Re: squid - proxy transparente e autenticacao

[Caio Ferreira]

Prezado Elmar Uliano

Correto, depois de desabilitar o proxy transparente, o processo de
autenticacao funcionou corretamente.

Obrigado pela ajuda.

 .''`.   Caio Abreu Ferreira
: :'  :  abreuf...@gmail.com
`. `'`   Debian User
  `-


On Mon, Jun 24, 2019 at 11:26 AM Elmar Uliano 
wrote:

> Bom dia Caio.
>
> Faz um certo tempo que estou fora da área, mas até onde eu sabia, proxy
> transparente não funcionava com autenticação.
>
> Abraço
>
> Em seg, 24 de jun de 2019 às 11:01, Caio Ferreira 
> escreveu:
>
>> Lista
>>
>> Eu estou tentando configurar o squid para trabalhar em modo transparente
>> e com autenticação. Para isso eu fiz o seguinte até agora.
>>
>> # criacao do arquivo de senha e cadastrando usuario
>> $ sudo htpasswd -c /etc/squid/passwd caio
>>
>> # configuracao do squid.
>> $ sudo vi /etc/squid/squid.conf
>> # habilitando autenticacao.
>> auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
>> auth_param basic children 5
>> auth_param basic realm Squid proxy-caching web server
>> auth_param basic credentialsttl 2 hours
>> auth_param basic casesensitive off
>>
>> # squid em modo transparente.
>> http_port 3128 transparent
>>
>> # ACL
>> acl localhost src 127.0.0.1/32
>> acl localnet src 192.168.0.0/24
>> acl ncsa_users proxy_auth REQUIRED
>>
>> # regras
>> http_access allow localnet ncsa_users
>> http_access allow localhost
>> http_access deny all
>>
>> Da estação, quando eu tento acessar qualquer tipo de site, o acesso é
>> negado. Alguém por acaso chegou a fazer esse tipo de configuração?
>>
>>  .''`.   Caio Abreu Ferreira
>> : :'  :  abreuf...@gmail.com
>> `. `'`   Debian User
>>   `-
>>
>
>
> --
> Elmar ULIANO
>

squid - proxy transparente e autenticacao

[Caio Ferreira]

Lista

Eu estou tentando configurar o squid para trabalhar em modo transparente e
com autenticação. Para isso eu fiz o seguinte até agora.

# criacao do arquivo de senha e cadastrando usuario
$ sudo htpasswd -c /etc/squid/passwd caio

# configuracao do squid.
$ sudo vi /etc/squid/squid.conf
# habilitando autenticacao.
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# squid em modo transparente.
http_port 3128 transparent

# ACL
acl localhost src 127.0.0.1/32
acl localnet src 192.168.0.0/24
acl ncsa_users proxy_auth REQUIRED

# regras
http_access allow localnet ncsa_users
http_access allow localhost
http_access deny all

Da estação, quando eu tento acessar qualquer tipo de site, o acesso é
negado. Alguém por acaso chegou a fazer esse tipo de configuração?

 .''`.   Caio Abreu Ferreira
: :'  :  abreuf...@gmail.com
`. `'`   Debian User
  `-

Re: Fwd: Duvida -- Proxy Transparente protocolo https

[Flavio Menezes dos Reis]

Rodrigo,

Até onde eu sei, com https o tráfego é criptografado de ponta a ponta,
então, se o squid não estiver explicitamente configurado para
man-in-the-middle, ele só repassa o tráfego criptografado do servidor web
para o cliente e vice-versa, sendo a decriptografia feita com quem possuem
as chaves, ou seja, os mesmos cliente e servidor web.

Em 18 de julho de 2016 07:50, Marcos Carraro 
escreveu:

> Bom Dia,
>
> Se ficar com um sniffer no proxy até consegue algumas informações...
>
>
>
> *--*
> Att
> Marcos Carraro <http://br.linkedin.com/in/mcarraro>
>
>
> Em 17 de julho de 2016 22:08, Flávio  escreveu:
>
>> Esse procedimento não quebra alguma norma estabelecida nas RFC´s?
>>
>>
>>
>>
>> Em 17/07/2016 19:22, lucas castro escreveu:
>>
>> Na hora de importar na chave no navegador você pode marca a chave para
>> confiar apenas para identificar chaves. Nunca fiz sniff para testar isso.
>> Também tem a opção de apenas fazer túnel para algumas algumas conexões que
>> o recomendo para sites como os de bancos.
>>
>> Em 16 de jul de 2016 5:09 PM, "Rodrigo Cunha" 
>> escreveu:
>>
>>>
>>> -- Mensagem encaminhada --
>>> De: Rodrigo Cunha 
>>> Data: 16 de julho de 2016 00:07
>>> Assunto: Duvida -- Proxy Transparente protocolo https
>>> Para: portal-aprendendo-li...@googlegroups.com
>>>
>>>
>>> Olá srs, estou com duvidas quanto ao proxy transparente com atuação
>>> sobre o protocolo https.
>>> Tenho uma questão sobre a segurança, porque em meu entendimento quando
>>> há uma conexão segura, além da autenticidade do website ser "garantida" por
>>> uma entidade certificadora também existe a criptografia no texto enviado.
>>>
>>> Minha duvida é, se eu snifar a rede em um website seguro utilizando o
>>> proxy transparente eu não iria obter dados como o login e senha em websites
>>> que utilizam https.Uma vez que a ponte segura será feita entre meu squid e
>>> o servidor e não entre o navegador do usuário e o servidor.
>>>
>>> Alguém já fez esse teste?
>>>
>>> --
>>> Atenciosamente,
>>> Rodrigo da Silva Cunha
>>>
>>>
>>>
>>>
>>> --
>>> Atenciosamente,
>>> Rodrigo da Silva Cunha
>>>
>>>
>>
>


-- 
Flávio Menezes dos Reis
Analista de Informática
Seção de Infraestrutura de Rede - Assessoria de Informática
Procuradoria-Geral do Estado do RS
(51) 3288 1764

Re: Fwd: Duvida -- Proxy Transparente protocolo https

[Marcos Carraro]

Bom Dia,

Se ficar com um sniffer no proxy até consegue algumas informações...



*--*
Att
Marcos Carraro <http://br.linkedin.com/in/mcarraro>


Em 17 de julho de 2016 22:08, Flávio  escreveu:

> Esse procedimento não quebra alguma norma estabelecida nas RFC´s?
>
>
>
>
> Em 17/07/2016 19:22, lucas castro escreveu:
>
> Na hora de importar na chave no navegador você pode marca a chave para
> confiar apenas para identificar chaves. Nunca fiz sniff para testar isso.
> Também tem a opção de apenas fazer túnel para algumas algumas conexões que
> o recomendo para sites como os de bancos.
>
> Em 16 de jul de 2016 5:09 PM, "Rodrigo Cunha" 
> escreveu:
>
>>
>> -- Mensagem encaminhada --
>> De: Rodrigo Cunha 
>> Data: 16 de julho de 2016 00:07
>> Assunto: Duvida -- Proxy Transparente protocolo https
>> Para: portal-aprendendo-li...@googlegroups.com
>>
>>
>> Olá srs, estou com duvidas quanto ao proxy transparente com atuação sobre
>> o protocolo https.
>> Tenho uma questão sobre a segurança, porque em meu entendimento quando há
>> uma conexão segura, além da autenticidade do website ser "garantida" por
>> uma entidade certificadora também existe a criptografia no texto enviado.
>>
>> Minha duvida é, se eu snifar a rede em um website seguro utilizando o
>> proxy transparente eu não iria obter dados como o login e senha em websites
>> que utilizam https.Uma vez que a ponte segura será feita entre meu squid e
>> o servidor e não entre o navegador do usuário e o servidor.
>>
>> Alguém já fez esse teste?
>>
>> --
>> Atenciosamente,
>> Rodrigo da Silva Cunha
>>
>>
>>
>>
>> --
>> Atenciosamente,
>> Rodrigo da Silva Cunha
>>
>>
>

Re: Fwd: Duvida -- Proxy Transparente protocolo https

[Flávio]

Esse procedimento não quebra alguma norma estabelecida nas RFC´s?



Em 17/07/2016 19:22, lucas castro escreveu:


Na hora de importar na chave no navegador você pode marca a chave para 
confiar apenas para identificar chaves. Nunca fiz sniff para testar 
isso. Também tem a opção de apenas fazer túnel para algumas algumas 
conexões que o recomendo para sites como os de bancos.



Em 16 de jul de 2016 5:09 PM, "Rodrigo Cunha" 
mailto:rodrigo.root...@gmail.com>> escreveu:



-- Mensagem encaminhada --
De: *Rodrigo Cunha* mailto:rodrigo.root...@gmail.com>>
Data: 16 de julho de 2016 00:07
    Assunto: Duvida -- Proxy Transparente protocolo https
Para: portal-aprendendo-li...@googlegroups.com
<mailto:portal-aprendendo-li...@googlegroups.com>


Olá srs, estou com duvidas quanto ao proxy transparente com
atuação sobre o protocolo https.
Tenho uma questão sobre a segurança, porque em meu entendimento
quando há uma conexão segura, além da autenticidade do website ser
"garantida" por uma entidade certificadora também existe a
criptografia no texto enviado.

Minha duvida é, se eu snifar a rede em um website seguro
utilizando o proxy transparente eu não iria obter dados como o
login e senha em websites que utilizam https.Uma vez que a ponte
segura será feita entre meu squid e o servidor e não entre o
navegador do usuário e o servidor.

Alguém já fez esse teste?

-- 
Atenciosamente,

Rodrigo da Silva Cunha




-- 
Atenciosamente,

Rodrigo da Silva Cunha

Re: Fwd: Duvida -- Proxy Transparente protocolo https

[lucas castro]

Na hora de importar na chave no navegador você pode marca a chave para
confiar apenas para identificar chaves. Nunca fiz sniff para testar isso.
Também tem a opção de apenas fazer túnel para algumas algumas conexões que
o recomendo para sites como os de bancos.

Em 16 de jul de 2016 5:09 PM, "Rodrigo Cunha" 
escreveu:

>
> -- Mensagem encaminhada --
> De: Rodrigo Cunha 
> Data: 16 de julho de 2016 00:07
> Assunto: Duvida -- Proxy Transparente protocolo https
> Para: portal-aprendendo-li...@googlegroups.com
>
>
> Olá srs, estou com duvidas quanto ao proxy transparente com atuação sobre
> o protocolo https.
> Tenho uma questão sobre a segurança, porque em meu entendimento quando há
> uma conexão segura, além da autenticidade do website ser "garantida" por
> uma entidade certificadora também existe a criptografia no texto enviado.
>
> Minha duvida é, se eu snifar a rede em um website seguro utilizando o
> proxy transparente eu não iria obter dados como o login e senha em websites
> que utilizam https.Uma vez que a ponte segura será feita entre meu squid e
> o servidor e não entre o navegador do usuário e o servidor.
>
> Alguém já fez esse teste?
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>
>
>
> --
> Atenciosamente,
> Rodrigo da Silva Cunha
>
>

Fwd: Duvida -- Proxy Transparente protocolo https

[Rodrigo Cunha]

-- Mensagem encaminhada --
De: Rodrigo Cunha 
Data: 16 de julho de 2016 00:07
Assunto: Duvida -- Proxy Transparente protocolo https
Para: portal-aprendendo-li...@googlegroups.com


Olá srs, estou com duvidas quanto ao proxy transparente com atuação sobre o
protocolo https.
Tenho uma questão sobre a segurança, porque em meu entendimento quando há
uma conexão segura, além da autenticidade do website ser "garantida" por
uma entidade certificadora também existe a criptografia no texto enviado.

Minha duvida é, se eu snifar a rede em um website seguro utilizando o proxy
transparente eu não iria obter dados como o login e senha em websites que
utilizam https.Uma vez que a ponte segura será feita entre meu squid e o
servidor e não entre o navegador do usuário e o servidor.

Alguém já fez esse teste?

-- 
Atenciosamente,
Rodrigo da Silva Cunha




-- 
Atenciosamente,
Rodrigo da Silva Cunha

Re: Proxy transparente similar a um acesso iptables, existe?

[Mauricio S. T. Neto]

Hamacker
Quase chorei com sua narrativa :-)

Como também sou um profissional de infra (desempregado no momento) 
entendo muito bem sua situação.


Você falou do wingate, lembro disso, mas hoje não uso nem em casa. Os 
tempos são outros. Tenho firewall (iptables) na minha rede domestica.


E pela sua simples narrativa me pareceu que sua empresa considera a 
informática um "mal necessário". Eu costumo dizer que nos que atuamos em 
infra somos como o bombeiro hidráulico. Não lembram que o bombeiro 
existe e que os canos precisam de manutenção, mas quando o vaso 
sanitário falha o caos esta formado e toque a ligar em desespero para o 
bombeiro :-)


Mas acho que você não tem muito como fugir. O que eu tenho por habito 
fazer é uma boa documentação nos moldes wiki com o detalhamento de tudo 
que efetuei e links para copia dos arquivos de configuração. sei que o 
"start" é complicado mas posso lhe assegurar que vale a pena. Desta 
forma posso tirar ferias ou sair do emprego sem sentir-me culpado.


Com relação a analise de problemas você usa algum monitoramento 
proativo? Tipo Nagios, Zabbix ou coisa parecida? Essas ferramentas 
apesar do esforço necessário para instalação e deixa-las "azeitadas" são 
de grande auxilio na manutenção geral da infra.


E bem vindo a realidade da infraestrutura atual. Acredito ate que isso 
daria um tópico interessante para discussões. As muitas variáveis e 
políticas que hoje temos que acomodar nas soluções técnicas.


Abraço.

Em 16-08-2013 13:52, hamacker escreveu:
Não é apenas performance, a performance é satisfatória, apenas não é 
mais rápido do que se não houvesse proxy.


Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras 
de iptables, regras do squid e além disso, lidar com regras de acesso 
com os famigerados serviços do governo.
Por exemplo, o joaquim do RH tem regra de iptables para navegar 
transparente para certos lugares (sites/ip do governo), mas seu 
navegador está ajustado para autoconfiguração via rede (wpad), então o 
wpad tem regras para determinar se o joaquim vai usar proxy ou não, 
outros na rede tem situações similares.


Quando um acesso na internet falha para um programa ou uma pessoa, lá 
vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... 
eu fiz o melhor que pude criando menus orientados que automatizam 
muitas tarefas, mas estou quase escrevendo um sistema operacional com 
tantas variáveis em scripts. As vezes um sistema do governo 
simplesmente falha o acesso, daí vai eu até o programa do usuário, 
usar um netstat e observar onde o programa quer chegar e lá vai mexer 
nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é 
direto). As configurações de meu squid é praticamente um monte de 
'include' com arquivos picados para lidar com varias situações, já 
aconteceu por exemplo, alguma atualização no linux quebrar a 
autenticação no AD, dai por meio de menus, troco a parte de 
autenticação pelo AD por nenhuma autenticação e a rede fica liberada 
para navegar sem a autenticação.


Até tenho menus com orientações que automatiza várias situações, mas 
vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima 
pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter 
uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso 
nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que 
uns 10 anos atrás (ou mais), na época da linha discada, tinha um 
programa chamado wingate, liberou o usuário/maquina, pronto, onde ele 
fosse tava liberado nas portas que determinei que estivessem abertas, 
se eu não me engano era um proxy baseado em sockets. Tinha apenas que 
instalar um client, era tão simples!


Tentei convencer a empresa a comprar um appliance que fizesse tudo 
isso, mas devido ao custo mensal, disseram 'não'.
Estou planejamento mudar o que temos, daí o motivo de minha pergunta 
inicial, tornar as coisas mais simples.



Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto > escreveu:


Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas
vamos lá.
Claro que cada vez que você adiciona uma camada de software existe
uma queda de performance mas pelo que sei o Squid é capaz de dar
conta do recado com centenas (ou milhares) de conexões
simultâneas. Será que não existe algum problema com sua
configuração ou hardware?

É conhecimento corrente que existe uma relação de numero de
conexões (usuários)  e necessidade de memória para que o squid
possa trabalhar de forma eficiente. Outra questão é o disco que
deve ter baixa latência, ou seja se este disco é compartilhado com
um banco de dados a possibilidade é ser o "vilão" é grande.

Aqui nesta lista já faz algum tempo tivemos um amigo usando o
Squid para muitos usuários e enfrentando problema de performance,
mas ele conseguiu solucionar a questão seguindo as diversas dicas
aqui discutidas. Lembro

Re: Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Não é apenas performance, a performance é satisfatória, apenas não é mais
rápido do que se não houvesse proxy.

Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de
iptables, regras do squid e além disso, lidar com regras de acesso com os
famigerados serviços do governo.
Por exemplo, o joaquim do RH tem regra de iptables para navegar
transparente para certos lugares (sites/ip do governo), mas seu navegador
está ajustado para autoconfiguração via rede (wpad), então o wpad tem
regras para determinar se o joaquim vai usar proxy ou não, outros na rede
tem situações similares.

Quando um acesso na internet falha para um programa ou uma pessoa, lá vai
eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o
melhor que pude criando menus orientados que automatizam muitas tarefas,
mas estou quase escrevendo um sistema operacional com tantas variáveis em
scripts. As vezes um sistema do governo simplesmente falha o acesso, daí
vai eu até o programa do usuário, usar um netstat e observar onde o
programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e
squid (dizer que tal site/ip é direto). As configurações de meu squid é
praticamente um monte de 'include' com arquivos picados para lidar com
varias situações, já aconteceu por exemplo, alguma atualização no linux
quebrar a autenticação no AD, dai por meio de menus, troco a parte de
autenticação pelo AD por nenhuma autenticação e a rede fica liberada para
navegar sem a autenticação.

Até tenho menus com orientações que automatiza várias situações, mas vou
lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa
entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de
configurações e oras mexer aqui e oras mexer acolá, isso nem acontece
sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás
(ou mais), na época da linha discada, tinha um programa chamado wingate,
liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas
que determinei que estivessem abertas, se eu não me engano era um proxy
baseado em sockets. Tinha apenas que instalar um client, era tão simples!

Tentei convencer a empresa a comprar um appliance que fizesse tudo isso,
mas devido ao custo mensal, disseram 'não'.
Estou planejamento mudar o que temos, daí o motivo de minha pergunta
inicial, tornar as coisas mais simples.


Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto escreveu:

>  Hamacker boa noite.
> Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
> Claro que cada vez que você adiciona uma camada de software existe uma
> queda de performance mas pelo que sei o Squid é capaz de dar conta do
> recado com centenas (ou milhares) de conexões simultâneas. Será que não
> existe algum problema com sua configuração ou hardware?
>
> É conhecimento corrente que existe uma relação de numero de conexões
> (usuários)  e necessidade de memória para que o squid possa trabalhar de
> forma eficiente. Outra questão é o disco que deve ter baixa latência, ou
> seja se este disco é compartilhado com um banco de dados a possibilidade é
> ser o "vilão" é grande.
>
> Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para
> muitos usuários e enfrentando problema de performance, mas ele conseguiu
> solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro ate
> que a toca de mensagens atingiu um nível técnico muito bom.
>
> Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar a
> causa da sua queda significativa de performance efetuar algumas avaliações
> na sua configuração buscando tips & tricks (essa lista :-)) para discutir
> possíveis soluções.
>
> Abraço.
>
>
>
> Em 15-08-2013 14:06, hamacker escreveu:
>
>Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
> performance usando proxy squid e sem proxy squid (apenas iptables), a
> diferença de performance é muito maior usando apenas iptables. O problema
> com iptables é que não há autenticação e nem logs para saber como está
> sendo usado este acesso.
>
>  Eu acho que não, mas não custa perguntar:
>
>  Existe algo que permita o acesso transparente a internet, semelhante ao
> iptables+gateway, mas que contenha logs de acesso e autenticação?
>
>  O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que
> ajustar regras iptables+regras squid por causa de aplicações como
> caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é
> claro na queda de performance que isso dá.
>
>  Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>
>  []´s a todos.
>
>
>
> --
> Mauricio S.T. Neto
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Mauricio S. T. Neto]

Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
Claro que cada vez que você adiciona uma camada de software existe uma 
queda de performance mas pelo que sei o Squid é capaz de dar conta do 
recado com centenas (ou milhares) de conexões simultâneas. Será que não 
existe algum problema com sua configuração ou hardware?


