Squid Transparente

juniox · 28-08-2005, 19:16

seguinte o squid aqui tá funcionando perfeitamente, isso se em todas as máquinas clientes o browser tiver configurado apontando pro servidor proxy.

se eu tentar deixar o server trasparente, dá erro nos clientes.

regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

será que o fato da net ser o speedy (da telefônica) estaria influenciando em algo?
visto que ele barra portas...

bom.. sei la
alguém tem idéia?

RVR777 · 28-08-2005, 21:30

acho que não tem muita coisa a ver, ja que essas são portas internas. Qual erro que dá?

RVR777 · 28-08-2005, 21:36

Você tem outras regras para o iptables antes dessa?

juniox · 28-08-2005, 22:12

não, nem tem

jgama · 28-08-2005, 23:43

Mas vc altera também os cliente para não usar Proxy?

juniox · 28-08-2005, 23:45

jgama · 29-08-2005, 0:08

Não custa nada tenta trocar a regra por estas.

iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 80,443 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

Coloca os parametros para squid transparente que vc está usando no squid para verificarmos.

juniox · 29-08-2005, 0:23

então.. o erro que tá dando na máquina cliente.. quando tenta acessar um site que seria liberado pelo squid... é erro de DNS...

:?

jgama · 29-08-2005, 0:33

Citação:

Postado Originalmente por juniox

então.. o erro que tá dando na máquina cliente.. quando tenta acessar um site que seria liberado pelo squid... é erro...

Quanto clientes tem essa rede?
como vc está configurando a rede nos clientes?

Dependendo da quantidade de máquinas, porque vc não monta um Server dhcp no servidor, pois poderia configura para da acesso a DNS também ficaria mais pratico qualquer mudança na rede.

Carlos Alberto · 29-08-2005, 20:49

Pro proxy transparente funcionar, além do redirecionamento da porta, tem uma outra config que tem de fazer mas não me lembro agora qual é. Eu já fiz numa empresa e, na época, achei um tuto no google que explicava direitinho como se faz.

tchemail · 29-08-2005, 21:50

Mande seu squid.conf

Provalmente não ativou a função de proxy transparente no mesmo:

juniox · 29-08-2005, 21:52

http_port 192.168.0.1:3128
icp_port 192.168.0.1:3130

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY

cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 4096 KB
cache_mgr juniox@vivaolinux.com.br
visible_hostname JuNiOx

cache_dir ufs /usr/local/squid/cache 100 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

emulate_httpd_log off

dns_nameservers 200.204.0.138

#acl juniox src 192.168.0.1
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl rede src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 444 447 563 7443 10000
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl proibir_sites dstdomain "/usr/local/squid/etc/bloqueados/sites.txt"
acl proibir_palavras url_regex -i "/usr/local/squid/etc/bloqueados/palavras.txt"

#http_access allow proibir_sites juniox
http_access deny proibir_palavras
http_access deny proibir_sites
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow rede
http_access allow localhost
http_access allow all

icp_access allow rede
icp_access deny all

cache_effective_user squid
cache_effective_group squid

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host on
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

---------------

algum erro?

jqueiroz · 30-08-2005, 0:40

se a navegação estiver funcionando normalmente no servidor Linux, então comente a linha "dns_nameservers 200.204.0.138", deixe o Squid usar os mesmos servidores DNS que o servidor.

juniox · 30-08-2005, 1:23

humm....
faz diferença as ordens das regras?

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

tem diferença primeiro compartilhar e depois redirecionar porta.. e vice-versa?

valeu

juniox · 30-08-2005, 1:39

o seguinte erro aparece na máquina cliente depois que comentei o DNS:

--

The following error was encountered:

Unable to determine IP address from host name for www.terra.com.br

The dnsserver returned:

Name Error: The domain name does not exist.

This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

jqueiroz · 30-08-2005, 2:14

Citação:

humm....
faz diferença as ordens das regras?

