Squid3 Proxy Transparente + FTP
Bom dia Pessoal, Não estou conseguindo acessar nenhum endereço FTP se utilizo proxy transparente. Quando defino a porta do squid3 3128 eu consigo acessar. Presumi que redirecionando a porta 21 para 3128 iria funcionar porém não funcionou. iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j REDIRECT --to-port 3128 Alguém tem alguma idéia ? Obrigado, -- Adauto Serpa Tecnólogo em Informática Jabber: adautose...@jabber.org Email: adautose...@gmail.com MSN: junio...@hotmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Squid3 Proxy Transparente + FTP
Antônio, A minha idéia seria fazer o FTP passar pelo proxy transparent. Também gostaria de fazer isso com as conexões https(443). Se eu apenas encaminhas conexão não estarei fazendo cache do FTP nem das Páginas Https, apenas conexões na porta 80 Http Desde já agradeço, -- Adauto Serpa Tecnólogo em Informática Jabber: adautose...@jabber.org Email: adautose...@gmail.com MSN: junio...@hotmail.com 2009/1/22 Antonio Sergio de Moura : > como está seu FORWARD para a rede interna ? > > uma opção seria ... > iptables -I FORWARD -i #iflocal -p tcp --dport 21 -j ACCEPT > > além do ESTABLISHED ... > > vc pode testar se está passando pelo firewall > > > no micro cliente: > > telnet ipdoservidorftp 21 > > se conectar, nao é problema de porta. > > 2009/1/22 Adauto Serpa >> >> Bom dia Pessoal, >> >> Não estou conseguindo acessar nenhum endereço FTP se utilizo proxy >> transparente. >> Quando defino a porta do squid3 3128 eu consigo acessar. Presumi que >> redirecionando >> a porta 21 para 3128 iria funcionar porém não funcionou. >> >> iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j >> REDIRECT --to-port 3128 >> >> Alguém tem alguma idéia ? >> >> >> Obrigado, >> >> -- >> Adauto Serpa >> Tecnólogo em Informática >> Jabber: adautose...@jabber.org >> Email: adautose...@gmail.com >> MSN: junio...@hotmail.com >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact >> listmas...@lists.debian.org >> > > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Squid3 Proxy Transparente + FTP
On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote: > Antônio, > > > A minha idéia seria fazer o FTP passar pelo proxy transparent. > Também gostaria de fazer isso com as conexões https(443). > > Se eu apenas encaminhas conexão não estarei fazendo cache do > FTP nem das Páginas Https, apenas conexões na porta 80 Http > > Desde já agradeço, > O proxy transparente é bem claro... so-e-tão-somente na porta 80, e so e somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim. Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a cerca de 3 anos atras. ) O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos especificos para ftp na arvore do kernel do linux, por ex. Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no modo transparente ou no modo "manual". O modo manual apenas usa o metodo connect para fazer a conexão ssl do navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu firewall, so que usando a nat ao invés de informar o ip do proxy no navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc fará log disso - para saber se por ex, os seus usuários estão usando ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e outros comportamentos nocivos para a sua rede. E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall, sendo que somente precisaria manter a do squid. E ler dois logs também. Sim, usar proxy transparente é facinho facinho, mas dá mto mais trabalho para o administrador se-e-somente-se ele quiser manter a rede segura e livre de pragas. com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar. Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu caso. E pela experiencia. ;) [ ]s, e divirta-se. Henry -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Squid3 Proxy Transparente + FTP
Antonio como o Henry disse o proxy transparente não funciona com os protocolos https ftp e ssl apenas com o http Isso pode acontecer se seu firewall estiver bloqueando alguma porta pois o ftp trabalha da seguinte forma ele recebe a requisição na porta 21 mas responde em uma porta aleatória ou seja no seu computador vc digita ftp.meuftp.com.br envia a requisição para a porta 21 do servidor que responde pelo endereço ftp.meuftp.com.br este recebe a requisição e a responde em uma porta aleatória é ai que entra o bloqueio de portas do firewall como é uma porta aleatória esta pode estar bloqueada em seu firewall se possível poste seu script de firewall se vc estiver usando algum e exclua o redirecionamento da porta 21 que vc fez: iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j REDIRECT --to-port 3128 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Squid3 Proxy Transparente + FTP
Henry e Rafael, Valeu mesmo pela ótima explicação. Já estava començando a desconfiar, fiz algumas pesquisas e não vi nada sobre isso. Como minha experiência é pouca com firewalls não sabia nada sobre o assunto. Bom, Minha solução então para meu caso foi utilizar as regras de FORWARD para todo serviço de internet que não utilize a porta 80 (HTTP). iptables -t filter -A FORWARD -p tcp -s ip_da_minha_estacao --dport porta_do_servico -j ACCEPT Exemplo de minha configuração para uma estação de trabalho(workstation). iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 20:21 -j ACCEPT #Liberando FTP iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 25 -j ACCEPT # Liberando SMTP iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 110 -j ACCEPT # Liberando POP3 iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250 --dport 443 -j ACCEPT # Liberando HTTPS Assim tenho o controle por estação de trabalho e o serviço a ser utilizado. Me corrijam se eu estiver errado com a minha solução ! Outra coisa o protocolo FTP é muito chato e fresco para esse caso eu utilizo as seguintes regras no meu script de firewall. # Liberando FTP #iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT #iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Minha inclusão iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT # Fim FTP # Liberando FTP pra o IP 192.168.0.29 iptables -A FORWARD -i $iflocal -p tcp -s 192.168.0.29 -m multiport --dports 20,21 -j ACCEPT # FTP Ele server para detectar se a conexão foi estabelicida realmente pelo seu computador e habilita o tráfego nas portas altas e aletórias que o FTP realiza. É mais ou menos isso ;-) Estou com problemas de utilizar Squid + Iptables + HTB, mas deixa isso pra outro tópico :-) obrigado, -- Adauto Serpa Tecnólogo em Informática Jabber: adautose...@jabber.org Email: adautose...@gmail.com MSN: junio...@hotmail.com 2009/1/22 henry : > On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote: >> Antônio, >> >> >> A minha idéia seria fazer o FTP passar pelo proxy transparent. >> Também gostaria de fazer isso com as conexões https(443). >> >> Se eu apenas encaminhas conexão não estarei fazendo cache do >> FTP nem das Páginas Https, apenas conexões na porta 80 Http >> >> Desde já agradeço, >> > > O proxy transparente é bem claro... so-e-tão-somente na porta 80, e so e > somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim. > Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a > cerca de 3 anos atras. ) > > O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos > especificos para ftp na arvore do kernel do linux, por ex. > > Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata > o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no > modo transparente ou no modo "manual". > O modo manual apenas usa o metodo connect para fazer a conexão ssl do > navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu > firewall, so que usando a nat ao invés de informar o ip do proxy no > navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc > fará log disso - para saber se por ex, os seus usuários estão usando > ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e > outros comportamentos nocivos para a sua rede. > E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall, > sendo que somente precisaria manter a do squid. E ler dois logs também. > > Sim, usar proxy transparente é facinho facinho, mas dá mto mais trabalho para > o administrador se-e-somente-se ele quiser manter a rede segura e livre de > pragas. > > com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar. > > Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu > caso. E pela experiencia. ;) > > [ ]s, e divirta-se. > Henry > > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > > -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