É conhecimento corrente que existe uma relação de numero de conexões 
(usuários)  e necessidade de memória para que o squid possa trabalhar de 
forma eficiente. Outra questão é o disco que deve ter baixa latência, ou 
seja se este disco é compartilhado com um banco de dados a possibilidade 
é ser o "vilão" é grande.


Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para 
muitos usuários e enfrentando problema de performance, mas ele conseguiu 
solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro 
ate que a toca de mensagens atingiu um nível técnico muito bom.


Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar 
a causa da sua queda significativa de performance efetuar algumas 
avaliações na sua configuração buscando tips & tricks (essa lista :-)) 
para discutir possíveis soluções.


Abraço.


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br , receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.




--
Mauricio S.T. Neto

Re: Proxy transparente similar a um acesso iptables, existe?

[Julio]

Cara pra ler os logs e aplicar restrições você pode usar : o zabbix , 
tem o recurso de ler logs com gatilhos chamados triggers , ou os 
monitores de segurança OSSEC ou o snortinline  . o ossec você pode criar 
os seus filtros de acordo com a necessidade


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br , receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.

Re: Proxy transparente similar a um acesso iptables, existe?

[Fabiano Pires]

Já procurou ver alguma solução tipo CaptivePortal, tipo o NoCatAuth? Se bem
me lembro, faz autenticação via HTTP e depois libera acesso via regras de
FW. A parte de autenticação deve ter algum log.

Fabiano Pires
http://pragasdigitais.blogspot.com/


Em 15 de agosto de 2013 16:58, hamacker  escreveu:

> Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
> acesso.
>
>
> Em 15 de agosto de 2013 15:42, Gustavo  escreveu:
>
>> Hamacker,
>>
>>
>> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>>
>> Gustavo
>>
>>
>>
>>
>>
>> Em 2013-08-15 14:06, hamacker escreveu:
>>
>>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>>> diferença de performance é muito maior usando apenas iptables. O
>>> problema com iptables é que não há autenticação e nem logs para saber
>>> como está sendo usado este acesso.
>>>
>>> Eu acho que não, mas não custa perguntar:
>>>
>>> Existe algo que permita o acesso transparente a internet, semelhante
>>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>>
>>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>>> que ajustar regras iptables+regras squid por causa de aplicações como
>>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>>
>>> além é claro na queda de performance que isso dá.
>>>
>>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>>
>>> []´s a todos.
>>>
>>>
>>>
>>> Links:
>>> --
>>> [1] http://caixa.gov.br
>>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-**
>> requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
>> 6...@logicus.com.br
>>
>>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
acesso.


Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Tobias Sette]

O iptables nao trabalha na mesma camada de rede que o squid, nao vai rolar
logs de sites acessados ou autenticação

Creio que a suas melhores alternativas sejam rever as regras de firewall e
squid OU procurar um outro software para proxy, tipo o tinyproxy

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Gustavo]

Hamacker,

a flag --log-prefix não permite trabalhar com logs? /var/log/messages?

Gustavo





Em 2013-08-15 14:06, hamacker escreveu:

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O
problema com iptables é que não há autenticação e nem logs para saber
como está sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante
ao iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
que ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
além é claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
proxy, sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.



Links:
--
[1] http://caixa.gov.br



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br

Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O problema
com iptables é que não há autenticação e nem logs para saber como está
sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante ao
iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que
ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é
claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy,
sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.

Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

[hamacker]

Me guiei por este tutorial :
http://174.123.53.162/artigo/Integrando-autenticacao-do-Squid-ao-Active-Directory/

voce precisa de kerberos, winbind, samba e squid funcionando em conjunto.
O principal problema chama-se DNS, os nomes de hosts precisam ser
encontrados entre si.
Tive uns tropeços no artigo, mas dá para se virar.

O problema de eu voltar a usar o wpad (mesmo usando a autoconfiguracao
que há nos navegadores) é que vou precisar montar webserver, e
sinceramente não estava a fim.

O resultado final do squid com ntlm é muito bom.
Aqueles que estao usando windows quando navegam nenhum popup de
autenticacao é mostrado, no entanto aparece nos logs os nomes deles.
Aqueles que não estão no dominio ou o navegador não é compativel com
ntlm (ie e firefox são) recebem uma janela de popup normal de
autenticação.

Pesquisando um pouco mais no Google, noto que não sou o único com este problema.
Assim tenho que fazer a escolha de Sofia :
- Navegagar por proxy transparente (que fizem ser mais rápido, mas nunca ví)
- Autenticacao por NTLM, onde os usuários (maioria windows) não
precisam bater senha.

Triste, não ?

[]'s

Em 13 de maio de 2010 14:45, Allison Vollmann
 escreveu:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
>
> Em 13/5/2010 14:22, hamacker escreveu:
>> Ref : Alguem ai conseguiu usar squid3+proxy
>> transparente+squid3+autenticacao por ntlm ?
>> Olá pessoal,
>>
>> Estou instalando um servidor, fiz um script com iptables onde alem de
>> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
>> transparente).
>> Tambem configurei o squid3 de acordo com a instrucao :
>> http_port 192.168.1.24:3128 transparent
>>
>> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
>> não precisam de popup de autenticacao.
>> Mas ninguem navega !
>> Se eu remover "transparent" da instrucao no squid3.conf :
>> http_port 192.168.1.24:3128 ***transparent***
>>
>> Daí tudo funciona numa boa.
>>
>> Olhando os logs eu consigo isso :
>>
>> $ tail -f /var/log/squid3/cache.log
>> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>> (...)
>> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
>> applicable on transparently intercepted requests.
>>
>> Será mesmo que proxy transparente com autenticacao NTLM realmente não
>> podem funcionar juntos ?
>>
>>
>
> Olá,
>
> Será que o caso é do NTLM mesmo? Com essas configurações se você
> tentar autenticar no proxy manualmente ele navega?
>
> Pelas mensagens de log ele não aceita autenticação na conexão em proxy
> transparente, eu recomendaria configurar um http_port separado para o
> proxy transparente e fazer os redirecionamentos pelo firewall.
>
> Outra coisa, as estações que estão acessando por NTLM estão com as
> configurações de proxy ativas? ele pode estar passando as informações
> de logon para o proxy transparente, o que poderia ser o problema
> também, neste caso seria interessante utilizar WPAD para setar as
> configurações automaticamente e ativar essa opção no navegador.
>
> Só uma dúvida, nunca usei NTLM e pelo que li é complicado pois não
> existem muitas aplicações que suportam, você conseguiu adaptar isso a
> sua estrutura (algo que seja diferente de IE/Exchange)? Pretendo
> futuramente atualizar a estrutura para squid3 também e colocar NTLM/WPAD
>
> A[]'s
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.4.9 (MingW32)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iEYEARECAAYFAkvsOq0ACgkQ7OAY7mv8BhlRagCgtdPqjoQqFZ0kzw3BLWb12Os4
> zdEAoIljj9dqSMOtHe0SbsUAEvaT1nCn
> =Xrd8
> -END PGP SIGNATURE-
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/4bec3aae.3050...@yahoo.com.br
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/aanlktinto65sq0rdwudphg-yjc9vjcvvdr9ded594...@mail.gmail.com

Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

[Allison Vollmann]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
 
Em 13/5/2010 14:22, hamacker escreveu:
> Ref : Alguem ai conseguiu usar squid3+proxy
> transparente+squid3+autenticacao por ntlm ?
> Olá pessoal,
>
> Estou instalando um servidor, fiz um script com iptables onde alem de
> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
> transparente).
> Tambem configurei o squid3 de acordo com a instrucao :
> http_port 192.168.1.24:3128 transparent
>
> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
> não precisam de popup de autenticacao.
> Mas ninguem navega !
> Se eu remover "transparent" da instrucao no squid3.conf :
> http_port 192.168.1.24:3128 ***transparent***
>
> Daí tudo funciona numa boa.
>
> Olhando os logs eu consigo isso :
>
> $ tail -f /var/log/squid3/cache.log
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> (...)
> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
>
> Será mesmo que proxy transparente com autenticacao NTLM realmente não
> podem funcionar juntos ?
>
>

Olá,

Será que o caso é do NTLM mesmo? Com essas configurações se você
tentar autenticar no proxy manualmente ele navega?

Pelas mensagens de log ele não aceita autenticação na conexão em proxy
transparente, eu recomendaria configurar um http_port separado para o
proxy transparente e fazer os redirecionamentos pelo firewall.

Outra coisa, as estações que estão acessando por NTLM estão com as
configurações de proxy ativas? ele pode estar passando as informações
de logon para o proxy transparente, o que poderia ser o problema
também, neste caso seria interessante utilizar WPAD para setar as
configurações automaticamente e ativar essa opção no navegador.

Só uma dúvida, nunca usei NTLM e pelo que li é complicado pois não
existem muitas aplicações que suportam, você conseguiu adaptar isso a
sua estrutura (algo que seja diferente de IE/Exchange)? Pretendo
futuramente atualizar a estrutura para squid3 também e colocar NTLM/WPAD

A[]'s
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
 
iEYEARECAAYFAkvsOq0ACgkQ7OAY7mv8BhlRagCgtdPqjoQqFZ0kzw3BLWb12Os4
zdEAoIljj9dqSMOtHe0SbsUAEvaT1nCn
=Xrd8
-END PGP SIGNATURE-



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bec3aae.3050...@yahoo.com.br

Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

[Allan Carvalho]

Hamacker.

Não sei no Squid 3, mas o Squid 2 não aceita autenticação + proxy
transparente por razões de incompatibilidade de protocolo, no meu caso
tive que criar um wpad e setar nos browsers para auto-detectar as
configurações, tenho o mesmo servidor squid provendo o serviço pra
duas redes, uma com autenticação e outra sem autenticação.

Atenciosamente,
Allan Carvalho

Em 13 de maio de 2010 14:22, hamacker  escreveu:
> Ref : Alguem ai conseguiu usar squid3+proxy
> transparente+squid3+autenticacao por ntlm ?
> Olá pessoal,
>
> Estou instalando um servidor, fiz um script com iptables onde alem de
> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
> transparente).
> Tambem configurei o squid3 de acordo com a instrucao :
> http_port 192.168.1.24:3128 transparent
>
> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
> não precisam de popup de autenticacao.
> Mas ninguem navega !
> Se eu remover "transparent" da instrucao no squid3.conf :
> http_port 192.168.1.24:3128 ***transparent***
>
> Daí tudo funciona numa boa.
>
> Olhando os logs eu consigo isso :
>
> $ tail -f /var/log/squid3/cache.log
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> (...)
> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
>
> Será mesmo que proxy transparente com autenticacao NTLM realmente não
> podem funcionar juntos ?
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/aanlktikieaqjgiaklfy6cxt3l6p_aii2uloudl9ox...@mail.gmail.com
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/aanlktilegvo65nzodffszksrowzg0wjh9_rlcuxwt...@mail.gmail.com

Re: Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

[Leandro Moreira]

Hamacker,
A um tempo atras na lista o pessoal tava discutindo procedimetos de
instancia no squid, acho que isso é o voce precisa,, uma instancia
transparente  e outra autenticada.

Att.

Leandro Moreira
Em 13 de maio de 2010 14:22, hamacker  escreveu:

> Ref : Alguem ai conseguiu usar squid3+proxy
> transparente+squid3+autenticacao por ntlm ?
> Olá pessoal,
>
> Estou instalando um servidor, fiz um script com iptables onde alem de
> algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
> transparente).
> Tambem configurei o squid3 de acordo com a instrucao :
> http_port 192.168.1.24:3128 transparent
>
> E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
> não precisam de popup de autenticacao.
> Mas ninguem navega !
> Se eu remover "transparent" da instrucao no squid3.conf :
> http_port 192.168.1.24:3128 ***transparent***
>
> Daí tudo funciona numa boa.
>
> Olhando os logs eu consigo isso :
>
> $ tail -f /var/log/squid3/cache.log
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> 2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
> (...)
> 2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
> applicable on transparently intercepted requests.
>
> Será mesmo que proxy transparente com autenticacao NTLM realmente não
> podem funcionar juntos ?
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/aanlktikieaqjgiaklfy6cxt3l6p_aii2uloudl9ox...@mail.gmail.com
>
>


-- 
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lean...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713

Alguem ai conseguiu usar squid3+proxy transparente+squid3+autenticacao por ntlm ?

[hamacker]

Ref : Alguem ai conseguiu usar squid3+proxy
transparente+squid3+autenticacao por ntlm ?
Olá pessoal,

Estou instalando um servidor, fiz um script com iptables onde alem de
algumas regras tambem redireciona a porta 80 para 3128 do squid (proxy
transparente).
Tambem configurei o squid3 de acordo com a instrucao :
http_port 192.168.1.24:3128 transparent

E por fim, autenticacao ntlm onde estacoes logadas no dominio windows
não precisam de popup de autenticacao.
Mas ninguem navega !
Se eu remover "transparent" da instrucao no squid3.conf :
http_port 192.168.1.24:3128 ***transparent***

Daí tudo funciona numa boa.

Olhando os logs eu consigo isso :

$ tail -f /var/log/squid3/cache.log
2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
applicable on transparently intercepted requests.
2010/05/13 14:13:52| ACHChecklist::authenticated: authentication not
applicable on transparently intercepted requests.
(...)
2010/05/13 14:14:11| ACHChecklist::authenticated: authentication not
applicable on transparently intercepted requests.

Será mesmo que proxy transparente com autenticacao NTLM realmente não
podem funcionar juntos ?


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/aanlktikieaqjgiaklfy6cxt3l6p_aii2uloudl9ox...@mail.gmail.com

Re: Squid3 Proxy Transparente + FTP

[Adauto Serpa]

Henry e Rafael,

Valeu mesmo pela ótima explicação. Já estava començando a desconfiar,
fiz algumas pesquisas e não vi nada sobre isso. Como minha experiência
é pouca com firewalls não sabia nada sobre o assunto.

Bom, Minha solução então para meu caso foi utilizar as regras de FORWARD
para todo serviço de internet que não utilize a porta 80 (HTTP).

iptables -t filter -A FORWARD -p tcp -s ip_da_minha_estacao --dport
porta_do_servico -j ACCEPT

Exemplo de minha configuração para uma estação de trabalho(workstation).

iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 20:21 -j ACCEPT #Liberando FTP
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 25 -j ACCEPT # Liberando SMTP
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 110 -j ACCEPT # Liberando POP3
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 443 -j ACCEPT # Liberando HTTPS

Assim tenho o controle por estação de trabalho e o serviço a ser utilizado.

Me corrijam se eu estiver errado com a minha solução !

Outra coisa o protocolo FTP é muito chato e fresco para esse caso eu
utilizo as seguintes regras no
meu script de firewall.

# Liberando FTP
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT # Minha inclusão
iptables -A INPUT -p tcp --sport 21 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Fim FTP


# Liberando FTP pra o IP 192.168.0.29
iptables -A FORWARD -i $iflocal -p tcp -s 192.168.0.29 -m multiport
--dports 20,21 -j ACCEPT # FTP


Ele server para detectar se a conexão foi estabelicida realmente pelo
seu computador
e habilita o tráfego nas portas altas e aletórias que o FTP realiza. É
mais ou menos
isso ;-)

Estou com problemas de utilizar Squid + Iptables + HTB, mas deixa isso pra outro
tópico :-)


obrigado,

-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: adautose...@jabber.org
Email:  adautose...@gmail.com
MSN:   junio...@hotmail.com

2009/1/22 henry :
> On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote:
>> Antônio,
>>
>>
>> A minha idéia seria fazer o FTP passar pelo proxy transparent.
>> Também gostaria de fazer isso com as conexões https(443).
>>
>> Se eu apenas encaminhas conexão não estarei fazendo cache do
>> FTP nem das Páginas Https, apenas conexões na porta 80 Http
>>
>> Desde já agradeço,
>>
>
> O proxy transparente é bem claro... so-e-tão-somente na  porta 80, e so e
> somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim.
> Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a
> cerca de 3 anos atras. )
>
> O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos
> especificos para ftp na arvore do kernel do linux, por ex.
>
> Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata
> o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no
> modo transparente ou no modo "manual".
> O modo manual apenas usa o metodo connect para fazer a conexão ssl do
> navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu
> firewall, so que usando a nat ao invés de informar o ip do proxy no
> navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc
> fará log disso - para saber se por ex, os seus usuários estão usando
> ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e
> outros comportamentos nocivos para a sua rede.
> E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall,
> sendo que somente precisaria manter a do squid. E ler dois logs também.
>
> Sim, usar proxy transparente é facinho facinho, mas dá mto mais  trabalho para
> o administrador se-e-somente-se ele quiser manter a rede segura e livre de
> pragas.
>
> com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar.
>
> Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu
> caso. E pela experiencia. ;)
>
> [ ]s, e divirta-se.
> Henry
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Squid3 Proxy Transparente + FTP

[Rafael]

Antonio como o Henry disse o proxy transparente não funciona com os
protocolos https ftp e ssl apenas com o http

Isso pode acontecer se seu firewall estiver bloqueando alguma porta
pois o ftp trabalha da seguinte forma ele recebe a requisição na porta
21 mas responde em uma porta aleatória ou seja no seu computador vc
digita ftp.meuftp.com.br envia a requisição para a porta 21 do
servidor que responde pelo endereço ftp.meuftp.com.br este recebe a
requisição e a responde em uma porta aleatória é ai que entra o
bloqueio de portas do firewall como é uma porta aleatória esta pode
estar bloqueada em seu firewall se possível poste  seu script de
firewall se vc estiver usando algum e exclua o redirecionamento da
porta 21 que vc fez:

iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j
REDIRECT --to-port 3128


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Squid3 Proxy Transparente + FTP

[henry]

On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote:
> Antônio,
>
>
> A minha idéia seria fazer o FTP passar pelo proxy transparent.
> Também gostaria de fazer isso com as conexões https(443).
>
> Se eu apenas encaminhas conexão não estarei fazendo cache do
> FTP nem das Páginas Https, apenas conexões na porta 80 Http
>
> Desde já agradeço,
>

O proxy transparente é bem claro... so-e-tão-somente na  porta 80, e so e 
somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim. 
Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a 
cerca de 3 anos atras. ) 

O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos 
especificos para ftp na arvore do kernel do linux, por ex. 

Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata 
o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no 
modo transparente ou no modo "manual". 
O modo manual apenas usa o metodo connect para fazer a conexão ssl do 
navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu 
firewall, so que usando a nat ao invés de informar o ip do proxy no 
navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc 
fará log disso - para saber se por ex, os seus usuários estão usando 
ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e 
outros comportamentos nocivos para a sua rede. 
E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall, 
sendo que somente precisaria manter a do squid. E ler dois logs também.

Sim, usar proxy transparente é facinho facinho, mas dá mto mais  trabalho para 
o administrador se-e-somente-se ele quiser manter a rede segura e livre de 
pragas.  

com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar. 

Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu 
caso. E pela experiencia. ;)

[ ]s, e divirta-se.
Henry


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Squid3 Proxy Transparente + FTP

[Adauto Serpa]

Antônio,


A minha idéia seria fazer o FTP passar pelo proxy transparent.
Também gostaria de fazer isso com as conexões https(443).

