digitar o endereço local funciona, mais assim também não resolve o problema.


Pois teria que criar no site links diferentes. Acesso interno (192.168.2.32)
Acesso externo (xxx.xxx.xxx.xx2)

Acho que também não seria uma boa opção;


Desde ja agradeço a atenção de vocês, E aguardo novo contato.

Att,

renato_pacheco
(usa Debian)

Enviado em 23/11/2011 - 21:50h

Eu não entendi uma coisa: pq q a rede local tem q acessar o site pelo endereço externo? Estranho...

jonasmdias
(usa Debian)

Enviado em 23/11/2011 - 22:01h

Tipo. Portal Web Acadêmico.
Alunos acessam um link que redireciona para o IP valido do portal web.
Quando o aluno esta em casa tudo certo. Mais quando esta na rede local
não consegue acessar. OK!

Achei que fosse mais fácil, so uma regra de iptables resolveria o problema, mais pelo visto é impossível redirecionar quando o proxy esta configurado no navegador.


Qualquer duvida estou a disposição

Obrigado.