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

tem diferença primeiro compartilhar e depois redirecionar porta.. e vice-versa?

Não, pois as regras estão agindo em cadeias diferentes.

Agora, juniox, me lembrei do seguinte: vc está com dois tópicos abertos sobre o mesmo assunto, não pode fazer isso pelas regras do fórum. Por favor indique qual deles deve prosseguir pra eu trancar o outro, OK?

juniox · 30-08-2005, 2:34

desculpa jqueiroz, não tinha reparado nisso.
pode cancelar o outro então.

mas então, saberia o motivo desse erro que está dando nas máquinas clientes?

jqueiroz · 30-08-2005, 2:47

Citação:

Postado Originalmente por jqueiroz

se a navegação estiver funcionando normalmente no servidor Linux,...

Você conferiu se a navegação está normal no servidor???

Você lembrou de liberar o envio/recebimento de pacotes DNS no firewall???

juniox · 30-08-2005, 2:52

no servidor está tudo okz.

não fiz nada no firewall...

como deveria proceder?

jqueiroz · 30-08-2005, 13:08

Citação:

no servidor está tudo okz.

De qq jeito teste de novo. Se o Squid não consegue resolver DNS é pq tem alguma configuração errada no servidor: ou o /etc/resolv.conf está mal configurado, ou o firewall está barrando pacotes DNS.

28-08-2005, 19:16	#1 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	Squid Transparente seguinte o squid aqui tá funcionando perfeitamente, isso se em todas as máquinas clientes o browser tiver configurado apontando pro servidor proxy. se eu tentar deixar o server trasparente, dá erro nos clientes. regra: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 será que o fato da net ser o speedy (da telefônica) estaria influenciando em algo? visto que ele barra portas... bom.. sei la alguém tem idéia? __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

28-08-2005, 21:30	#2 (permalink)
RVR777 Ubbergeek Registrado em: Jan 2005 Mensagens: 4.675 Reputação: 16	acho que não tem muita coisa a ver, ja que essas são portas internas. Qual erro que dá? __________________ Linux User #385325 -- http://br-net.org - de olho na internet Renan Rangel

28-08-2005, 21:36	#3 (permalink)
RVR777 Ubbergeek Registrado em: Jan 2005 Mensagens: 4.675 Reputação: 16	Você tem outras regras para o iptables antes dessa? __________________ Linux User #385325 -- http://br-net.org - de olho na internet Renan Rangel

28-08-2005, 22:12	#4 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	não, nem tem __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

28-08-2005, 23:43	#5 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.510 Reputação: 24	Mas vc altera também os cliente para não usar Proxy? __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

		FórumGdH > GNU-Linux, FreeBSD e Software Livre > Outros Assuntos GNU-Linux, FreeBSD e Software Livre
Squid Transparente

1. Finalmente, squid transparente e clientes acessando FTP!
Mais resultados? Use nossa pesquisa.

28-08-2005, 23:45	#6 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	sim __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

29-08-2005, 0:08	#7 (permalink)
jgama Zumbi Registrado em: Nov 2002 Localização: Sumaré - SP Mensagens: 5.510 Reputação: 24	Não custa nada tenta trocar a regra por estas. iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 80,443 -j REDIRECT --to-ports 3128 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE Coloca os parametros para squid transparente que vc está usando no squid para verificarmos. __________________ " O DVD Pirata de hoje é a bala perdida de amanhã" Autoria: Bárbara Gancia - Jornalista Valdir Sumaré - SP

29-08-2005, 0:23	#8 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	então.. o erro que tá dando na máquina cliente.. quando tenta acessar um site que seria liberado pelo squid... é erro de DNS... :? __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

29-08-2005, 20:49	#10 (permalink)
Carlos Alberto Tô em todas Registrado em: Aug 2002 Localização: Belo Horizonte - MG Mensagens: 1.931 Reputação: 20	Pro proxy transparente funcionar, além do redirecionamento da porta, tem uma outra config que tem de fazer mas não me lembro agora qual é. Eu já fiz numa empresa e, na época, achei um tuto no google que explicava direitinho como se faz. __________________ Linux User #296837 Notebook HP TX2-1012NR PC: Core 2 Duo E7300 - 4GB DDR40 - Geforce 8600GT - Hd 320GB (sistema) - HD 500GB (dados) - Monitor LG W2252TQ 22'' Não respondo dúvidas técnicas por MP.