Se eu apenas encaminhas conexão não estarei fazendo cache do
FTP nem das Páginas Https, apenas conexões na porta 80 Http

Desde já agradeço,


-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: adautose...@jabber.org
Email:  adautose...@gmail.com
MSN:   junio...@hotmail.com





2009/1/22 Antonio Sergio de Moura :
> como está seu FORWARD para a rede interna ?
>
> uma opção seria ...
> iptables -I FORWARD -i #iflocal -p tcp --dport 21 -j ACCEPT
>
> além do ESTABLISHED ...
>
> vc pode testar se está passando pelo firewall
>
>
> no micro cliente:
>
> telnet ipdoservidorftp 21
>
> se conectar, nao é problema de porta.
>
> 2009/1/22 Adauto Serpa 
>>
>> Bom dia Pessoal,
>>
>> Não estou conseguindo acessar nenhum endereço FTP se utilizo proxy
>> transparente.
>> Quando defino a porta do squid3 3128 eu consigo acessar. Presumi que
>> redirecionando
>> a porta 21 para 3128 iria funcionar porém não funcionou.
>>
>> iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j
>> REDIRECT --to-port 3128
>>
>> Alguém tem alguma idéia ?
>>
>>
>> Obrigado,
>>
>> --
>> Adauto Serpa
>> Tecnólogo em Informática
>> Jabber: adautose...@jabber.org
>> Email:  adautose...@gmail.com
>> MSN:   junio...@hotmail.com
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>>
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Squid3 Proxy Transparente + FTP

[Adauto Serpa]

Bom dia Pessoal,

Não estou conseguindo acessar nenhum endereço FTP se utilizo proxy transparente.
Quando defino a porta do squid3 3128 eu consigo acessar. Presumi que
redirecionando
a porta 21 para 3128 iria funcionar porém não funcionou.

iptables -t nat -A PREROUTING -i $iflocal -p tcp --dport 21 -j
REDIRECT --to-port 3128

Alguém tem alguma idéia ?


Obrigado,

-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: adautose...@jabber.org
Email:  adautose...@gmail.com
MSN:   junio...@hotmail.com


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Re: Proxy + Proxy Transparente

[Miguel Da Silva - Centro de Matemática]

gunix escreveu:

To com um problema na rede.
É possivel colocar proxy tranparente + um proxy comum rodando no mesmo 
server na mesma rede?

Ex:

Se o cara nao preencher o proxy do browser o servidor entende 
tranparente e assim bloqueia todas os sites. Se ele usar proxy comum ai 
sim ele vai rodar.

Quero liberar os sites nao por maquina, mas por autenticacao de usuário.

So que pesquisei na net e nao é possivel autenticar com proxy 
tranparente. O problema de ser ter proxy comum é que se o pessoal da 
tecnica nao preencher o proxy do browser, o navegador vai funcionar sem 
progeçAo do nosso proxy.


É possiel fazer o que estou querendo.

Se nao for informado o proxy, e firewall entende como tranparente, se 
for preenchido ele pede autenticação do usuário.


Agradeço
Att
Gustavo


Esse proxy transparente está sobrando na sua infra-estrutura. Se você 
quer liberar o acesso somente para quem tiver o proxy configurado, então 
o que você precisa fazer é bloquear a saída à Internet para todos os 
PC's, menos o proxy.


Além do mais seria interessante saber se na sua rede há NAT ou outro 
mecanismo para compartilhar a conexão à Internet.


Até.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy + Proxy Transparente

[Leandro Moreira]

Caro,
Tive o mesmo problema a um tempo atraz, o que consegui descobri é que há
a possibilidade de se criar instancias do servidor proxy, fiz alguns
testes( em virtude da falta de tempo foram poucos) e na obtive sucesso, mas
há na net documnetação de como fazer inclusive no underlinux.com.br.

http://under-linux.org/wiki/index.php/Tutoriais/Proxy/proxy-cache-squid

Att.


Leandro 

On Wed, 14 May 2008 16:16:18 -0300, gunix <[EMAIL PROTECTED]> wrote:
> To com um problema na rede.
> É possivel colocar proxy tranparente + um proxy comum rodando no mesmo
> server na mesma rede?
> Ex:
> 
> Se o cara nao preencher o proxy do browser o servidor entende tranparente
> e
> assim bloqueia todas os sites. Se ele usar proxy comum ai sim ele vai
> rodar..
> Quero liberar os sites nao por maquina, mas por autenticacao de usuário.
> 
> So que pesquisei na net e nao é possivel autenticar com proxy
> tranparente.. O
> problema de ser ter proxy comum é que se o pessoal da tecnica nao
> preencher
> o proxy do browser, o navegador vai funcionar sem progeçAo do nosso
> proxy..
> 
> É possiel fazer o que estou querendo.
> 
> Se nao for informado o proxy, e firewall entende como tranparente, se for
> preenchido ele pede autenticação do usuário.
> 
> Agradeço
> Att
> Gustavo
> 
> 
> !DSPAM:1,482b3ba7114078542110171!
-- 
Leandro Moreira
Linux Networks
e-mail: [EMAIL PROTECTED]
Tel.: + 55(32) 9197-7909


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy + Proxy Transparente

[Juliana Guisolberto]

Gustavo,

Não é bem proxy transparente que você tem que configurar.

Se eu entendi o que você quis dizer, você tem um servidor de proxy e você
quer configurar autenticação nele. Realmente no proxy transparente não
funciona a autenticação.

Para que você consiga fazer com que a Internet funcione somente quando o
proxy estiver setado no Internet Explorer, você vai ter que retirar a regra
de NAT que tem no seu firewall, pois é ela que está permitindo esse acesso
sem o proxy estar setado. Assim, as pessoas só vão conseguir acessar com o
proxy configurado e você poderá configurar a autenticação.

Se você tiver alguma dúvida, me envie um email com seu msn que eu te ajudo.

Até mais,
Juliana

Em 14/05/08, gunix <[EMAIL PROTECTED]> escreveu:
>
> To com um problema na rede.
> É possivel colocar proxy tranparente + um proxy comum rodando no mesmo
> server na mesma rede?
> Ex:
>
> Se o cara nao preencher o proxy do browser o servidor entende tranparente e
> assim bloqueia todas os sites. Se ele usar proxy comum ai sim ele vai rodar.
> Quero liberar os sites nao por maquina, mas por autenticacao de usuário.
>
> So que pesquisei na net e nao é possivel autenticar com proxy tranparente.
> O problema de ser ter proxy comum é que se o pessoal da tecnica nao
> preencher o proxy do browser, o navegador vai funcionar sem progeçAo do
> nosso proxy.
>
> É possiel fazer o que estou querendo.
>
> Se nao for informado o proxy, e firewall entende como tranparente, se for
> preenchido ele pede autenticação do usuário.
>
> Agradeço
> Att
> Gustavo
>

Proxy + Proxy Transparente

[gunix]

To com um problema na rede.
É possivel colocar proxy tranparente + um proxy comum rodando no mesmo
server na mesma rede?
Ex:

Se o cara nao preencher o proxy do browser o servidor entende tranparente e
assim bloqueia todas os sites. Se ele usar proxy comum ai sim ele vai rodar.
Quero liberar os sites nao por maquina, mas por autenticacao de usuário.

So que pesquisei na net e nao é possivel autenticar com proxy tranparente. O
problema de ser ter proxy comum é que se o pessoal da tecnica nao preencher
o proxy do browser, o navegador vai funcionar sem progeçAo do nosso proxy.

É possiel fazer o que estou querendo.

Se nao for informado o proxy, e firewall entende como tranparente, se for
preenchido ele pede autenticação do usuário.

Agradeço
Att
Gustavo

Re: SQUID x LDAP - Proxy TRansparente

[Francisco Antônio da Silva Souza]

Nenhum tipo de autenticação é possível quando se usa proxy transparente,
pelo menos com o Squid.

Lendas urbanas dizem que é possível combinar as duas coisas, mas nunca vi
realmente nenhum artigo sobre (bom, nunca pesquisei, vale uma pesquisa
isso).

Em 23/11/07, gunix <[EMAIL PROTECTED]> escreveu:
>
> Galera,
>
> a um tempo atraz, pesquisei no google como fazer o SQUID autenticar no
> LDAP, sendo que uso proxy tranparente.
> No entanto na epoca isso não era possivel. Na verdade obtive uma resposta
> na lista que nenhum tipo de autenticação era possivel quando se usava proxy
> tranparente.
>
> Alguem tem noticias sobre se isso seria possivel hoje, ou ainda nao é
> possivel.
>
> Att
> Gustavo
>



-- 
Francisco Souza
E-mail/Google Talk/MSN: [EMAIL PROTECTED]

Res: SQUID x LDAP - Proxy TRansparente

[Claudio Rocha de Jesus]

Até onde sei, ainda não é possível.
 
--
Claudio Rocha de Jesus
Analista de Suporte Tecnico
[EMAIL PROTECTED]
Linux user number 433834
--

- Mensagem original 
De: gunix <[EMAIL PROTECTED]>
Para: Debian User 
Enviadas: Sexta-feira, 23 de Novembro de 2007 16:26:10
Assunto: SQUID x LDAP - Proxy TRansparente

Galera,

a um tempo atraz, pesquisei no google como fazer o SQUID autenticar no LDAP, 
sendo que uso proxy tranparente.
No entanto na epoca isso não era possivel. Na verdade obtive uma resposta na 
lista que nenhum tipo de autenticação era possivel quando se usava proxy 
tranparente.


Alguem tem noticias sobre se isso seria possivel hoje, ou ainda nao é possivel.

Att
Gustavo







  Abra sua conta no Yahoo! Mail, o único sem limite de espaço para 
armazenamento!
http://br.mail.yahoo.com/

SQUID x LDAP - Proxy TRansparente

[gunix]

Galera,

a um tempo atraz, pesquisei no google como fazer o SQUID autenticar no LDAP,
sendo que uso proxy tranparente.
No entanto na epoca isso não era possivel. Na verdade obtive uma resposta na
lista que nenhum tipo de autenticação era possivel quando se usava proxy
tranparente.

Alguem tem noticias sobre se isso seria possivel hoje, ou ainda nao é
possivel.

Att
Gustavo

Re: Proxy Transparente não funciona de je ito nenhum!!

[Edmundo Valle Neto]

jefferson alexandre escreveu:

E só para constar aqui, a solução do problema foi apenas adicionar a regra
de redirecionamento antes da regra de mascaramento da conexão. Ficando
assim:

 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Antes estava sendo feito o contrário e não estava funcionando. Não sei dizer
o porque disso, ou o que uma regra poderia influenciar na outra.. Só sei q
funcionou! =)

Caso alguem tenha uma explicação para isso, por gentileza, explique..



Porque o iptables toma decisões até a  primeira regra que casar com o
pacote que está sendo analisado.  Depois disso, ele simplesmente
ignora o resto da cadeia de regras, porque o pacote já foi tratado.


[ ] 's


O fato de se especificar estas regras em ordens diferentes não faz
diferença nenhuma, elas são colocadas em cadeias diferentes,
simplesmente se você listar as regras do iptables nas duas situações vai
ver que não há diferença nenhuma no resultado/ordem das regras.


Atenciosamente.

Edmundo Valle Neto


(Aparentemente já fazem alguns dias que meus e-mails estão sendo 
ignorados pela lista, segue novamente a última mensagem enviada.)



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Transparente não funciona de jeito nenhum!!

[jefferson alexandre]

> E só para constar aqui, a solução do problema foi apenas adicionar a regra
> de redirecionamento antes da regra de mascaramento da conexão. Ficando
> assim:
>
>  iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
> --to-port 3128
>  iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
> Antes estava sendo feito o contrário e não estava funcionando. Não sei dizer
> o porque disso, ou o que uma regra poderia influenciar na outra.. Só sei q
> funcionou! =)
>
> Caso alguem tenha uma explicação para isso, por gentileza, explique..

Porque o iptables toma decisões até a  primeira regra que casar com o
pacote que está sendo analisado.  Depois disso, ele simplesmente
ignora o resto da cadeia de regras, porque o pacote já foi tratado.


[ ] 's

-- 
Linux User #328969
Linux System Administrator
www.midstorm.org/~jalexandre/blog

Re: Proxy Transparente não funciona de jeito nenhum!!

[Debian User]

Pessoal.. Obrigado pela ajuda..
Já consegui resolver o problema aqui.

Fábio Rabelo,
Acho que voce estava equivocado a respeito da sua resposta. Pois a partir da
versão 2.6 do squid já é possivel fazer o proxy transparente apenas com a
opçao http_port 3128 transparent. Não necessitando daquelas 4 opções usadas
nas versões até a 2.5. E sobre a dica que voce deu sobre primeiramente
testar o squid sem fazer o redirecionamento no Iptables, se voce leu minha
dúvida viu que eu falei: "Acredito que seja algum problema com o firewall,
pois quando especifico o endereço do proxy no browser, tudo funciona como
deve.." Logo, já estava tudo testado. E o squid estava funcionando.


E só para constar aqui, a solução do problema foi apenas adicionar a regra
de redirecionamento antes da regra de mascaramento da conexão. Ficando
assim:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Antes estava sendo feito o contrário e não estava funcionando. Não sei dizer
o porque disso, ou o que uma regra poderia influenciar na outra.. Só sei q
funcionou! =)

Caso alguem tenha uma explicação para isso, por gentileza, explique..


Obrigado!



Em 04/10/07, Fábio Rabelo <[EMAIL PROTECTED]> escreveu:
>
> Desculpe estar comentando meu comentário !!
> Conselho de quem já apanhou à toa do Squid .
> PRIMEIRO faça o Squid funcionar SEM o redirect ( regraas do iptables ),
> pegue uma máquina e configure o navegador para sair por proxy na porta
> 3128, e certifique-se de q está tudo OK com o próprio Squid, depure
> qualquer falha aqui antes de mais nada .
> E somente DEPOIS que vc tiver certesa de q está tudo correto e funcional
> com o Squid passe para fase do iptables .
> Como diz o provérbio Indiano, sabe como devorar um elefante ?
> Simples, comece com a primeira mordida !!! ;- )))
>
> Fábio Rabelo
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact
> [EMAIL PROTECTED]
>
>

Re: Proxy Transparente não funciona de j eito nenhum!!

[Daniel Vieira Dias]

Fábio Rabelo escreveu:

Daniel Vieira Dias escreveu:

Seu squid.conf está configurado de forma errada

# configuração da porta do seviço de proxy e não
#da funcionalidade de transparência:
http_port 3128

# Acrescente as configurações de proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Daniel


Isto depende da versão do Squid !!
SE a versão q ele estiver usando for a 2.6 seus comentáqrios estarão 
corretos .

Veja:
# squid -v
Squid Cache: Version 2.6.STABLE5

Foi nesta informação que me basiei para responder!

Daneil
Mas se a versão q ele estiver usando for 3.X as configurações para 
proxy transparente mudam para uma única linha, ao invés de 4 :


http_port 3128 transparent

Fábio Rabelo




Debian User escreveu:

Primeiramente vou explicar como está minha configuração:

Minha conexão é ADSL em modo bridge, cujo IP do modem é 10.1.1.1 
<http://10.1.1.1>

IPs das placas de rede:
eth0: 10.1.1.3 <http://10.1.1.3>
eth1: 192.168.1.1 <http://192.168.1.1>

A conexão já está compartilhada, ou seja, consigo navegar 
normalmente nas maquinas clientes. O problema está só no proxy 
transparente, pois não funciona de jeito nenhummm.. Já tentei várias 
maneiras. Vou postar maior quantidade de informações que talves 
possa ser util.


# squid -v
Squid Cache: Version 2.6.STABLE5
configure options: '--prefix=/usr' '--exec_prefix=/usr' 
'--bindir=/usr/sbin' '--sbindir=/usr/sbin' 
'--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' 
'--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' 
'--enable-async-io' '--with-pthreads' 
'--enable-storeio=ufs,aufs,coss,diskd,null' 
'--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' 
'--enable-removal-policies=lru,heap' '--enable-snmp' 
'--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' 
'--enable-underscores' '--enable-referer-log' 
'--enable-useragent-log' '--enable-auth=basic,digest,ntlm' 
'--enable-carp' '--with-large-files' 'i386-debian-linux' 
'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 
'target_alias=i386-debian-linux'



squid.conf

http_port 3128 transparent
cache_mem 8 MB
cache_dir ufs /var/spool/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/log/squid/squid.pid
visible_hostname debian
cache_effective_user proxy
cache_effective_group proxy
acl localhost src 127.0.0.1/255.255.255.255 
<http://127.0.0.1/255.255.255.255>

http_access allow localhost
acl REDE_LOCAL src 192.168.1.0/255.255.255.0 
<http://192.168.1.0/255.255.255.0>

acl all src 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0>
http_access allow REDE_LOCAL
http_access deny all
__

Já adicionei a regra no iptables:
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j 
REDIRECT --to-port 3128


E de nada adianta. Não funciona!
A maquina cliente continua a navegar numa boa, mas não passa pelo 
proxy. Pois não gera nada no Log.


Acredito que seja algum problema com o firewall, pois quando 
especifico o endereço do proxy no browser, tudo funciona como deve..


Me ajude..

Obrigado! 









--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Transparente não funciona de j eito nenhum!!

[Fábio Rabelo]

Desculpe estar comentando meu comentário !!
Conselho de quem já apanhou à toa do Squid .
PRIMEIRO faça o Squid funcionar SEM o redirect ( regraas do iptables ), 
pegue uma máquina e configure o navegador para sair por proxy na porta 
3128, e certifique-se de q está tudo OK com o próprio Squid, depure 
qualquer falha aqui antes de mais nada .
E somente DEPOIS que vc tiver certesa de q está tudo correto e funcional 
com o Squid passe para fase do iptables .

Como diz o provérbio Indiano, sabe como devorar um elefante ?
Simples, comece com a primeira mordida !!! ;- )))

Fábio Rabelo


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Transparente não funciona de j eito nenhum!!

[Fábio Rabelo]

Daniel Vieira Dias escreveu:

Seu squid.conf está configurado de forma errada

# configuração da porta do seviço de proxy e não
#da funcionalidade de transparência:
http_port 3128

# Acrescente as configurações de proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Daniel


Isto depende da versão do Squid !!
SE a versão q ele estiver usando for a 2.6 seus comentáqrios estarão 
corretos .
Mas se a versão q ele estiver usando for 3.X as configurações para proxy 
transparente mudam para uma única linha, ao invés de 4 :


http_port 3128 transparent

Fábio Rabelo




Debian User escreveu:

Primeiramente vou explicar como está minha configuração:

Minha conexão é ADSL em modo bridge, cujo IP do modem é 10.1.1.1 
<http://10.1.1.1>

IPs das placas de rede:
eth0: 10.1.1.3 <http://10.1.1.3>
eth1: 192.168.1.1 <http://192.168.1.1>

A conexão já está compartilhada, ou seja, consigo navegar normalmente 
nas maquinas clientes. O problema está só no proxy transparente, pois 
não funciona de jeito nenhummm.. Já tentei várias maneiras. Vou 
postar maior quantidade de informações que talves possa ser util.


# squid -v
Squid Cache: Version 2.6.STABLE5
configure options: '--prefix=/usr' '--exec_prefix=/usr' 
'--bindir=/usr/sbin' '--sbindir=/usr/sbin' 
'--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' 
'--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' 
'--enable-async-io' '--with-pthreads' 
'--enable-storeio=ufs,aufs,coss,diskd,null' 
'--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' 
'--enable-removal-policies=lru,heap' '--enable-snmp' 
'--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' 
'--enable-underscores' '--enable-referer-log' 
'--enable-useragent-log' '--enable-auth=basic,digest,ntlm' 
'--enable-carp' '--with-large-files' 'i386-debian-linux' 
'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 
'target_alias=i386-debian-linux'



squid.conf

http_port 3128 transparent
cache_mem 8 MB
cache_dir ufs /var/spool/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/log/squid/squid.pid
visible_hostname debian
cache_effective_user proxy
cache_effective_group proxy
acl localhost src 127.0.0.1/255.255.255.255 
<http://127.0.0.1/255.255.255.255>

http_access allow localhost
acl REDE_LOCAL src 192.168.1.0/255.255.255.0 
<http://192.168.1.0/255.255.255.0>

acl all src 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0>
http_access allow REDE_LOCAL
http_access deny all
__

Já adicionei a regra no iptables:
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 
--to-port 3128


E de nada adianta. Não funciona!
A maquina cliente continua a navegar numa boa, mas não passa pelo 
proxy. Pois não gera nada no Log.


Acredito que seja algum problema com o firewall, pois quando 
especifico o endereço do proxy no browser, tudo funciona como deve..


Me ajude..

Obrigado! 






--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy Transparente não funciona de j eito nenhum!!

[Daniel Vieira Dias]

Seu squid.conf está configurado de forma errada

# configuração da porta do seviço de proxy e não
#da funcionalidade de transparência:
http_port 3128

# Acrescente as configurações de proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Daniel

Debian User escreveu:

Primeiramente vou explicar como está minha configuração:

Minha conexão é ADSL em modo bridge, cujo IP do modem é 10.1.1.1 
<http://10.1.1.1>

IPs das placas de rede:
eth0: 10.1.1.3 <http://10.1.1.3>
eth1: 192.168.1.1 <http://192.168.1.1>

A conexão já está compartilhada, ou seja, consigo navegar normalmente 
nas maquinas clientes. O problema está só no proxy transparente, pois 
não funciona de jeito nenhummm.. Já tentei várias maneiras. Vou postar 
maior quantidade de informações que talves possa ser util.


# squid -v
Squid Cache: Version 2.6.STABLE5
configure options: '--prefix=/usr' '--exec_prefix=/usr' 
'--bindir=/usr/sbin' '--sbindir=/usr/sbin' 
'--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' 
'--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' 
'--enable-async-io' '--with-pthreads' 
'--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' 
'--enable-arp-acl' '--enable-epoll' 
'--enable-removal-policies=lru,heap' '--enable-snmp' 
'--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' 
'--enable-underscores' '--enable-referer-log' '--enable-useragent-log' 
'--enable-auth=basic,digest,ntlm' '--enable-carp' '--with-large-files' 
'i386-debian-linux' 'build_alias=i386-debian-linux' 
'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux'



squid.conf

http_port 3128 transparent
cache_mem 8 MB
cache_dir ufs /var/spool/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/log/squid/squid.pid
visible_hostname debian
cache_effective_user proxy
cache_effective_group proxy
acl localhost src 127.0.0.1/255.255.255.255 
<http://127.0.0.1/255.255.255.255>

http_access allow localhost
acl REDE_LOCAL src 192.168.1.0/255.255.255.0 
<http://192.168.1.0/255.255.255.0>

acl all src 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0>
http_access allow REDE_LOCAL
http_access deny all
__

Já adicionei a regra no iptables:
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT 
--to-port 3128


E de nada adianta. Não funciona!
A maquina cliente continua a navegar numa boa, mas não passa pelo 
proxy. Pois não gera nada no Log.


Acredito que seja algum problema com o firewall, pois quando 
especifico o endereço do proxy no browser, tudo funciona como deve..


Me ajude..

Obrigado! 



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Proxy Transparente não funciona de jeito nenhum!!

[Debian User]

Primeiramente vou explicar como está minha configuração:

Minha conexão é ADSL em modo bridge, cujo IP do modem é 10.1.1.1
IPs das placas de rede:
eth0: 10.1.1.3
eth1: 192.168.1.1

A conexão já está compartilhada, ou seja, consigo navegar normalmente nas
maquinas clientes. O problema está só no proxy transparente, pois não
funciona de jeito nenhummm.. Já tentei várias maneiras. Vou postar maior
quantidade de informações que talves possa ser util.

# squid -v
Squid Cache: Version 2.6.STABLE5
configure options: '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin'
'--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid'
'--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid'
'--datadir=/usr/share/squid' '--enable-async-io' '--with-pthreads'
'--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter'
'--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap'
'--enable-snmp' '--enable-delay-pools' '--enable-htcp'
'--enable-cache-digests' '--enable-underscores' '--enable-referer-log'
'--enable-useragent-log' '--enable-auth=basic,digest,ntlm' '--enable-carp'
'--with-large-files' 'i386-debian-linux' 'build_alias=i386-debian-linux'
'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux'


squid.conf

http_port 3128 transparent
cache_mem 8 MB
cache_dir ufs /var/spool/squid 500 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/log/squid/squid.pid
visible_hostname debian
cache_effective_user proxy
cache_effective_group proxy
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
acl REDE_LOCAL src 192.168.1.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
http_access allow REDE_LOCAL
http_access deny all
__

Já adicionei a regra no iptables:
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128

E de nada adianta. Não funciona!
A maquina cliente continua a navegar numa boa, mas não passa pelo proxy.
Pois não gera nada no Log.

Acredito que seja algum problema com o firewall, pois quando especifico o
endereço do proxy no browser, tudo funciona como deve..

Me ajude..

Obrigado!

Re: Proxy transparente - Intranet

[Wendell Almeida]

Procure informações sobre detecção automática de proxy na rede.
Implemente a solução e configure o arquivo wpad.dat para que as
conexões necessárias não passem pelo proxy.

Talvez ajude:
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=5544
http://wp.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html
http://www.microsoft.com/technet/isa/2004/plan/automaticdiscovery.mspx

Juliana Guisolberto escreveu:

  Pessoal, 
  Tenho o proxy transparente e preciso configurar algumas exceções
(intranet) para passar por fora do proxy.
  Alguém sabe como fazer isso ou só configurando pelo internet
explorer mesmo?
  






-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy transparente - Intranet

[Tom Lobato]

Mas se uma máquina local precisa acessar outra máquina local, que é o
caso, porque fazer essa conexão passar pelo proxy? Além de ser a rota
mais longa, criaria um processamento desnecessário no proxy. A, B e C
estão na mesma LAN, A precisa acessar B. A menos que haja um motivo
especial (registro de acesso por exemplo), não há razão para C
intermediar essa comunicação. O melhor neste caso é apontar o browser
de A direto para B e deixar C em paz :)

O "passar por fora do proxy" na pergunta da Juliana, na resposta toma
a forma de "não passar pelo proxy" .



Tom Lobato
[EMAIL PROTECTED]
www.tinecon.com.br

Em 04/06/07, Claudio Rocha de Jesus<[EMAIL PROTECTED]> escreveu:


Voce tambem pode criar a seguinte lista de excessoes

# Enderecos que podem conectar-se a internet diretamente sem proxy.
HTTP_ACCEPT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5
192.168.0.6 192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.52"

Depois crie estas regras

# Permissao de acesso a servidores HTTP diretamente sem proxy.
for HTTP in ${HTTP_ACCEPT};do
iptables -t filter -A FORWARD -s ${HTTP} -i eth1 -o $eth0 -m
multiport -p tcp --dport 80,8080,443 -m state --state
NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -d ${HTTP} -i $eth0 -o $eth1 -m
multiport -p tcp --sport 80,8080,443 -m state --state ESTABLISHED,RELATED -j
ACCEPT
done

Res: Proxy transparente - Intranet

[Claudio Rocha de Jesus]

Voce tambem pode criar a seguinte lista de excessoes

# Enderecos que podem conectar-se a internet diretamente sem proxy.
HTTP_ACCEPT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 
192.168.0.6 192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.52"

Depois crie estas regras

# Permissao de acesso a servidores HTTP diretamente sem proxy.
for HTTP in ${HTTP_ACCEPT};do
iptables -t filter -A FORWARD -s ${HTTP} -i eth1 -o $eth0 -m multiport 
-p tcp --dport 80,8080,443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -d ${HTTP} -i $eth0 -o $eth1 -m multiport 
-p tcp --sport 80,8080,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
done
 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
   -[EMAIL PROTECTED]
 Linux user number 433834
--

- Mensagem original 
De: Rafael Gimenes Leite <[EMAIL PROTECTED]>
Para: Juliana Guisolberto <[EMAIL PROTECTED]>
Cc: Linux Debian 
Enviadas: Segunda-feira, 4 de Junho de 2007 15:27:16
Assunto: Re: Proxy transparente - Intranet

isso seria no seu firewall, tente esta linha.

iptables -t nat -I PREROUTING -s  -p tcp --dport 80 -j RETURN

On 6/4/07, Juliana Guisolberto
 <[EMAIL PROTECTED]> wrote:

Pessoal, 

Tenho o proxy transparente e preciso configurar algumas exceções (intranet) 
para passar por fora do proxy.

Alguém sabe como fazer isso ou só configurando pelo internet explorer mesmo?





-- 
/* Rafael  Gimenes Leite
Analista Desenvolvedor.
linux user #404839
http://www.rafaelgimenes.net

http://vidacurta.net
Em um mundo sem paredes, quem precisa de "janelas"?
 */






   

Novo Yahoo! Cadê? - Experimente uma nova busca.
http://yahoo.com.br/oqueeuganhocomisso 

Re: Proxy transparente - Intranet

[Tom Lobato]

 Vc tem uma rede privada (p.e. 192.168.0.0/24) e quer acessar um
servidor que está nessa LAN a partir de uma máquina que também está, certo?

 Basta "avisar" o internet explorer para não usar o proxy quando
acessar um endereço da sua rede local. Na conf. de "servidor proxy" do
ie, habilite "Não usar proxy para endereços locais".
 Em avançado/excessões vc tem a opção de especificar o endereço exato
(ou faixa, dominio, etc) com o qual ele não deve usar o proxy, mas a
melhor opção no seu caso é habilitar a opção "não usar proxy...".

 Fazer isso no iptables do proxy seria o caso apenas se esse site
estivesse fora do seu segmento de LAN, e isso seria feito com uma
linha um pouco diferente da que está abaixo.



Tom Lobato
[EMAIL PROTECTED]
www.tinecon.com.br

Em 04/06/07, Rafael Gimenes Leite<[EMAIL PROTECTED]> escreveu:

isso seria no seu firewall, tente esta linha.

iptables -t nat -I PREROUTING -s  -p tcp --dport 80 -j RETURN


On 6/4/07, Juliana Guisolberto <[EMAIL PROTECTED]> wrote:
>
>
> Pessoal,
>
> Tenho o proxy transparente e preciso configurar algumas exceções
(intranet) para passar por fora do proxy.
>
> Alguém sabe como fazer isso ou só configurando pelo internet explorer
mesmo?



--
/* Rafael  Gimenes Leite
Analista Desenvolvedor.
linux user #404839
http://www.rafaelgimenes.net
 http://vidacurta.net
Em um mundo sem paredes, quem precisa de "janelas"?
 */

Re: Proxy transparente - Intranet

[Rafael Gimenes Leite]

isso seria no seu firewall, tente esta linha.

iptables -t nat -I PREROUTING -s  -p tcp --dport 80 -j RETURN

On 6/4/07, Juliana Guisolberto <[EMAIL PROTECTED]> wrote:


Pessoal,

Tenho o proxy transparente e preciso configurar algumas exceções
(intranet) para passar por fora do proxy.

Alguém sabe como fazer isso ou só configurando pelo internet explorer
mesmo?





--
/* Rafael  Gimenes Leite
Analista Desenvolvedor.
linux user #404839
http://www.rafaelgimenes.net
http://vidacurta.net
Em um mundo sem paredes, quem precisa de "janelas"?
*/

Proxy transparente - Intranet

[Juliana Guisolberto]

Pessoal,

Tenho o proxy transparente e preciso configurar algumas exceções (intranet)
para passar por fora do proxy.

Alguém sabe como fazer isso ou só configurando pelo internet explorer mesmo?

Res: iptables e proxy transparente

[Claudio Rocha de Jesus]

Desculpe! ai vai:
Crie variaveis para ficar mais facil para gerenciar:
IPT='/sbin/iptables'# Define o caminho padrao para o binario
INT_EXT='eth0'  # Interface de rede Externa Internet
INT_LOC='eth1'  # Interface de rede da Rede Local
UP_PORTS='1024:65535'   # Define numero de portas acima de 1024
#
 Enderecos que podem conectar-se a sites FTP.
   
FTP_ACCEPT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
192.168.0.9 192.168.0.11 192.168.0.34 192.168.0.91 192.168.0.9
5 192.168.0.150"

Falou
 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
   -[EMAIL PROTECTED]
 Linux user number 433834
--

- Mensagem original 
De: Carlos Alberto <[EMAIL PROTECTED]>
Para: Claudio Rocha de Jesus <[EMAIL PROTECTED]>; Lista Debian 
; [EMAIL PROTECTED]; [EMAIL PROTECTED]
Enviadas: Terça-feira, 22 de Maio de 2007 12:51:16
Assunto: Re: iptables e proxy transparente

faltou vc definir algumas variaveis, para que eu entenda, blz. Obrigado pela 
ajuda.

Em 22/05/07, Claudio Rocha de Jesus <
[EMAIL PROTECTED]> escreveu:
Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:

# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT="
192.168.1.12 192.168.1.13 
192.168.1.14 192.168.1.15 
192.168.1.16 192.168.1.19 
192.168.1.111 192.168.1.134 
192.168.1.191 192.168.1.195 
192.168.1.150"

for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m 
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
 -j ACCEPT

$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp 
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t
 filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state --state 
ESTABLISHED,RELATED -j ACCEPT
done
 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico

   -[EMAIL PROTECTED]
 Linux user number 433834
--


- Mensagem original 
De: Carlos Alberto <
[EMAIL PROTECTED]>
Para: 
[EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian <
debian-user-portuguese@lists.debian.org>
Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente

Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid) 
transparente e liberar tambem o msn com nat, ja tentei de tudo, a
 porta do squid é a 81. O proxy transparente funciona somente para o http, para 
ftp nada. Estou liberando tudo por nat. Queria liberar apenas o msn, como faço? 
segue abaixo o que fiz no iptables...: 



#!/bin/bash

## Apaga quaisquer regras que por ventura existam
iptables -F

 Regras de policiamento 

## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP

iptables -P FORWARD DROP
iptables -P OUTPUT DROP

 INPUT 

## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT

## Permite apenas entrada das respostas as conexões desaida

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s 
192.168.0.0/24 --dport 81 -j ACCEPT

## Aceita conexoes ICMP com limite de conexoes por minuto

iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT

## Liberar a porta do ssh
iptables -A INPUT -p tcp -s 
192.168.0.24  --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 
192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 
192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT


## Registra nos logs do sistema pacotes bloqueados, estes são marcados com  
prefixo Firewall: 

iptables -A INPUT -j LOG --log-prefix "Firewall: "

 OUTPUT 

## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT



### PREROUTING ###

## Redireciona conexoes com destino a porta 80 para a porta 81 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81

### FORWARD ### 

# Connection tracking (aceita pacotes para conexoes já estabelecidas)

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT


## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT  

iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT  

iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT 
iptables -A FORWARD -s 
192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s 

Re: iptables e proxy transparente

[Carlos Alberto]

faltou vc definir algumas variaveis, para que eu entenda, blz. Obrigado pela
ajuda.

Em 22/05/07, Claudio Rocha de Jesus <[EMAIL PROTECTED]> escreveu:


Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:

# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT="192.168.1.12 192.168.1.13 192.168.1.14 192.168.1.15
192.168.1.16 192.168.1.19 192.168.1.111 192.168.1.134 192.168.1.191
192.168.1.195 192.168.1.150"

for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
 -j ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m
state --state ESTABLISHED,RELATED -j ACCEPT
done

--
- - Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
- [EMAIL PROTECTED]
Linux user number 433834
--

- Mensagem original 
De: Carlos Alberto <[EMAIL PROTECTED]>
Para: [EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista
Debian 
Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente

Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid)
transparente e liberar tambem o msn com nat, ja tentei de tudo, a porta do
squid é a 81. O proxy transparente funciona somente para o http, para ftp
nada. Estou liberando tudo por nat. Queria liberar apenas o msn, como faço?
segue abaixo o que fiz no iptables...:


#!/bin/bash

## Apaga quaisquer regras que por ventura existam
iptables -F

 Regras de policiamento 

## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

 INPUT 

## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT

## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 81 -j ACCEPT

## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT

## Liberar a porta do ssh
iptables -A INPUT -p tcp -s 192.168.0.24  --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT

## Registra nos logs do sistema pacotes bloqueados, estes são marcados
com  prefixo Firewall:
iptables -A INPUT -j LOG --log-prefix "Firewall: "

 OUTPUT 

## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

### PREROUTING ###

## Redireciona conexoes com destino a porta 80 para a porta 81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 81

### FORWARD ###

# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j
ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j
ACCEPT

## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.150 -o eth1 -j ACCEPT

 POSTROUTING 

## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j SNAT
--to 192.168.2.97
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT
--to 192.168.2.97

### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 > /proc/sys/net/ipv4/ip_forward



--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux


__
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/





--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux

Res: iptables e proxy transparente

[Claudio Rocha de Jesus]

Porque voce nao controla o acesso do ftp via iptables, veja o que fiz:

# Enderecos que podem conectar-se a sites FTP.
FTP_ACCEPT="192.168.1.12 192.168.1.13 192.168.1.14 192.168.1.15 
192.168.1.16 192.168.1.19 192.168.1.111 192.168.1.134 192.168.1.191 
192.168.1.195 192.168.1.150"

for FTP in ${FTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -m 
multiport -p tcp --dport 20,21 -m state --state NEW,RELATED,ESTABLISHED
 -j ACCEPT
$IPT -t filter -A FORWARD -s ${FTP} -i $INT_LOC -o $INT_EXT -p tcp 
--sport $UP_PORTS --dport $UP_PORTS -m state --state NEW,RELATED,ES
TABLISHED -j ACCEPT
$IPT -t filter -A FORWARD -d ${FTP} -i $INT_EXT -o $INT_LOC -m state 
--state ESTABLISHED,RELATED -j ACCEPT
done
 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
   -[EMAIL PROTECTED]
 Linux user number 433834
--

- Mensagem original 
De: Carlos Alberto <[EMAIL PROTECTED]>
Para: [EMAIL PROTECTED]; [EMAIL PROTECTED]; Lista Debian 

Enviadas: Segunda-feira, 21 de Maio de 2007 18:46:01
Assunto: iptables e proxy transparente

Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid) 
transparente e liberar tambem o msn com nat, ja tentei de tudo, a porta do 
squid é a 81. O proxy transparente funciona somente para o http, para ftp nada. 
Estou liberando tudo por nat. Queria liberar apenas o msn, como faço? segue 
abaixo o que fiz no iptables...: 



#!/bin/bash

## Apaga quaisquer regras que por ventura existam
iptables -F

 Regras de policiamento 

## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP

iptables -P FORWARD DROP
iptables -P OUTPUT DROP

 INPUT 

## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT

## Permite apenas entrada das respostas as conexões desaida

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 81 -j ACCEPT

## Aceita conexoes ICMP com limite de conexoes por minuto

iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT

## Liberar a porta do ssh
iptables -A INPUT -p tcp -s 192.168.0.24  --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 
192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 
192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT

## Registra nos logs do sistema pacotes bloqueados, estes são marcados com  
prefixo Firewall: 

iptables -A INPUT -j LOG --log-prefix "Firewall: "

 OUTPUT 

## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


### PREROUTING ###

## Redireciona conexoes com destino a porta 80 para a porta 81 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81

### FORWARD ### 

# Connection tracking (aceita pacotes para conexoes já estabelecidas)

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j ACCEPT


## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT  
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT  

iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT 
iptables -A FORWARD -s 192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s 
192.168.0.150 -o eth1 -j ACCEPT

 POSTROUTING 

## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j SNAT --to 
192.168.2.97
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT --to 
192.168.2.97

### Ativa o modulo responsavel pelo encaminhamento de pacotes ###

echo 1 > /proc/sys/net/ipv4/ip_forward



-- 
Cumprimentos

Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux





__
Fale com seus amigos  de graça com o novo Yahoo! Messenger 
http://br.messenger.yahoo.com/ 

iptables e proxy transparente

[Carlos Alberto]

Pessoal, gostaria de só liberar a net, http e ftp, através de proxy(squid)
transparente e liberar tambem o msn com nat, ja tentei de tudo, a porta do
squid é a 81. O proxy transparente funciona somente para o http, para ftp
nada. Estou liberando tudo por nat. Queria liberar apenas o msn, como faço?
segue abaixo o que fiz no iptables...:


#!/bin/bash

## Apaga quaisquer regras que por ventura existam
iptables -F

 Regras de policiamento 

## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

 INPUT 

## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT

## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 81 -j ACCEPT

## Aceita conexoes ICMP com limite de conexoes por minuto
iptables -A INPUT -p icmp -m limit --limit 3/m --limit-burst 3 -j ACCEPT

## Liberar a porta do ssh
iptables -A INPUT -p tcp -s 192.168.0.24  --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.159 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.150 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.148 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.115 --dport 22 -j ACCEPT

## Registra nos logs do sistema pacotes bloqueados, estes são marcados com
prefixo Firewall:
iptables -A INPUT -j LOG --log-prefix "Firewall: "

 OUTPUT 

## Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

### PREROUTING ###

## Redireciona conexoes com destino a porta 80 para a porta 81
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 81

### FORWARD ###

# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED,DNAT -j
ACCEPT
#iptables -A FORWARD -m ip_nat_ftp --ctstate ESTABLISHED,RELATED,DNAT -j
ACCEPT

## Redireciona dados de eth0 para eth1
iptables -A FORWARD -s 192.168.0.159 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.24 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.148 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.115 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.150 -o eth1 -j ACCEPT

 POSTROUTING 

## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j SNAT --to
192.168.2.97
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT --to
192.168.2.97

### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 > /proc/sys/net/ipv4/ip_forward



--
Cumprimentos
Carlos Alberto Mota Castro (Maranhão)
Estudante de Engenharia Elétrica
UNESP - FEIS - Ilha Solteira
Usuário GNU/Linux

Re: squid com proxy transparente debian etch

[Pedro - Debian]

Márcio,

O que vc fez abaixo foi justamente isso, fez o direcionamento da porta 
80 para a 3128 (proxy transparente) o que dispensa a conf. individual os 
clientes, e fez o mascaramento da sua conexão, para q todas as máquinas 
consigam acessar a internet.


Se as máquinas mesmo assim não estiverem acessando, dê uma olhada no 
arquivo /etc/network/options e veja se a opção ipforwarding está setada 
para yes, ela que permite fazer o repasse de pacote entre as máquinas.


Boa sorte

Pedro

Márcio Pedroso escreveu:
entao, para os clientes terem acesso a internet, eu nao preciso o uso 
ou o direcionamento do nat atraves do iptables...
e os clientes, por ser em um numero consideravel, tenho que configurar 
eles? ou seja, indicar a porta do proxy pra eles, ou a ideia do proxy 
transparente(de nao precisar mexer nos clientes) vai funcionar...



Em 22/04/07, *Márcio Pedroso* <[EMAIL PROTECTED] 
<mailto:[EMAIL PROTECTED]>> escreveu:


tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro
das configuraçoes do firewal do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 3128







eu faço o roteamento da internet utilizando o iptables... e fiz um
script em /etc/init.d/ com essa linha pra compartilhar a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou
nao precisa, pois ela esta sendo redirecionada no comando anterior..

valew
-- 
linux user nº 432194


Eu sou livre e você? 





--
linux user nº 432194

Eu sou livre e você? 

Res: squid com proxy transparente debian etch

[Claudio Rocha de Jesus]

Bem, o que fiz aqui na empresa foi o seguinte coloquei todo mundo para utilizar 
o proxy, que e melhor fazer o proxy transparente com a regra que voce ja 
colocou, porem existem alguns programas tipo o da Caixa Economica Federal o 
Conectividade Social que nao funcionam via proxy, para estes casos deixei a 
internet compartilhada normalmente e criei outra regra para permitir que alguns 
passem direto sem o proxy, veja:

echo "Declarando Variaveis e Constantes"
# Enderecos que podem conectar-se a internet diretamente sem proxy.
HTTP_ACCEPT="192.168.1.102"

# Habilitando Redirecionamento de pacotes (IP forwarding)
   echo 1 > /proc/sys/net/ipv4/ip_forward

# Ativando o mascaramento da rede interna.
# Com isso tudo que sair para internet saira com o endereco externo.
# Permitindo que todas as maquinas da rede local naveguem na internet.
$IPT -t nat -A POSTROUTING -s $SAO_RANGE -o $INT_EXT -j SNAT --to 
200.xxx.xxx.xxx

# Permissao de acesso a servidores HTTP diretamente sem proxy.
for HTTP in ${HTTP_ACCEPT};do
$IPT -t filter -A FORWARD -s ${HTTP} -i $INT_LOC -o $INT_EXT -m 
multiport -p tcp --dport 80,8080,443 -m state --state NEW,RELATED,ESTABLISHED 
-j ACCEPT
$IPT -t filter -A FORWARD -d ${HTTP} -i $INT_EXT -o $INT_LOC -m 
multiport -p tcp --sport 80,8080,443 -m state --state ESTABLISHED,RELATED -j 
ACCEPT
done

Falou!

 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
   -[EMAIL PROTECTED]
 Linux user number 433834
--

- Mensagem original 
De: Márcio Pedroso <[EMAIL PROTECTED]>
Para: d-u-p 
Enviadas: Terça-feira, 24 de Abril de 2007 10:35:31
Assunto: Re: squid com proxy transparente debian etch

entao, para os clientes terem acesso a internet, eu nao preciso o uso ou o 
direcionamento do nat atraves do iptables...
e os clientes, por ser em um numero consideravel, tenho que configurar eles? ou 
seja, indicar a porta do proxy pra eles, ou a ideia do proxy transparente(de 
nao precisar mexer nos clientes) vai funcionar...



Em 22/04/07, Márcio Pedroso <[EMAIL PROTECTED]> escreveu:
tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro das 
configuraçoes do firewal do iptables...
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 
3128




eu faço o roteamento da internet utilizando o iptables... e fiz um script em 
/etc/init.d/ com essa linha pra compartilhar a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou nao precisa, 
pois ela esta sendo redirecionada no comando anterior..


valew
-- 
linux user nº 432194

Eu sou livre e você?




-- 
linux user nº 432194

Eu sou livre e você?





__
Fale com seus amigos  de graça com o novo Yahoo! Messenger 
http://br.messenger.yahoo.com/ 

Re: squid com proxy transparente debian etch

[Márcio Pedroso]

entao, para os clientes terem acesso a internet, eu nao preciso o uso ou o
direcionamento do nat atraves do iptables...
e os clientes, por ser em um numero consideravel, tenho que configurar eles?
ou seja, indicar a porta do proxy pra eles, ou a ideia do proxy
transparente(de nao precisar mexer nos clientes) vai funcionar...


Em 22/04/07, Márcio Pedroso <[EMAIL PROTECTED]> escreveu:


tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro das
configuraçoes do firewal do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 
3128



eu faço o roteamento da internet utilizando o iptables... e fiz um script
em /etc/init.d/ com essa linha pra compartilhar a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou nao
precisa, pois ela esta sendo redirecionada no comando anterior..

valew
--
linux user nº 432194

Eu sou livre e você?





--
linux user nº 432194

Eu sou livre e você?

Re: squid com proxy transparente debian etch

[Edmundo Valle Neto]

Márcio Pedroso escreveu:

tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro das 
configuraçoes do firewal do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 
3128
  


Não, não precisa, essa linha redireciona as conexões que iriam para a 
porta 80 para a porta 3128, fazendo um proxy transparente. Os clientes 
poderiam ser configurados manualmente ou através de endereços de 
configuração automática de proxy.


eu faço o roteamento da internet utilizando o iptables... e fiz um 
script em /etc/init.d/ com essa linha pra compartilhar a internet

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou nao 
precisa, pois ela esta sendo redirecionada no comando anterior..


Essa linha faz nat, em qualquer porta. NÃO É necessária para o squid 
funcionar, a diferença é que você terá um proxy transparente na porta 80 
e o nat configurado para outras portas, https vai funcionar sem proxy, 
seus usuários vão conseguir usar programas p2p, ftp, etc, e vão 
conseguir contornar o proxy.





valew
--
linux user nº 432194

Eu sou livre e você?


Esta mensagem foi verificada pelo E-mail Protegido Terra 
<http://mail.terra.com.br/>.
Scan engine: McAfee VirusScan / Atualizado em 20/04/2007 / Versão: 
5.1.00/5014
Proteja o seu e-mail Terra: http://mail.terra.com.br/ 


Edmundo Valle Neto


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Res: squid com proxy transparente debian etch

[Claudio Rocha de Jesus]

Sim, voce precisa desta linha, porque ela diz para mascarar todo o trafego que 
estiver saindo do seu firewall com o ip publico.
Tendo somente esta linha no seu iptables o compartilhamento para a rede ainda 
nao esta completo, para que estaja completo precisa executar 

# Habilitando Redirecionamento de pacotes (IP forwarding)
   echo 1 > /proc/sys/net/ipv4/ip_forward

Falou
 
--
 -   -Claudio Rocha de Jesus
|.|-|.| Analista de Suporte Tecnico
   -[EMAIL PROTECTED]
 Linux user number 433834
--

- Mensagem original 
De: Márcio Pedroso <[EMAIL PROTECTED]>
Para: d-u-p 
Enviadas: Domingo, 22 de Abril de 2007 19:42:47
Assunto: squid com proxy transparente debian etch

tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro das 
configuraçoes do firewal do iptables...
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 
3128



eu faço o roteamento da internet utilizando o iptables... e fiz um script em 
/etc/init.d/ com essa linha pra compartilhar a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou nao precisa, 
pois ela esta sendo redirecionada no comando anterior..


valew
-- 
linux user nº 432194

Eu sou livre e você?





__
Fale com seus amigos  de graça com o novo Yahoo! Messenger 
http://br.messenger.yahoo.com/ 

squid com proxy transparente debian etch

[Márcio Pedroso]

tenho a seguinte duvida, (dentre muitas)
para o squid funcionar, tem que se colocar a seguinte linha dentro das
configuraçoes do firewal do iptables...

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128


eu faço o roteamento da internet utilizando o iptables... e fiz um script em
/etc/init.d/ com essa linha pra compartilhar a internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a pergunta é: tenho que apagar essa linha pra o squid funcionar ou nao
precisa, pois ela esta sendo redirecionada no comando anterior..

valew
--
linux user nº 432194

Eu sou livre e você?

Re: Proxy transparente - dúvida

[Guilherme Moraes]

c ja for a nova versao do squid

essas 4 linhas são substituidas apenas pra essa:

http_port 3128 transparent


agora de ficar mais rapido ou nao isso eu ja nao sei .

Em 08/03/07, Felipe Augusto van de Wiel (faw) <[EMAIL PROTECTED]>
escreveu:


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 03/05/2007 12:00 PM, Pedro - Debian wrote:
> Olá Pessoal,
>
> Estou estudando um livro sobre web_poxy, que traz as seguintes regras
> para uso do proxy transparente
> httpd_accel_host virtual
> httpd_accel_host 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
>
> porém eu uso o Squid como proxy transparente e não uso estas regras e
> fuinciona normalmente. Alguém pode me explicar qual a razão de usá-las?

No arquivo de configuração há explicações pra cada item. A
idéia central é que o proxy transparente fique ainda mais rápido
por usar as opções httpd_accel_*


> Obrigado
> Pedro

Abraço,

- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF8JOaCjAO0JDlykYRAkQtAJ4gmVblgRurEIU9vAkzXZWjpSdyWQCfRlXR
/7H5eFDGo3LMKnR9/Gsb1Ls=
=IJGi
-END PGP SIGNATURE-


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]

Re: Proxy transparente - dúvida

[Felipe Augusto van de Wiel (faw)]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 03/05/2007 12:00 PM, Pedro - Debian wrote:
> Olá Pessoal,
> 
> Estou estudando um livro sobre web_poxy, que traz as seguintes regras
> para uso do proxy transparente
> httpd_accel_host virtual
> httpd_accel_host 80
> httpd_accel_with_proxy on
> httpd_accel_uses_host_header on
> 
> porém eu uso o Squid como proxy transparente e não uso estas regras e
> fuinciona normalmente. Alguém pode me explicar qual a razão de usá-las?

No arquivo de configuração há explicações pra cada item. A
idéia central é que o proxy transparente fique ainda mais rápido
por usar as opções httpd_accel_*


> Obrigado
> Pedro

Abraço,

- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF8JOaCjAO0JDlykYRAkQtAJ4gmVblgRurEIU9vAkzXZWjpSdyWQCfRlXR
/7H5eFDGo3LMKnR9/Gsb1Ls=
=IJGi
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy transparente - dúvida

[Pedro - Debian]

Olá Caio,

Ainda estou usando a versão 2.5

Obrigado

Pedro

Caio Ferreira escreveu:

Olá Pessoal,

Estou estudando um livro sobre web_poxy, que traz as seguintes regras 
para uso do proxy transparente

httpd_accel_host virtual
httpd_accel_host 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

porém eu uso o Squid como proxy transparente e não uso estas regras e 
fuinciona normalmente. Alguém pode me explicar qual a razão de usá-las?



Qual é a versão do squid que você esta utilizando? Na versão 2.6 os comandos
são diferentes.
 
 .''`.   Caio Abreu Ferreira

: :'  :  GNU/Linux Debian
`. `'`   Gnupg ID 0x01186BE1
  `- Linux Couter 327834


  

Proxy transparente - dúvida

[Pedro - Debian]

Olá Pessoal,

Estou estudando um livro sobre web_poxy, que traz as seguintes regras 
para uso do proxy transparente

httpd_accel_host virtual
httpd_accel_host 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

porém eu uso o Squid como proxy transparente e não uso estas regras e 
fuinciona normalmente. Alguém pode me explicar qual a razão de usá-las?


Obrigado

Pedro


___ 
Yahoo! Mail - Sempre a melhor opção para você! 
Experimente já e veja as novidades. 
http://br.yahoo.com/mailbeta/tudonovo/




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy transparente squid-2.6.STABLE5

[Roberson Carvalho]

Flávio Barros escreveu:
Senhores, sei que esse assunto já foi discutido e muito aqui na lista 
mas estou tendo problemas.

Fiz assim:

http_port 3128 transparent
always_direct allow all

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 3128


Porém não consigo navegar usando proxy trasparente.

Alguém já teve esse tipo de problema ?


Desde já agradeço,

   
___ Novidade no 
Yahoo! Mail: receba alertas de novas mensagens no seu celular. 
Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/




Será q vc naum está se esquecendo do MASQUERADE, na Interface de Saída(WAN)?


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy transparente squid-2.6.STABLE5

[William Lima]

Caro,

Você ja testou setando o proxy no browser, para ver se o mesmo esta
liberando o acesso. Poste aqui as configurações do Squid.

Abraços,

Proxy transparente squid-2.6.STABLE5

[Flávio Barros]

Senhores, sei que esse assunto já foi discutido e muito aqui na lista 
mas estou tendo problemas.

Fiz assim:

http_port 3128 transparent
always_direct allow all

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT 
--to-port 3128


Porém não consigo navegar usando proxy trasparente.

Alguém já teve esse tipo de problema ?


Desde já agradeço,


___ 
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! 
http://br.mobile.yahoo.com/mailalertas/ 




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: proxy transparente

[Marcio Inacio Silva]

Em Sábado 07 Outubro 2006 18:52, Marcio de Araujo Benedito escreveu:
> * Márcio Inácio Silva ([EMAIL PROTECTED]) wrote:
> > $IPTABLES -t nat -A PREROUTING -p tcp -s $LOCAL_NET --dport 80 -j
> > REDIRECT --to-port 3128
> >
> > assim não precisa configurar o proxy no browser!
>
> Cara, encontrei uma regra destas numa de minhas buscas na rede, mas
> falava de redirecionamento para outra máquina ;)
>
> Mas sem querer parecer chato, $LOCAL_NET seria minha interface de rede
> eth0, ou a ppp0 do ADSL ???
>
> --
> Existem muitas semelhanças entre a colonização eletrônica e o
> sistema colonial antigo. [...] O sistema colonial recruta elites
> locais para conseguir subjugar o resto da população. Ao fornecer
> cópias grátis de seus softwares, que não são livres, para escolas,
> a Microsoft está usando a escola para criar uma futura dependência
> tecnológica na sociedade.
>   Richard Stallman

Opas!

no caso especifico é:

# marcioisarrobagmail.com
# MARCIO INACIO SILVA
# Licença GNU FDL 1.2.
echo -e "Configurando Acesso a Rede ... "
echo -e "Desenvolvimento: Marcio Inacio "
echo 1 > /proc/sys/net/ipv4/ip_forward

IPTABLES="/sbin/iptables"
LOCAL_NET="192.168.0.0/24" (sua rede interna)
WAN_NIC='ppp+'
$IPTABLES -F
$IPTABLES -F -t nat

/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

#regras do squid
$IPTABLES -A INPUT -p tcp -i ppp0 --dport 80 -j DROP
$IPTABLES -A INPUT -p tcp -i ppp0 --dport 3128 -j DROP
$IPTABLES -t nat -A PREROUTING -p tcp -s $LOCAL_NET --dport 80 -j 
REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -s $LOCAL_NET -j MASQUERADE

#Bloqueio envio E-mail que nao seja do provedor (util contra virus ruindows)
/sbin/iptables -A FORWARD -p tcp -d xxx.xxx.xxx.x --dport 25 -j ACCEPT (x 
= ip do seu smtp)
/sbin/iptables -A FORWARD -p tcp --dport 25 -j DROP

## MSG
echo "Ok"


[],s


-- 
___
EAS Tecnologia e Informação - http://www.eas.com.br
Márcio Inácio Silva - [EMAIL PROTECTED]
 .~. 
/ v \   Seja Livre, use GNU/Linux!  
  / (   ) \ 
^^-^^   GNU/Debian/Linux

Re: proxy transparente

[Marcos Lazarini]

Em 07/10/06, Marcio de Araujo Benedito<[EMAIL PROTECTED]> escreveu:

* Márcio Inácio Silva ([EMAIL PROTECTED]) wrote:

> $IPTABLES -t nat -A PREROUTING -p tcp -s $LOCAL_NET --dport 80 -j
> REDIRECT --to-port 3128
>
> assim não precisa configurar o proxy no browser!

Cara, encontrei uma regra destas numa de minhas buscas na rede, mas
falava de redirecionamento para outra máquina ;)

Mas sem querer parecer chato, $LOCAL_NET seria minha interface de rede
eth0, ou a ppp0 do ADSL ???


Tudo depende: se vc quiser que o proxy funcione p/ quem estiver de
dentro da sua rede, é bom vc colocar a interface interna, aquela que
normalmente tem IP não roteável... :-)

Vamos traduzir do 'iptablês' p/ bom portugues: "Na tabela de NAT, na
etapa de pré-rotealmento de pacotes, todos os pacotes que vierem pela
inteface $LOCAL_NET cujo destino seja alguma porta 80, redirecione
esse pacote para a porta 3128"

Acho que com essa tradução fica mais claro, não? ;-)

Assim também podemos notar que se alguem tentar acessar https (porta
443), ou alguma outra porta, nao vai passar pelo proxy Será que
seus usuários são espertinhos a esse ponto?

--
Marcos

Re: proxy transparente

[Marcio de Araujo Benedito]

* Márcio Inácio Silva ([EMAIL PROTECTED]) wrote:

> $IPTABLES -t nat -A PREROUTING -p tcp -s $LOCAL_NET --dport 80 -j
> REDIRECT --to-port 3128
>
> assim não precisa configurar o proxy no browser!

Cara, encontrei uma regra destas numa de minhas buscas na rede, mas
falava de redirecionamento para outra máquina ;)

Mas sem querer parecer chato, $LOCAL_NET seria minha interface de rede
eth0, ou a ppp0 do ADSL ???

--
Existem muitas semelhanças entre a colonização eletrônica e o 
sistema colonial antigo. [...] O sistema colonial recruta elites 
locais para conseguir subjugar o resto da população. Ao fornecer 
cópias grátis de seus softwares, que não são livres, para escolas, 
a Microsoft está usando a escola para criar uma futura dependência 
tecnológica na sociedade.
Richard Stallman

Re: proxy transparente

[Márcio Inácio Silva]

Em Sábado 07 Outubro 2006 11:18, Marcio de Araujo Benedito escreveu:
> Tenho uma dúvida sobre proxy transparente:
> Tenho uma máquina ligada à Internet por uma conexão ADSL com um modem
> bridge. Gostaria de saber se é possível colocar um proxy trasnparente
> _nesta_máquina_ de forma que os usuários fossem obrigados a passar pelo
> proxy.
>
> O que eu fiz foi habilitar o squid na máquina e configurar o proxy para
> localhost:3128 no browser, mas um expertinho aqui está criando um novo
> perfil no firefox sem proxy configurado.
>
> Tem como fazer com que toda a navegação internet netsa máquina passe
> pelo squid dela mesma _obrigatoriamente_ ??
>
> --
> Existem muitas semelhanças entre a colonização eletrônica e o
> sistema colonial antigo. [...] O sistema colonial recruta elites
> locais para conseguir subjugar o resto da população. Ao fornecer
> cópias grátis de seus softwares, que não são livres, para escolas,
> a Microsoft está usando a escola para criar uma futura dependência
> tecnológica na sociedade.
>   Richard Stallman

Firewall!!

$IPTABLES -t nat -A PREROUTING -p tcp -s $LOCAL_NET --dport 80 -j 
REDIRECT --to-port 3128

assim não precisa configurar o proxy no browser!

-- 

Márcio Inácio Silva - marcioisarrobagmail.com
http://www.prfcb.org.br - baybarrobaprfcb.org.br

Assinem já melhor e maior série de ficção cientifica do mundo!
Acesse http://www.perry-rhodan.com.br
 .~. 
/ v \   Seja Livre, use GNU/Linux!  
  / (   ) \ 
^^-^^   GNU/Debian/Linux

proxy transparente

[Marcio de Araujo Benedito]

Tenho uma dúvida sobre proxy transparente:
Tenho uma máquina ligada à Internet por uma conexão ADSL com um modem
bridge. Gostaria de saber se é possível colocar um proxy trasnparente
_nesta_máquina_ de forma que os usuários fossem obrigados a passar pelo
proxy.

O que eu fiz foi habilitar o squid na máquina e configurar o proxy para
localhost:3128 no browser, mas um expertinho aqui está criando um novo 
perfil no firefox sem proxy configurado.

Tem como fazer com que toda a navegação internet netsa máquina passe
pelo squid dela mesma _obrigatoriamente_ ??

--
Existem muitas semelhanças entre a colonização eletrônica e o 
sistema colonial antigo. [...] O sistema colonial recruta elites 
locais para conseguir subjugar o resto da população. Ao fornecer 
cópias grátis de seus softwares, que não são livres, para escolas, 
a Microsoft está usando a escola para criar uma futura dependência 
tecnológica na sociedade.
Richard Stallman

RES: Radios web com proxy transparente (solução!!!)

[Daniel]

Olá pessoal... apenas para constar no histórico
para futuras pesquisas...

 

Acabei conseguindo fazer funcionar, mas
numa marra desgraçada. O esquema é o seguinte: eu estava dando um nslookup
app.radio.musica.uol.com.br e tentando liberar os ips que retornavam no meu
firewall para não passar pelo proxy. mas isso nào estava funcionando. Descobri
que, quando a música é solicitada pela rádio uol, ele utiliza um outro ip
ainda, que só fui conseguir achar fazendo um log no meu ip no PREROUTING. Aí
liberei um ip por um que vinha do uol e funcionou... estou mandando a lista dos
ips pra quem tiver o mesmo problema. Talvez tenha ip demais, vai de cada um
filtrar, talvez segunda eu faço, sexta feira ninguém merece... :-)

 

Um abraço a todos

 

iptables -t nat -A PREROUTING -s $LAN -d
200.221.2.45 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.7.75 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.8.118 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.6.40 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.6.20 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.7.85 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.2.110 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.8.75 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.8.54 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.7.40 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.7.38 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.7.20 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.5.55 -j ACCEPT

iptables -t nat -A PREROUTING -s $LAN -d
200.221.2.117 -j ACCEPT

 









De: Daniel
[mailto:[EMAIL PROTECTED] 
Enviada em: sexta-feira, 25 de
agosto de 2006 13:56
Para:
debian-user-portuguese@lists.debian.org
Cc: 'Lista
 Debian'
Assunto: RES: Radios web com proxy
transparente (sem solução)



 

Olá Rafael... essa rádio guaiba foi bem e
a rádio terra vai na boa tb... o problema é a bendita rádio uol... e é a que o
pessoal mais usa aqui no serviço... 

Testei várias coisas nesse meio tempo, e veja
só: se eu libero a classe 200.211.0.0/16 no PREROUTING tudo vai tranquilamente,
mas aí o uolk e o batepapo que são bloqueados passam a funcionar e isso é um
problema. O que eu fiz então: fiz um log do meu ip quando acesso a radio uol
liberado pra ver os ips e portas que usa e liberei no firewall (claro, com os
devidos protocolos) mas mesmo assim nào vai. Só vai mesmo se eu liberar toda a
rede como antes... não é engraçado?

Mas vou continuar na luta, qualquer
novidade eu dou um toque pra lista

 

um abraço a todos

 

daniel

 









De: Rafael Tomelin
[mailto:[EMAIL PROTECTED] 
Enviada em: sexta-feira, 25 de
agosto de 2006 13:44
Para: [EMAIL PROTECTED]
Cc: Daniel; Lista Debian
Assunto: Re: Radios web com proxy
transparente (sem solução)



 

Olá daniel,

libera o seguinte no teu squid:

radio.terra.com.br

ou tente ainda acessar a rádio guaiba (só para teste).. Pois essa rádio tenho
certeza que é pela porta 80. 

http://www.radioguaiba.com.br/aovivo/aovivoWMP.htm


Boa Sorte!!!



Em 25/08/06, Diogo
Borsoi <[EMAIL PROTECTED]>
escreveu:

Caro Daniel, vc tem que
liberar no POSTROUTING tbm...

Em 25/08/06, Daniel<[EMAIL PROTECTED]>
escreveu:
> Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o 
> squid. Se fosse outra porta, passaria direto, certo? OU não?
>
> E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a
> regra do squid que queria "driblar", mas não custa fazer um
teste com a 
> POSTROUTING, tem razão... :-)
> Vou montar uma regra e testar, se der certo, dou um retorno...
>
> Obrigado por enquanto
>
> Se alguém tiver alguma luz, eu agradeço...
>
> []'s 
>
> daniel
>
>
> -Mensagem original-
> De: Magoito [mailto:[EMAIL PROTECTED]]
> Enviada em: sexta-feira, 25 de agosto de 2006 09:04 
> Para: Daniel
> Assunto: Re: Radios web com proxy transparente (sem solução)
>
> Daniel wrote:
>
> >
> >
> >
> >
> > pessoal, ainda nào encontrei a solução pra esse problema. 
> >
> > Estou tentando fazer minha rede interna conseguir escutar radios como
> > do uol, terra, etc, mas nào tá rolando.
> >
> > Como dito, tenho um firewall com iptables e squid como proxy 
> > transparente.
> >
> > A regra que redireciona para o squid é essa:
> >
> > iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT
> > --to-destination $GAT_LAN:3128 
> >
> >
> >
> > Já tentei colocar regras antes dessa que liberem o app.uol mas não
> > adiantou. Tentei essas regras (todas antes da acima)
> >
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105
-j ACCEPT #
> > app.radio.musica.uol.com.br
> > iptables -t nat -A PREROUTING -p tcp -d 200.22

Re: Radios web com proxy transparente (sem solução)

[Rafael Tomelin]

  Olá Daniel,  Acho que a melhor forma de vc resolver esse problema é a seguinte:  Liga para o pessoal (suporte) do uol e pede para vc falar com alguém responsavel por essa parte.  Mas antes de ligar manda um email tb para eles com a mesma duvida e explica o que vc já fez.
  Pois provavelmente tem alguma coisa que está faltando e vc não conseguiu perceber ainda.  Abraços,  Boa Sorte.Em 25/08/06, 
Daniel <[EMAIL PROTECTED]> escreveu:















Olá Rafael... essa rádio guaiba foi bem e
a rádio terra vai na boa tb... o problema é a bendita rádio uol... e é a que o
pessoal mais usa aqui no serviço... 

Testei várias coisas nesse meio tempo, e
veja só: se eu libero a classe 200.211.0.0/16 no PREROUTING tudo vai
tranquilamente, mas aí o uolk e o batepapo que são bloqueados passam a
funcionar e isso é um problema. O que eu fiz então: fiz um log do meu ip quando
acesso a radio uol liberado pra ver os ips e portas que usa e liberei no
firewall (claro, com os devidos protocolos) mas mesmo assim nào vai. Só vai
mesmo se eu liberar toda a rede como antes... não é engraçado?

Mas vou continuar na luta, qualquer
novidade eu dou um toque pra lista

 

um abraço a todos

 

daniel

 









De:
 Rafael Tomelin
[mailto:[EMAIL PROTECTED]] 

Enviada em: sexta-feira, 25 de
agosto de 2006 13:44
Para: [EMAIL PROTECTED]
Cc: Daniel; Lista Debian
Assunto: Re: Radios web com proxy
transparente (sem solução)



 

Olá daniel,

libera o seguinte no teu squid:

radio.terra.com.br

ou tente ainda acessar a rádio guaiba (só para teste).. Pois essa rádio tenho
certeza que é pela porta 80. 

http://www.radioguaiba.com.br/aovivo/aovivoWMP.htm


Boa Sorte!!!





Em 25/08/06, Diogo
Borsoi <[EMAIL PROTECTED]>
escreveu:

Caro Daniel, vc tem que
liberar no POSTROUTING tbm...

Em 25/08/06, Daniel<[EMAIL PROTECTED]>
escreveu:
> Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o 
> squid. Se fosse outra porta, passaria direto, certo? OU não?
>
> E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a
> regra do squid que queria "driblar", mas não custa fazer um
teste com a 
> POSTROUTING, tem razão... :-)
> Vou montar uma regra e testar, se der certo, dou um retorno...
>
> Obrigado por enquanto
>
> Se alguém tiver alguma luz, eu agradeço...
>
> []'s 
>
> daniel
>
>
> -Mensagem original-
> De: Magoito [mailto:[EMAIL PROTECTED]]
> Enviada em: sexta-feira, 25 de agosto de 2006 09:04 
> Para: Daniel
> Assunto: Re: Radios web com proxy transparente (sem solução)
>
> Daniel wrote:
>
> >
> >
> >
> >
> > pessoal, ainda nào encontrei a solução pra esse problema. 
> >
> > Estou tentando fazer minha rede interna conseguir escutar radios como
> > do uol, terra, etc, mas nào tá rolando.
> >
> > Como dito, tenho um firewall com iptables e squid como proxy 
> > transparente.
> >
> > A regra que redireciona para o squid é essa:
> >
> > iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT
> > --to-destination $GAT_LAN:3128 
> >
> >
> >
> > Já tentei colocar regras antes dessa que liberem o app.uol mas não
> > adiantou. Tentei essas regras (todas antes da acima)
> >
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105
-j ACCEPT #
> > app.radio.musica.uol.com.br
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118
-j ACCEPT #
> > radio.musica.uol.com.br
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74
-j ACCEPT # 
> > video.noticias.uol.com
> >
> >
> >
> > Nesse forum onde peguei estas regras, um cara fala sobre uma acl
> > direct-path pra colocar no squid... nunca vi essa acl... procurei em 
> > manuais em portugues do squid e nada... alguém sabe o que é isso e se
> > realmente ajudaria a resolver? ou tem outra solução?
> >
> >
> >
> > Grato a todos
> > 
> >
> >
> > daniel
> >
>
>
>
> cara, primeiro descubra se a porta é a 80 mesmo, e veja se o tipo de
> conteudo nao está sendo barrado no squid
>
> outra
>
> se é uma maquina interna na sua rede tentando passar pelo gw em destino
> a rádio vc não deveria usar POSTROUTING???
>
>
>
> ___ 
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular.
Registre seu aparelho agora!
> http://br.mobile.yahoo.com/mailalertas/
> 
>
>


--
Att.
Diogo Borsoi



 

RES: Radios web com proxy transparente (sem soluçã o)

[Daniel]

Olá Rafael... essa rádio guaiba foi bem e
a rádio terra vai na boa tb... o problema é a bendita rádio uol... e é a que o
pessoal mais usa aqui no serviço... 

Testei várias coisas nesse meio tempo, e
veja só: se eu libero a classe 200.211.0.0/16 no PREROUTING tudo vai
tranquilamente, mas aí o uolk e o batepapo que são bloqueados passam a
funcionar e isso é um problema. O que eu fiz então: fiz um log do meu ip quando
acesso a radio uol liberado pra ver os ips e portas que usa e liberei no
firewall (claro, com os devidos protocolos) mas mesmo assim nào vai. Só vai
mesmo se eu liberar toda a rede como antes... não é engraçado?

Mas vou continuar na luta, qualquer
novidade eu dou um toque pra lista

 

um abraço a todos

 

daniel

 









De: Rafael Tomelin
[mailto:[EMAIL PROTECTED] 
Enviada em: sexta-feira, 25 de
agosto de 2006 13:44
Para: [EMAIL PROTECTED]
Cc: Daniel; Lista Debian
Assunto: Re: Radios web com proxy
transparente (sem solução)



 

Olá daniel,

libera o seguinte no teu squid:

radio.terra.com.br

ou tente ainda acessar a rádio guaiba (só para teste).. Pois essa rádio tenho
certeza que é pela porta 80. 

http://www.radioguaiba.com.br/aovivo/aovivoWMP.htm


Boa Sorte!!!





Em 25/08/06, Diogo
Borsoi <[EMAIL PROTECTED]>
escreveu:

Caro Daniel, vc tem que
liberar no POSTROUTING tbm...

Em 25/08/06, Daniel<[EMAIL PROTECTED]>
escreveu:
> Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o 
> squid. Se fosse outra porta, passaria direto, certo? OU não?
>
> E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a
> regra do squid que queria "driblar", mas não custa fazer um
teste com a 
> POSTROUTING, tem razão... :-)
> Vou montar uma regra e testar, se der certo, dou um retorno...
>
> Obrigado por enquanto
>
> Se alguém tiver alguma luz, eu agradeço...
>
> []'s 
>
> daniel
>
>
> -Mensagem original-
> De: Magoito [mailto:[EMAIL PROTECTED]]
> Enviada em: sexta-feira, 25 de agosto de 2006 09:04 
> Para: Daniel
> Assunto: Re: Radios web com proxy transparente (sem solução)
>
> Daniel wrote:
>
> >
> >
> >
> >
> > pessoal, ainda nào encontrei a solução pra esse problema. 
> >
> > Estou tentando fazer minha rede interna conseguir escutar radios como
> > do uol, terra, etc, mas nào tá rolando.
> >
> > Como dito, tenho um firewall com iptables e squid como proxy 
> > transparente.
> >
> > A regra que redireciona para o squid é essa:
> >
> > iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT
> > --to-destination $GAT_LAN:3128 
> >
> >
> >
> > Já tentei colocar regras antes dessa que liberem o app.uol mas não
> > adiantou. Tentei essas regras (todas antes da acima)
> >
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105
-j ACCEPT #
> > app.radio.musica.uol.com.br
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118
-j ACCEPT #
> > radio.musica.uol.com.br
> > iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74
-j ACCEPT # 
> > video.noticias.uol.com
> >
> >
> >
> > Nesse forum onde peguei estas regras, um cara fala sobre uma acl
> > direct-path pra colocar no squid... nunca vi essa acl... procurei em 
> > manuais em portugues do squid e nada... alguém sabe o que é isso e se
> > realmente ajudaria a resolver? ou tem outra solução?
> >
> >
> >
> > Grato a todos
> > 
> >
> >
> > daniel
> >
>
>
>
> cara, primeiro descubra se a porta é a 80 mesmo, e veja se o tipo de
> conteudo nao está sendo barrado no squid
>
> outra
>
> se é uma maquina interna na sua rede tentando passar pelo gw em destino
> a rádio vc não deveria usar POSTROUTING???
>
>
>
> ___ 
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular.
Registre seu aparelho agora!
> http://br.mobile.yahoo.com/mailalertas/
> 
>
>


--
Att.
Diogo Borsoi



 

Re: Radios web com proxy transparente (sem solução)

[Rafael Tomelin]

Olá daniel,libera o seguinte no teu squid:radio.terra.com.brou tente ainda acessar a rádio guaiba (só para teste).. Pois essa rádio tenho certeza que é pela porta 80.
http://www.radioguaiba.com.br/aovivo/aovivoWMP.htmBoa Sorte!!!Em 25/08/06, 
Diogo Borsoi <[EMAIL PROTECTED]> escreveu:
Caro Daniel, vc tem que liberar no POSTROUTING tbm...Em 25/08/06, Daniel<[EMAIL PROTECTED]> escreveu:> Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o
> squid. Se fosse outra porta, passaria direto, certo? OU não?>> E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a> regra do squid que queria "driblar", mas não custa fazer um teste com a
> POSTROUTING, tem razão... :-)> Vou montar uma regra e testar, se der certo, dou um retorno...>> Obrigado por enquanto>> Se alguém tiver alguma luz, eu agradeço...>> []'s
>> daniel>>> -Mensagem original-> De: Magoito [mailto:[EMAIL PROTECTED]]> Enviada em: sexta-feira, 25 de agosto de 2006 09:04
> Para: Daniel> Assunto: Re: Radios web com proxy transparente (sem solução)>> Daniel wrote:>> >> >> >> >> > pessoal, ainda nào encontrei a solução pra esse problema.
> >> > Estou tentando fazer minha rede interna conseguir escutar radios como> > do uol, terra, etc, mas nào tá rolando.> >> > Como dito, tenho um firewall com iptables e squid como proxy
> > transparente.> >> > A regra que redireciona para o squid é essa:> >> > iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT> > --to-destination $GAT_LAN:3128
> >> >> >> > Já tentei colocar regras antes dessa que liberem o app.uol mas não> > adiantou. Tentei essas regras (todas antes da acima)> >> > iptables -t nat -A PREROUTING -p tcp -d 
200.221.2.105 -j ACCEPT #> > app.radio.musica.uol.com.br> > iptables -t nat -A PREROUTING -p tcp -d 
200.221.8.118 -j ACCEPT #> > radio.musica.uol.com.br> > iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74 -j ACCEPT #
> > video.noticias.uol.com> >> >> >> > Nesse forum onde peguei estas regras, um cara fala sobre uma acl> > direct-path pra colocar no squid... nunca vi essa acl... procurei em
> > manuais em portugues do squid e nada... alguém sabe o que é isso e se> > realmente ajudaria a resolver? ou tem outra solução?> >> >> >> > Grato a todos> >
> >> >> > daniel> >>>>> cara, primeiro descubra se a porta é a 80 mesmo, e veja se o tipo de> conteudo nao está sendo barrado no squid>
> outra>> se é uma maquina interna na sua rede tentando passar pelo gw em destino> a rádio vc não deveria usar POSTROUTING???>>>> ___
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora!> http://br.mobile.yahoo.com/mailalertas/>
>>--Att.Diogo Borsoi

Re: Radios web com proxy transparente (sem solução)

[Diogo Borsoi]

Caro Daniel, vc tem que liberar no POSTROUTING tbm...

Em 25/08/06, Daniel<[EMAIL PROTECTED]> escreveu:

Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o
squid. Se fosse outra porta, passaria direto, certo? OU não?

E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a
regra do squid que queria "driblar", mas não custa fazer um teste com a
POSTROUTING, tem razão... :-)
Vou montar uma regra e testar, se der certo, dou um retorno...

Obrigado por enquanto

Se alguém tiver alguma luz, eu agradeço...

[]'s

daniel


-Mensagem original-
De: Magoito [mailto:[EMAIL PROTECTED]
Enviada em: sexta-feira, 25 de agosto de 2006 09:04
Para: Daniel
Assunto: Re: Radios web com proxy transparente (sem solução)

Daniel wrote:

>
>
>
>
> pessoal, ainda nào encontrei a solução pra esse problema.
>
> Estou tentando fazer minha rede interna conseguir escutar radios como
> do uol, terra, etc, mas nào tá rolando.
>
> Como dito, tenho um firewall com iptables e squid como proxy
> transparente.
>
> A regra que redireciona para o squid é essa:
>
> iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT
> --to-destination $GAT_LAN:3128
>
>
>
> Já tentei colocar regras antes dessa que liberem o app.uol mas não
> adiantou. Tentei essas regras (todas antes da acima)
>
> iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105 -j ACCEPT #
> app.radio.musica.uol.com.br
> iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118 -j ACCEPT #
> radio.musica.uol.com.br
> iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74 -j ACCEPT #
> video.noticias.uol.com
>
>
>
> Nesse forum onde peguei estas regras, um cara fala sobre uma acl
> direct-path pra colocar no squid... nunca vi essa acl... procurei em
> manuais em portugues do squid e nada... alguém sabe o que é isso e se
> realmente ajudaria a resolver? ou tem outra solução?
>
>
>
> Grato a todos
>
>
>
> daniel
>



cara, primeiro descubra se a porta é a 80 mesmo, e veja se o tipo de
conteudo nao está sendo barrado no squid

outra

se é uma maquina interna na sua rede tentando passar pelo gw em destino
a rádio vc não deveria usar POSTROUTING???



___
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. 
Registre seu aparelho agora!
http://br.mobile.yahoo.com/mailalertas/






--
Att.
Diogo Borsoi

RES: Radios web com proxy transparente (sem soluçã o)

[Daniel]

Bom, a 80 tem que ser, porque é a única que está sendo direcionada para o
squid. Se fosse outra porta, passaria direto, certo? OU não?

E quanto ao POSTROUTING: eu coloquei no PREROUTING pq é onde coloquei a
regra do squid que queria "driblar", mas não custa fazer um teste com a
POSTROUTING, tem razão... :-)
Vou montar uma regra e testar, se der certo, dou um retorno...

Obrigado por enquanto

Se alguém tiver alguma luz, eu agradeço...

[]'s

daniel


-Mensagem original-
De: Magoito [mailto:[EMAIL PROTECTED] 
Enviada em: sexta-feira, 25 de agosto de 2006 09:04
Para: Daniel
Assunto: Re: Radios web com proxy transparente (sem solução)

Daniel wrote:

>  
>
>  
>
> pessoal, ainda nào encontrei a solução pra esse problema.
>
> Estou tentando fazer minha rede interna conseguir escutar radios como 
> do uol, terra, etc, mas nào tá rolando.
>
> Como dito, tenho um firewall com iptables e squid como proxy 
> transparente.
>
> A regra que redireciona para o squid é essa:
>
> iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j DNAT 
> --to-destination $GAT_LAN:3128
>
>  
>
> Já tentei colocar regras antes dessa que liberem o app.uol mas não 
> adiantou. Tentei essas regras (todas antes da acima)
>
> iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105 -j ACCEPT # 
> app.radio.musica.uol.com.br
> iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118 -j ACCEPT # 
> radio.musica.uol.com.br
> iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74 -j ACCEPT # 
> video.noticias.uol.com
>
>  
>
> Nesse forum onde peguei estas regras, um cara fala sobre uma acl 
> direct-path pra colocar no squid... nunca vi essa acl... procurei em 
> manuais em portugues do squid e nada... alguém sabe o que é isso e se 
> realmente ajudaria a resolver? ou tem outra solução?
>
>  
>
> Grato a todos
>
>  
>
> daniel
>



cara, primeiro descubra se a porta é a 80 mesmo, e veja se o tipo de 
conteudo nao está sendo barrado no squid

outra

se é uma maquina interna na sua rede tentando passar pelo gw em destino 
a rádio vc não deveria usar POSTROUTING???



___
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. 
Registre seu aparelho agora!
http://br.mobile.yahoo.com/mailalertas/

Radios web com proxy transparente (sem solução)

[Daniel]

 

 



pessoal, ainda nào encontrei a solução pra esse problema.





Estou tentando fazer minha rede interna conseguir escutar
radios como do uol, terra, etc, mas nào tá rolando.





Como dito, tenho um firewall com iptables e squid como proxy
transparente. 





A regra que redireciona para o squid é essa:





iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j
DNAT --to-destination $GAT_LAN:3128





 





Já tentei colocar regras antes dessa que liberem o app.uol
mas não adiantou. Tentei essas regras (todas antes da acima)





iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105 -j ACCEPT #
app.radio.musica.uol.com.br
iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118 -j ACCEPT #
radio.musica.uol.com.br
iptables -t nat -A PREROUTING -p tcp -d 200.221.8.74 -j ACCEPT # video.noticias.uol.com





 





Nesse forum onde peguei estas regras, um cara fala sobre uma
acl direct-path pra colocar no squid... nunca vi essa acl... procurei em
manuais em portugues do squid e nada... alguém sabe o que é isso e se realmente
ajudaria a resolver? ou tem outra solução?





 





Grato a todos





 





daniel

Re: Radios web via proxy transparente

[Daniel]

minha regra está assim

iptables -t nat -A PREROUTING -s $LAN -p tcp --dport 80 -j 
DNAT --to-destination $GAT_LAN:3128


Alterei para -I nas regras, mas também não adiantou não... mas valeu a 
tentativa... :-)


galera, mais alguma luz?

obrigado

daniel

- Original Message - 
From: "Renato Martins" <[EMAIL PROTECTED]>

To: "Daniel" <[EMAIL PROTECTED]>
Sent: Wednesday, August 23, 2006 3:54 PM
Subject: Re: Radios web via proxy transparente



tente usar o -I no lugar do A ele ira colocar a regra no topo
libere os ips da uol com o foward tb
vc poderia colocar a regra do redirect
para ver como vc esta encaminhado para o proxy
POSTROUING ?
- Original Message -
From: "Daniel" <[EMAIL PROTECTED]>
To: "Debian User Portuguese" 
Sent: Wednesday, August 23, 2006 3:37 PM
Subject: Radios web via proxy transparente



Pessoal, tudo bem?

Procurei muita coisa na web já e achei algumas soluções que não

funcionaram

(logo não eram soluções em si...rsrs)
Aqui no meu dep. utilizo o debian com firewall e proxy transparente

(squid).

Mas não consigo liberar radio uol, terra ou nenhuma outra rádio. Já me
falaram pra colocar essas regras antes do redirecionamento da porta 80

para

a 3128:
iptables -t nat -A PREROUTING -i eth0 -m tcp -p tcp -d
200.221.0.0/16 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105 -j ACCEPT #
app.radio.musica.uol.com.br
iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118 -j ACCEPT #
radio.musica.uol.com.br

que pelo menos a radio uol funcionaria, mas nem isso consegui.
Alguém já teve esse problema e tem alguma luz?

Grato

Daniel



___
O Yahoo! est de cara nova. Venha conferir!
http://br.yahoo.com


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact

[EMAIL PROTECTED]




--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.405 / Virus Database: 268.11.5/425 - Release Date: 22/8/2006








___ 
O Yahoo! está de cara nova. Venha conferir! 
http://br.yahoo.com



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Radios web via proxy transparente

[Daniel]

Pessoal, tudo bem?

Procurei muita coisa na web já e achei algumas soluções que não funcionaram 
(logo não eram soluções em si...rsrs)
Aqui no meu dep. utilizo o debian com firewall e proxy transparente (squid). 
Mas não consigo liberar radio uol, terra ou nenhuma outra rádio. Já me 
falaram pra colocar essas regras antes do redirecionamento da porta 80 para 
a 3128:
iptables -t nat -A PREROUTING -i eth0 -m tcp -p tcp -d 
200.221.0.0/16 --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.221.2.105 -j ACCEPT # 
app.radio.musica.uol.com.br
iptables -t nat -A PREROUTING -p tcp -d 200.221.8.118 -j ACCEPT # 
radio.musica.uol.com.br


que pelo menos a radio uol funcionaria, mas nem isso consegui.
Alguém já teve esse problema e tem alguma luz?

Grato

Daniel 




___ 
O Yahoo! está de cara nova. Venha conferir! 
http://br.yahoo.com



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

[Fwd: Proxy Transparente no squid 2.6]

[Cássio Rosas]

Pessoal, alguem sabe algo sobre isso!?


Grato,


Cássio Rosas,


 Mensagem original 
Assunto:Proxy Transparente no squid 2.6
Resent-Date:Wed, 26 Jul 2006 11:09:08 -0500 (CDT)
Resent-From:debian-user-portuguese@lists.debian.org
Data:   Wed, 26 Jul 2006 13:08:58 -0300
De: Cássio Rosas - KMS <[EMAIL PROTECTED]>
Empresa:KMS Comunicação e Marketing
Para:   debian-user-portuguese@lists.debian.org



Ola a todos,

Ontem atualizei meu Debian testing e junto com os pacotes atualizou o 
squid 2.5 para 2.6. Aqui funciona um proxy transparente, porem as linhas 
que fazia uso nao sao mais reconhecidas pelo squid para essa funcao.

Alguem sabe quais devo inserir e com quais parametros!? Pois na pagina 
do squid achei a substituicao mas nao acheis os parametro pra executar a 
mesma função. Alguem sabe, passou ou etsa passando por isso!?

Segue o link do documento que achei: 
http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE1-RELEASENOTES.html#s2

O trecho que fala da diferenca segue abaixo:


   2. Changes to squid.conf
   
<http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE1-RELEASENOTES.html#toc2>

*http_port*

   Now takes a list of options in addition to the port address,
   specifying the purpose of this http_port. Default is plain Internet
   proxy as usual.

*httpd_accel_* for transparent proxy*

   Now implemented by the "transparent" http_port option

*httpd_accel_host*

   Replaced by defaultsite http_port option and cache_peer originserver
   option.

*httpd_accel_port*

   No longer needed. Server port defined by the cache_peer port.

*httpd_accel_uses_host_header*

   Replaced by vhost http_port option


Como disse, nao fala as opcoes que tem que ser colocadas.

Se alguem souber de algo agradeço!!!

Abraços e obrigado,



-- 

Atenciosamente,











Cássio Rosas

*Planejamento***




-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]


E-mail classificado pelo Identificador de Spam Inteligente Terra.
Para alterar a categoria classificada, visite
http://mail.terra.com.br/protected_email/imail/imail.cgi?+_u=kms.publicidade&_l=1,1153930159.637692.9905.arrino.hst.terra.com.br,5010,Des15,Des15

Esta mensagem foi verificada pelo E-mail Protegido Terra.
Scan engine: McAfee VirusScan / Atualizado em 25/07/2006 / Versão: 4.4.00/4814
Proteja o seu e-mail Terra: http://mail.terra.com.br/



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Proxy Transparente no squid 2.6

[Cássio Rosas - KMS]

Ola a todos,

Ontem atualizei meu Debian testing e junto com os pacotes atualizou o 
squid 2.5 para 2.6. Aqui funciona um proxy transparente, porem as linhas 
que fazia uso nao sao mais reconhecidas pelo squid para essa funcao.


Alguem sabe quais devo inserir e com quais parametros!? Pois na pagina 
do squid achei a substituicao mas nao acheis os parametro pra executar a 
mesma função. Alguem sabe, passou ou etsa passando por isso!?


Segue o link do documento que achei: 
http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE1-RELEASENOTES.html#s2


O trecho que fala da diferenca segue abaixo:


   2. Changes to squid.conf
   
<http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE1-RELEASENOTES.html#toc2>

*http_port*

   Now takes a list of options in addition to the port address,
   specifying the purpose of this http_port. Default is plain Internet
   proxy as usual.

*httpd_accel_* for transparent proxy*

   Now implemented by the "transparent" http_port option

*httpd_accel_host*

   Replaced by defaultsite http_port option and cache_peer originserver
   option.

*httpd_accel_port*

   No longer needed. Server port defined by the cache_peer port.

*httpd_accel_uses_host_header*

   Replaced by vhost http_port option


Como disse, nao fala as opcoes que tem que ser colocadas.

Se alguem souber de algo agradeço!!!

Abraços e obrigado,



--

Atenciosamente,











Cássio Rosas

*Planejamento***




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Squid nao bloqueia como proxy transparente ??

[master_]

Estou com problemas no bloqueio de páginas pelo 
squid. Configurei seguindo um tutorial do guia do hardware, porém só funciona o 
bloqueio quando eu configuro o browser para utilizar o squid ! Quando eu deixo 
agir o proxy transparente, os bloqueios não funcionam, liberando todas as 
páginas. Será que a única solução seria eu bloquear pelo iptables para não 
deixar ninguém navegar quando tirassem o proxy na porta do squid de seus 
respectivos browsers, tirando a função do proxy transparente?
 
Segue meu squid.conf:

http_port 
3128visible_hostname xxx
cache_mem 32 
MBmaximum_object_size_in_memory 64 KBmaximum_object_size 512 
MBminimum_object_size 0 KBcache_swap_low 90cache_swap_high 
95cache_dir ufs /var/spool/squid 2048 16 256cache_access_log 
/var/log/squid/access.logrefresh_pattern ^ftp: 15 20% 
2280refresh_pattern ^gopher: 15 0% 2280refresh_pattern . 15 20% 
2280
acl all src 
0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 
127.0.0.1/255.255.255.255acl SSL_ports port 443 563acl Safe_ports port 
80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # 
https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # 
waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports 
port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports 
port 591 # filemakeracl Safe_ports port 777 # multiling httpacl 
Safe_ports port 901 # SWATacl purge method PURGEacl CONNECT method 
CONNECT
http_access allow 
manager localhosthttp_access deny managerhttp_access allow purge 
localhosthttp_access deny purgehttp_access deny 
!Safe_portshttp_access deny CONNECT !SSL_ports
acl proibidos 
dstdom_regex "/etc/squid/proibidos"http_access deny 
proibidos
acl bloqueados 
dstdomain orkut.com www.orkut.com playboy.abril.com.br http_access deny 
bloqueados
acl redelocal src 
192.168.1.0/24http_access 
allow localhosthttp_access allow redelocal
http_access deny 
all
httpd_accel_host 
virtualhttpd_accel_port 80httpd_accel_with_proxy 
onhttpd_accel_uses_host_header on
 
 
OBrigado !

Proxy Transparente

[Islan Rocha]

Boa tarde
 
cenário:
 
---||roteador||---||bridge+firewall+proxy||---||redes* 10.0.0.0/8||
 
*redes: 10.255.100.0, 10.251.100.0, 10.254.100.0, 10.252.100.0
 
algumas máquinas da rede privada possui endereços públicos com servidor de web configurado além dos endereços privados.
O proxy já está configurado de forma transparente  e funciona perfeitamente para acesso a sites de outras redes que não pertencem a faixa usada pelos sevidores internos.
A regra que utilizo para o redirecionamento automático da porta 80 para  a porta de escuta do squid é essa:
 
##   Redirecionamento de porta para o squid transparente na bridge#
ebtables -t broute -A BROUTING -p IPv4 --ip-protocol 6 --ip-source 10.0.0.0/8 \    --ip-destination-port 80 -j redirect --redirect-target ACCEPT    iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i br0 -p udp --dport 80 -j REDIRECT --to-port 3128#
 
Minha dúvida é a seguinte:
 
Como seria a regra para que requisições para os servidores internos com ips públicos não necessitassem passar pelo proxy, visto que do jeito que está nem rede interna nem outro endereço externos consegue acessar as páginas hospedadas atrás do proxy?

 
Já andei pesquisando algo sobre proxy reverso, mas não tenho certeza se seria este o caso...
Se for, é possível um proxy e um proxy reverso funcionando na mesma máquina? Alguém possui documentação pra eu tentar alguma solução deste tipo? (se isso for possível é claro :)
 
Desde já agradeço pela atenção :)
 
-- UninCor - Universidade Vale do Rio Verde de Três CoraçõesIslan Nascimento Rocha  -   Suporte e ManutençãoMSN: [EMAIL PROTECTED]   Fone: 0xx35 3239-1112 

Re: Problemas com Proxy Transparente e Internet Explorer

[Eduardo Costa Lisboa]

Bom... o Internet Explorer tem o hábito de se comportar diferentemente
quando sabe que será usado um proxy de quando não está sendo usado.
Entretanto, conexões https podem não funcionar muito bem com proxy
transparente, também; não sei se este é o seu caso.


--
Eduardo Costa Lisboa

Problemas com Proxy Transparente e Internet Explorer

[Marcos]

Galera,

Quando tento navegar por algum site sempre com internet explorer, as 
vezes ganho a mensagem de proibido acesso ao cache e quando verifico o 
log do squid encontro essa mensagem:


2005/10/17 15:09:43| aclAuthenticated: authentication not applicable on 
accelerated requests.


ps: se for com o firefox  o mesmo site funciona e sem nenhuma mensagem 
de erro.


alguem sabe porque acontece??





___ 
Promoção Yahoo! Acesso Grátis: a cada hora navegada você acumula cupons e concorre a mais de 500 prêmios! Participe! http://yahoo.fbiz.com.br/



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

(OFF-TOPIC) proxy transparente

[Mateus Pedroso]

Alguém conhece algum site proxy transparente como o wproxy ?
Sds.
Mateus Pedroso

Re: Proxy transparente não funciona ou erro?????

[Agney Lopes Roth Ferraz]

amarildo,
como voce colocou o redirecionamento no iptables ?

On Sat, 2005-07-30 at 20:54 -0300, Marcos V Lazarini wrote:
> Amarildo wrote:
> 
> > Pessoal estou com um pequeno problema. Utilizo o squid como proxy 
> > transparente, ou seja, tota requisição para porta 80 ele redireciona 
> > para a do proxy que é 3128 OK?
> > Bom minhas estações funcionan com ruindows 2000 e algumas páginas so 
> > acessam quando eu coloco lá manualmente o proxy no navegador. O que vcs 
> > acham que poderia ser isso???
> 
> Será que são paginas que usam outro número de porta? :-) Apenas um chute...
> 
> As vezes a pagina está na porta 80, mas só o html - os links para imagens, 
> animacoes, etc podem vir de outro servidor que usa outra porta.
> 
> -- 
> Marcos
> 
> 
-- 
---
Agney Lopes Roth Ferraz
http://agney.linuxhome.com.br
[EMAIL PROTECTED]
Duvidas sobre debian: http://rautu.cipsga.org.br



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Proxy transparente não funciona ou er ro?????

[Marcos V Lazarini]

Amarildo wrote:

Pessoal estou com um pequeno problema. Utilizo o squid como proxy 
transparente, ou seja, tota requisição para porta 80 ele redireciona 
para a do proxy que é 3128 OK?
Bom minhas estações funcionan com ruindows 2000 e algumas páginas so 
acessam quando eu coloco lá manualmente o proxy no navegador. O que vcs 
acham que poderia ser isso???


Será que são paginas que usam outro número de porta? :-) Apenas um chute...

As vezes a pagina está na porta 80, mas só o html - os links para imagens, 
animacoes, etc podem vir de outro servidor que usa outra porta.


--
Marcos


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Proxy transparente não funciona ou erro?? ???

[Amarildo]

Pessoal estou com um pequeno problema. Utilizo o squid como proxy transparente, ou seja, tota requisição para porta 80 ele redireciona para a do proxy que é 3128 OK?Bom minhas estações funcionan com ruindows 2000 e algumas páginas so acessam quando eu coloco lá manualmente o proxy no navegador. O que vcs acham que poderia ser isso???

Atenciosamente,
Amarildo Costa de Ataide
Coordenador de Suporte da Unibratec /João Pessoa__Converse com seus amigos em tempo real com o Yahoo! Messenger http://br.download.yahoo.com/messenger/ 

Re: [FUG-BR] Proxy transparente com controle por usuário

[nunes]

com o squid vc pode autênticar, criar grupos de usuários e definir q
grupos acessa quais sites. basta ler a documentação que você verá q dá
pra fazer bastante coisa com o squid.

Em Dom, 2005-05-22 às 18:01 -0300, Alex de L. Silvestri escreveu:
> Olá Flávio.
> 
> Uma alternativa simples é você utilizar um controle por mac address. 
> Defina ACL´s de bloqueio geral para a sua rede, e outras ACL´s  
> liberando os nic dos pcs da diretoria.
> http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=605
> 
> >Em minha rede tenho o squid funcionando como proxy transparente.
> >
> >Preciso liberar a diretoria para acessar qualquer página enquanto o 
> >restante da
> >empresa tem acesso limitado a apenas alguns sites específicos.
> >
> >Li que quando se trabalha com proxy transparente náo se pode autenticar 
> >usuários,
> >certo ?
> >Ah, na minha rede estou autenticando os usuários via samba (PDC).
> >Como fazer essa integraçao entre squid (proxy transparente) + Samba + 
> >controle de
> >acesso por grupo de usuários.
> >
> >
> >
> >Desde já agradeço,
> >
> >___
> >Freebsd mailing list
> >Freebsd@fug.com.br
> >http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> >  
> >
> 
> 


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [FUG-BR] Proxy transparente com controle por usuário

[Ivan Santos]

Olá,

   Tente utilizar um software chamado ident.
   Tem para linux e windows, ele pega o usuário que está logado no
momento e passa para o squid.

quando for criar um acl, defina com o parametro (ident) arquivo de
usuarios, ou simplesmente o nome do usuário.
Ex.:
acl userBlock ident "/etc/squid/conf/regras/user.blk"
http_deny userBlock

Se preferir existe um artigo bem interessante escrito pelo Wanderson
Berbert sobre squid ident no vivaolinux.

ai vai:

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=547
-- 
Ivan Santos
LPIID: LPI61925
Tel.: (11) 8148 8860

Re: [FUG-BR] Proxy transparente com controle por usuário

[Alex de L. Silvestri]

Olá Flávio.

   Uma alternativa simples é você utilizar um controle por mac address. 
Defina ACL´s de bloqueio geral para a sua rede, e outras ACL´s  
liberando os nic dos pcs da diretoria.

   http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=605


Em minha rede tenho o squid funcionando como proxy transparente.

Preciso liberar a diretoria para acessar qualquer página enquanto o restante da
empresa tem acesso limitado a apenas alguns sites específicos.

Li que quando se trabalha com proxy transparente náo se pode autenticar 
usuários,
certo ?
Ah, na minha rede estou autenticando os usuários via samba (PDC).
Como fazer essa integraçao entre squid (proxy transparente) + Samba + controle 
de
acesso por grupo de usuários.



Desde já agradeço,

___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

 




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Proxy transparente com controle por usuário

[Flávio Barros]

Em minha rede tenho o squid funcionando como proxy transparente.

Preciso liberar a diretoria para acessar qualquer página enquanto o restante da
empresa tem acesso limitado a apenas alguns sites específicos.

Li que quando se trabalha com proxy transparente náo se pode autenticar 
usuários,
certo ?
Ah, na minha rede estou autenticando os usuários via samba (PDC).
Como fazer essa integraçao entre squid (proxy transparente) + Samba + controle 
de
acesso por grupo de usuários.



Desde já agradeço,

Re: Proxy transparente

[Igor Morgado]

Esta eh uma lista DEBIAN.. oq outras distros fazem aqui?

Por favor sejamos FOCADOS.


On Tue, 15 Mar 2005 09:19:02 -0300, Evaldo (Bol) <[EMAIL PROTECTED]> wrote:
>  
>  
> 
> Uso o squid como proxy no meu servidor linux RH, está tudo funcionando, mas
> eu gostaria de poder estar 
> navegando sem precisar configurar o proxy do Internet Explorer... Gostaria
> que fosse totalmente transparente. 
> 
> Abraços 
> 
> Evaldo Pires Moraes
>  
>  Suporte Técnico
>  [EMAIL PROTECTED]
>  ( Fone: (011) 6194-2390
>  http://www.exitosolution.com.br
>  Rua. Antonio de Barros, 2459 - CEP.: 03401-001 - São Paulo 
>  
> 
> 


-- 
Quando eu falar pra você RTFM, não fique chorando.
Vá até o google, e faça a mesma pergunta.

Antes de perguntar leia:
http://focalinux.cipsga.org.br/
http://debian-br.alioth.debian.org/view.php?doc=pratico
http://debian-br.alioth.debian.org/view.php?doc=apt-howto

Re: Proxy transparente

[Daniel]

Title: Proxy transparente



Esqueci tb de mencionar que precisa configurar o 
squid pra ser transparente, mas tá na lista tb... :-)

  - Original Message - 
  From: 
  Daniel 
  
  To: debian-user-portuguese@lists.debian.org 
  
  Sent: Tuesday, March 15, 2005 10:17 
  AM
  Subject: Re: Proxy transparente
  
  Se for no mesmo servidor é simples, é só 
  redirecionar toda a saída da porta 80 e as demais que vc quiser para a porta 
  do seu squid... 
  procure no histórico da lista que tem um passo a 
  passo que vi outro dia...
   
  []'s
   
  daniel
  
- Original Message - 
From: 
Evaldo (Bol) 

To: debian-user-portuguese@lists.debian.org 

Sent: Tuesday, March 15, 2005 9:19 
AM
Subject: [inbox] Proxy 
transparente

Uso o squid como proxy no meu servidor linux RH, 
está tudo funcionando, mas eu gostaria de poder estar navegando sem precisar configurar o proxy do Internet 
Explorer... Gostaria que fosse totalmente transparente. 
Abraços 
Evaldo Pires 
MoraesSuporte Técnico*[EMAIL PROTECTED]( Fone: 
(011) 6194-2390http://www.exitosolution.com.brRua. 
Antonio de Barros, 2459 - CEP.: 03401-001 - São 
  Paulo

Re: Proxy transparente

[Daniel]

Title: Proxy transparente



Se for no mesmo servidor é simples, é só 
redirecionar toda a saída da porta 80 e as demais que vc quiser para a porta do 
seu squid... 
procure no histórico da lista que tem um passo a 
passo que vi outro dia...
 
[]'s
 
daniel

  - Original Message - 
  From: 
  Evaldo (Bol) 
  
  To: debian-user-portuguese@lists.debian.org 
  
  Sent: Tuesday, March 15, 2005 9:19 
  AM
  Subject: [inbox] Proxy transparente
  
  Uso o squid como proxy no meu servidor linux RH, 
  está tudo funcionando, mas eu gostaria de poder estar navegando sem precisar configurar o proxy do Internet 
  Explorer... Gostaria que fosse totalmente transparente. 
  Abraços 
  
  Evaldo Pires 
  MoraesSuporte Técnico*[EMAIL PROTECTED]( Fone: 
  (011) 6194-2390http://www.exitosolution.com.brRua. 
  Antonio de Barros, 2459 - CEP.: 03401-001 - São 
Paulo

Proxy transparente

[Evaldo (Bol)]

Title: Proxy transparente







Uso o squid como proxy no meu servidor linux RH, está tudo funcionando, mas eu gostaria de poder estar 

navegando sem precisar configurar o proxy do Internet Explorer... Gostaria que fosse totalmente transparente.


Abraços 

Evaldo Pires Moraes

Suporte Técnico
*[EMAIL PROTECTED]
( Fone: (011) 6194-2390
http://www.exitosolution.com.br
Rua. Antonio de Barros, 2459 - CEP.: 03401-001 - São Paulo

Re: não consigo fazer um proxy transparente... :-(

[Daniel]

Não funciona não... o duro é saber se é a regra que 
está errada ou se o proxy é que não está funcionando de forma transparente... 
vou continuar batendo cabeça aqui, quem sabe... :-)
 
mas obrigado pela ajuda Carlos ... se alguém tiver 
mais alguma idéia, agradeço tb...

  - Original Message - 
  From: 
  Carlos Henrique 
  To: Lista de discussão 
  
  Sent: Tuesday, March 08, 2005 3:40 
  PM
  Subject: [inbox] Re: não consigo fazer um 
  proxy transparente... :-(
  
  Putz!!! Esqueci de mudar!!! :$
   
  Foi mal é q aqui tá na mesma máquina...  
  
   
  Mas vê se funciona mudando...
   
  Vlw...
  
Mas acontece que o squid está em outra máquina, 
da forma que vc me indicou eu estou redirecionando a porta para a mesma 
máquina do firewall que nào tem o squid...
 
mas vou tentar alterar a ordem das linhas 
do squid pelo menos e ver no que dá... 
 
de qualquer forma, grato... :-)
 
Daniel

  - Original Message - 
  From: 
  Carlos Henrique 
  To: Lista de 
  discussão 
  Sent: Tuesday, March 08, 2005 3:08 
  PM
  Subject: [inbox] Re: não consigo 
  fazer um proxy transparente... :-(
  
  >Pessoal, não consigo fazer um proxy transparente na minha 
  rede...
  >eis minha situação: tenho um servidor firewall com duas placas de 
  rede e um SNAT fazendo a distribuição >da internet... montei um 
  servidor proxy com o squid em outra máquina e coloquei o browser pra 
  procurar >o proxy e funcionou certinho, os bloqueios dos sites e tudo 
  mais...
  >aí resolvi fazer o redirecionamento no firewall para o squid com 
  a regra
   
  >iptables -t nat -A PREROUTING  -p tcp -i eth1 -s 
  192.168.0.0/24>--dport 80 -j  DNAT --to 
  192.168.0.200:3128
   
  Substitua essa linha por essa:
   
  iptables -t nat -A PREROUTING -i eth1 -p 
  tcp -s 192.168.0.0/24 --dport 80 -jREDIRECT --to-port 
  3128
  
  >e coloquei no squid.conf a opção
   
  ># confguracao para funcionamento do proxy 
  transparente>httpd_accel_host virtual>httpd_accel_port 80 
  443>httpd_accel_with_proxy on>httpd_accel_uses_host_header 
  on
   
  no meu tá assim:
  httpd_accel_port 
  80  # repare que não tem 
  443httpd_accel_host virtualhttpd_accel_with_proxy 
  onhttpd_accel_uses_host_header on
   
  >e reiniciei o squid...
   
  >agora quando rodei as regras do firewall a internet para... mas 
  se eu coloco o browser com as >configurações do proxy, funciona 
  normal...
   
  Depois que coloquei as linhas nesse formato 
  no squid.conf e no arquivo do iptables resolveu isso.
   
  >alguém sabe se a regra está errada ou se tem como testar se o 
  proxy está habilitado pra funcionar de >modo transparente?
   
  >Grato desde já
   
  >Daniel
   
  Vlw Daniel!
   
  >__>Converse 
  com seus amigos em tempo real com o Yahoo! Messenger 
  >http://br.download.yahoo.com/messenger/ 
  

Re: não consigo fazer um proxy transparente... :-(

[Carlos Henrique]

Putz!!! Esqueci de mudar!!! :$
 
Foi mal é q aqui tá na mesma máquina...  

 
Mas vê se funciona mudando...
 
Vlw...

  Mas acontece que o squid está em outra máquina, 
  da forma que vc me indicou eu estou redirecionando a porta para a mesma 
  máquina do firewall que nào tem o squid...
   
  mas vou tentar alterar a ordem das linhas do 
  squid pelo menos e ver no que dá... 
   
  de qualquer forma, grato... :-)
   
  Daniel
  
- Original Message - 
From: 
Carlos Henrique 
To: Lista de discussão 

Sent: Tuesday, March 08, 2005 3:08 
PM
Subject: [inbox] Re: não consigo fazer 
um proxy transparente... :-(

>Pessoal, não consigo fazer um proxy transparente na minha 
rede...
>eis minha situação: tenho um servidor firewall com duas placas de 
rede e um SNAT fazendo a distribuição >da internet... montei um servidor 
proxy com o squid em outra máquina e coloquei o browser pra procurar >o 
proxy e funcionou certinho, os bloqueios dos sites e tudo mais...
>aí resolvi fazer o redirecionamento no firewall para o squid com a 
regra
 
>iptables -t nat -A PREROUTING  -p tcp -i eth1 -s 
192.168.0.0/24>--dport 80 -j  DNAT --to 192.168.0.200:3128
 
Substitua essa linha por essa:
 
iptables -t nat -A PREROUTING -i eth1 -p 
tcp -s 192.168.0.0/24 --dport 80 -jREDIRECT --to-port 
3128

>e coloquei no squid.conf a opção
 
># confguracao para funcionamento do proxy 
transparente>httpd_accel_host virtual>httpd_accel_port 80 
443>httpd_accel_with_proxy on>httpd_accel_uses_host_header 
on
 
no meu tá assim:
httpd_accel_port 
80  # repare que não tem 
443httpd_accel_host virtualhttpd_accel_with_proxy 
onhttpd_accel_uses_host_header on
 
>e reiniciei o squid...
 
>agora quando rodei as regras do firewall a internet para... mas se 
eu coloco o browser com as >configurações do proxy, funciona 
normal...
 
Depois que coloquei as linhas nesse formato no 
squid.conf e no arquivo do iptables resolveu isso.
 
>alguém sabe se a regra está errada ou se tem como testar se o proxy 
está habilitado pra funcionar de >modo transparente?
 
>Grato desde já
 
>Daniel
 
Vlw Daniel!
 
>__>Converse 
com seus amigos em tempo real com o Yahoo! Messenger 
>http://br.download.yahoo.com/messenger/ 

Re: não consigo fazer um proxy transparente... :-(

[Daniel]

Mas acontece que o squid está em outra máquina, da 
forma que vc me indicou eu estou redirecionando a porta para a mesma máquina do 
firewall que nào tem o squid...
 
mas vou tentar alterar a ordem das linhas do 
squid pelo menos e ver no que dá... 
 
de qualquer forma, grato... :-)
 
Daniel

  - Original Message - 
  From: 
  Carlos Henrique 
  To: Lista de discussão 
  
  Sent: Tuesday, March 08, 2005 3:08 
  PM
  Subject: [inbox] Re: não consigo fazer um 
  proxy transparente... :-(
  
  >Pessoal, não consigo fazer um proxy transparente na minha 
  rede...
  >eis minha situação: tenho um servidor firewall com duas placas de 
  rede e um SNAT fazendo a distribuição >da internet... montei um servidor 
  proxy com o squid em outra máquina e coloquei o browser pra procurar >o 
  proxy e funcionou certinho, os bloqueios dos sites e tudo mais...
  >aí resolvi fazer o redirecionamento no firewall para o squid com a 
  regra
   
  >iptables -t nat -A PREROUTING  -p tcp -i eth1 -s 
  192.168.0.0/24>--dport 80 -j  DNAT --to 192.168.0.200:3128
   
  Substitua essa linha por essa:
   
  iptables -t nat -A PREROUTING -i eth1 -p tcp 
  -s 192.168.0.0/24 --dport 80 -jREDIRECT --to-port 3128
  
  >e coloquei no squid.conf a opção
   
  ># confguracao para funcionamento do proxy 
  transparente>httpd_accel_host virtual>httpd_accel_port 80 
  443>httpd_accel_with_proxy on>httpd_accel_uses_host_header 
  on
   
  no meu tá assim:
  httpd_accel_port 80  
  # repare que não tem 443httpd_accel_host virtualhttpd_accel_with_proxy 
  onhttpd_accel_uses_host_header on
   
  >e reiniciei o squid...
   
  >agora quando rodei as regras do firewall a internet para... mas se eu 
  coloco o browser com as >configurações do proxy, funciona normal...
   
  Depois que coloquei as linhas nesse formato no 
  squid.conf e no arquivo do iptables resolveu isso.
   
  >alguém sabe se a regra está errada ou se tem como testar se o proxy 
  está habilitado pra funcionar de >modo transparente?
   
  >Grato desde já
   
  >Daniel
   
  Vlw Daniel!
   
  >__>Converse 
  com seus amigos em tempo real com o Yahoo! Messenger 
  >http://br.download.yahoo.com/messenger/ 

Re: não consigo fazer um proxy transparente... :-(

[Carlos Henrique]

>Pessoal, não consigo fazer um proxy transparente na minha rede...
>eis minha situação: tenho um servidor firewall com duas placas de rede 
e um SNAT fazendo a distribuição >da internet... montei um servidor proxy com 
o squid em outra máquina e coloquei o browser pra procurar >o proxy e 
funcionou certinho, os bloqueios dos sites e tudo mais...
>aí resolvi fazer o redirecionamento no firewall para o squid com a 
regra
 
>iptables -t nat -A PREROUTING  -p tcp -i eth1 -s 
192.168.0.0/24>--dport 80 -j  DNAT --to 192.168.0.200:3128
 
Substitua essa linha por essa:
 
iptables -t nat -A PREROUTING -i eth1 -p tcp 
-s 192.168.0.0/24 --dport 80 -jREDIRECT --to-port 3128

>e coloquei no squid.conf a opção
 
># confguracao para funcionamento do proxy 
transparente>httpd_accel_host virtual>httpd_accel_port 80 
443>httpd_accel_with_proxy on>httpd_accel_uses_host_header 
on
 
no meu tá assim:
httpd_accel_port 80  # 
repare que não tem 443httpd_accel_host virtualhttpd_accel_with_proxy 
onhttpd_accel_uses_host_header on
 
>e reiniciei o squid...
 
>agora quando rodei as regras do firewall a internet para... mas se eu 
coloco o browser com as >configurações do proxy, funciona normal...
 
Depois que coloquei as linhas nesse formato no 
squid.conf e no arquivo do iptables resolveu isso.
 
>alguém sabe se a regra está errada ou se tem como testar se o proxy 
está habilitado pra funcionar de >modo transparente?
 
>Grato desde já
 
>Daniel
 
Vlw Daniel!
 
>__>Converse com 
seus amigos em tempo real com o Yahoo! Messenger 
>http://br.download.yahoo.com/messenger/