Re: SQUID Proxy Transparente
aca sale bien detallado lo que debes hacer http://beta.redes-linux.com/manuales/proxy/trans_proxi_sp.pdf saludos El 14 de abril de 2010 15:33, Javier Garay javierzga...@gmail.comescribió: ¿Como tienes tu topología de red? ¿Estas usando router, switch o algun tipo de conmutador para conectarte a tu ISP? Por otra parte el SQUID puedes configurarlo de dos formas: 1.- De tener 2 tarjetas de red en el servidor puedes hacerlo como proxy + bridge. Solo tienes que usar Squid, ebtables y iptables. Para eso te aconsejo que leas esta guía ( http://freshmeat.net/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables ), solo falta agregar la palabra transparent a la configuración http_port de la configuración de SQUID. Ejemplo: http_port 8080 transparent El esquema seria: Hosts - (eth0) SQUID (eth1) - Internet 2.- Si solo tienes una tarjeta de red entonces debes rutear todo el trafico de tu red al SQUID y de aquí a tu ISP. Esto lo haces configurando en tus hosts como gateway el servidor SQUID y añadiendo una regla de ruteo en tu SQUID para que envíe el trafico a tu ISP, esto lo haces con la herramienta iproute, especificamente con el comando route add default gateway DIRECCION_IP_GATEWAY dev, donde dev es la interfaz a la que esta conectado tu ISP. Además debes añadir la misma regla a IPTABLES que usas en el punto anterior, aca no usas ebtables. Espero que te ayude. -- Atte, Javier Andrés Garay G. Ingeniero en Informática Plug And Play Net S.A. www.papnet.cl
SQUID Proxy Transparente
Hola a todos. por favor, les pido su ayuda. he intentado todo lo que he encontrado en la red, y no hay caso. lo que quiero es hacer un proxy transparente, en el cual los que se conecten pasen por el squid y sus reglas en cuanto a sitios denegados, pero que tambien tengan cliente de correo como el outlook. el squid me funciona bien, si es que por cada navegador le configuro la ip y el puerto, pero no es la idea, ya que quiero que sea transparente. el outlook me funciona bien, cuando le cargo reglas con iptables, pero el trafico de internet tambien pasa por iptables, por lo que se salta el squid y sus reglas de navegacion. ahora probe con esta ultima configuracion de squid, que funciona cuando le digo al navegador la ip y el puerto de conexion, pero cuando lo dejo automatico, que es mi idea, me envia un error de url. si ha alguien le ha tocado configurar algo similar, le agradezco la ayuda. aca les dejo el squid.conf y las reglas iptables que he cargado. como dato: ETH0: conexion al internet (directamente al modem de VTR) (por si las moscas, el servidor tiene internet) ETH1: conexion a la red local. (ip: 192.168.100.1) --- SQUID.CONF - http_port 3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 1024 MB cache_dir ufs /var/spool/squid 700 16 256 access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.100.0/255.255.255.0 acl sitiosdenegados url_regex /etc/squid/sitiosdenegados acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access allow todalared !sitiosdenegados http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all cache_mgr administra...@redlocal.cl httpd_accel_host virtual httpd_accel_port 80 # httpd_accel_single_host off httpd_accel_with_proxy on httpd_accel_uses_host_header on offline_mode on header_access X-Forwarded-For deny all header_access Via denyny all header_access Accept-Language deny all header_replace Accept-Language es,en header_access User-Agent deny all header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit) coredump_dir /var/spool/squid visible_hostname proxysvr.redlocal - FIN SQUID.CONF --- - REGLAS IPTABLES QUE APLICO --- /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128 /sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 - FIN REGLAS IPTABLES -- - ACA DEJO LA REGLA IPTABLES QUE USE ANTERIORMENTE - - POR SI LE SIRVE A ALGUIEN. ESTA REGLA TE PERMITE - - EL TRAFICO POR INTERNET DE FORMA DIRECTA PARA LA - - RED LOCAL, Y EL OUTLOOK FUNCA BIEN TAMBIEN, PERO - - AL SQUID SE LO PASA POR ... - /sbin/iptables -F /sbin/modprobe iptable_nat /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward - FIN REGLA
Re: SQUID Proxy Transparente
¿Como tienes tu topología de red? ¿Estas usando router, switch o algun tipo de conmutador para conectarte a tu ISP? Por otra parte el SQUID puedes configurarlo de dos formas: 1.- De tener 2 tarjetas de red en el servidor puedes hacerlo como proxy + bridge. Solo tienes que usar Squid, ebtables y iptables. Para eso te aconsejo que leas esta guía ( http://freshmeat.net/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables), solo falta agregar la palabra transparent a la configuración http_port de la configuración de SQUID. Ejemplo: http_port 8080 transparent El esquema seria: Hosts - (eth0) SQUID (eth1) - Internet 2.- Si solo tienes una tarjeta de red entonces debes rutear todo el trafico de tu red al SQUID y de aquí a tu ISP. Esto lo haces configurando en tus hosts como gateway el servidor SQUID y añadiendo una regla de ruteo en tu SQUID para que envíe el trafico a tu ISP, esto lo haces con la herramienta iproute, especificamente con el comando route add default gateway DIRECCION_IP_GATEWAY dev, donde dev es la interfaz a la que esta conectado tu ISP. Además debes añadir la misma regla a IPTABLES que usas en el punto anterior, aca no usas ebtables. Espero que te ayude. -- Atte, Javier Andrés Garay G. Ingeniero en Informática Plug And Play Net S.A. www.papnet.cl
Re: SQUID Proxy Transparente (mas)
On Wed, 14 Apr 2010 15:33:30 -0400, Javier Garay javierzga...@gmail.com wrote: ¿Como tienes tu topología de red? ¿Estas usando router, switch o algun tipo de conmutador para conectarte a tu ISP? RE: del modem de VTR al servidor (eth0), el cual esta con internet correctamente. desde el servidor (eth1) a un Access point (que funciona bien, ya que los equipos tienen internet si le digo al navegador por cual ip y puerto de conexion tiene el proxy. o si cargo la regla iptables que da acceso completo) Por otra parte el SQUID puedes configurarlo de dos formas: 1.- De tener 2 tarjetas de red en el servidor puedes hacerlo como proxy + bridge. Solo tienes que usar Squid, ebtables y iptables. RE: el servidor tiene 2 tarjetas de red. la que conecta al modem VTR y la que conecta al Access point (red local) Para eso te aconsejo que leas esta guía ( http://freshmeat.net/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables), solo falta agregar la palabra transparent a la configuración http_port de la configuración de SQUID. Ejemplo: http_port 8080 transparent El esquema seria: Hosts - (eth0) SQUID (eth1) - Internet 2.- Si solo tienes una tarjeta de red entonces debes rutear todo el trafico de tu red al SQUID y de aquí a tu ISP. Esto lo haces configurando en tus hosts como gateway el servidor SQUID y añadiendo una regla de ruteo en tu SQUID para que envíe el trafico a tu ISP, esto lo haces con la herramienta iproute, especificamente con el comando route add default gateway DIRECCION_IP_GATEWAY dev, donde dev es la interfaz a la que esta conectado tu ISP. Además debes añadir la misma regla a IPTABLES que usas en el punto anterior, aca no usas ebtables. Espero que te ayude. muchas gracias por todo. voy a probar. saludos. orlando