29-08-2005, 21:50	#11 (permalink)
tchemail Super Participante Registrado em: Sep 2003 Localização: Venâncio Aires / RS - 95800-000 Mensagens: 733 Reputação: 0	Mande seu squid.conf Provalmente não ativou a função de proxy transparente no mesmo:

29-08-2005, 21:52	#12 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	http_port 192.168.0.1:3128 icp_port 192.168.0.1:3130 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin ? no_cache deny QUERY cache_mem 8 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 4096 KB cache_mgr juniox@vivaolinux.com.br visible_hostname JuNiOx cache_dir ufs /usr/local/squid/cache 100 16 256 cache_access_log /usr/local/squid/logs/access.log cache_log /usr/local/squid/logs/cache.log cache_store_log /usr/local/squid/logs/store.log emulate_httpd_log off dns_nameservers 200.204.0.138 #acl juniox src 192.168.0.1 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl rede src 192.168.0.0/255.255.255.0 acl SSL_ports port 443 444 447 563 7443 10000 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl proibir_sites dstdomain "/usr/local/squid/etc/bloqueados/sites.txt" acl proibir_palavras url_regex -i "/usr/local/squid/etc/bloqueados/palavras.txt" #http_access allow proibir_sites juniox http_access deny proibir_palavras http_access deny proibir_sites http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow rede http_access allow localhost http_access allow all icp_access allow rede icp_access deny all cache_effective_user squid cache_effective_group squid httpd_accel_host virtual httpd_accel_port 80 httpd_accel_single_host on httpd_accel_with_proxy on httpd_accel_uses_host_header on --------------- algum erro? __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

30-08-2005, 0:40	#13 (permalink)
jqueiroz Administrador Registrado em: May 2002 Localização: Tijuca/RJ Idade: 7 Mensagens: 83.483 Reputação: 224	se a navegação estiver funcionando normalmente no servidor Linux, então comente a linha "dns_nameservers 200.204.0.138", deixe o Squid usar os mesmos servidores DNS que o servidor. __________________ Dúvidas sobre o Fórum? Guia de Utilização V2.0 Visite Quepolis (link de indicação) \| "chmod 777 nunca ajudou ninguém" (c) 2002-2009 JQueiroz/FGdH BSCI: √ ISCW: □ MCSN: □ OTN: □ 25% CCSI: □ \| Conheça o Novo Bebuns

30-08-2005, 1:23	#14 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	humm.... faz diferença as ordens das regras? iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 tem diferença primeiro compartilhar e depois redirecionar porta.. e vice-versa? valeu __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

30-08-2005, 1:39	#15 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	o seguinte erro aparece na máquina cliente depois que comentei o DNS: -- The following error was encountered: Unable to determine IP address from host name for www.terra.com.br The dnsserver returned: Name Error: The domain name does not exist. This means that: The cache was not able to resolve the hostname presented in the URL. Check if the address is correct. __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

30-08-2005, 2:34	#17 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	desculpa jqueiroz, não tinha reparado nisso. pode cancelar o outro então. mas então, saberia o motivo desse erro que está dando nas máquinas clientes? __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

30-08-2005, 2:52	#19 (permalink)
juniox Membro Senior Registrado em: May 2003 Localização: Americana-SP Mensagens: 388 Reputação: 14	no servidor está tudo okz. não fiz nada no firewall... como deveria proceder? __________________ Skype: JuNiOx #Vivaolinux (Brasnet && Freenode)

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail