Prezados,
Não entendi isso:
- no firewall
ipfw add allow tcp from <ip_proxy> to any 80 # evita loop
Qual o <ip_proxy> ? O interno (NAT) ou da placa de rede que sai pra
internet?
-------Mensagem original-------
De: Vitor Renato Alves de Brito
Data: 08/09/05 09:44:56
Para: Lista de discussao do grupo FUG-BR
Assunto: Re: [FUG-BR] Proxy Transparente
Olá,
Tem que colocar isto no freebsd que tem o squid rodando:
- no /etc/sysctl.conf
net.inet.ip.forwarding=1
- no firewall
ipfw add allow tcp from <ip_proxy> to any 80 # evita loop
ipfw add fwd <ip_proxy>,3128 tcp from <rede/mask> to any 80
- compilar o squid para fazer proxy transparente:
... --enable-ipf-transparent ...
- se eu nao me engano tem que fazer o gateway dos seus clientes ser o
proxy, ou o servidor que é gateway dos seus clientes ter o proxy como
gateway.
Falou.
On Mon, 8 Aug 2005, Joao Rocha Braga Filho wrote:
> On 8/8/05, André Luiz dos Reis <[EMAIL PROTECTED]> wrote:
> > Caro amigo,
> >
> > O servidor proxy ja esta funcionando, so quero fazer meu trafego passar
por ele, mas de uma forma transparente para meus usuarios.
>
> O meu segudo e-mail é sobre a regra do firewall para isto.
>
> O proxy transparente tem, se não me engano, um ítem diferente de
> configuração. De qualquer forma, está no meu primeiro e-mail.
>
> Sugiro colocar a seguinte regra.
>
> ipfw add <número> deny from any to me 3128 via <interface de entrada>
>
> Isto evita engraçadinhos de fora tentarem qualquer besteira com o seu
> proxy.
>
>
> João Rocha.
>
>
> >
> > Grato
> >
> > =================
> > André Luiz dos Reis
> > [EMAIL PROTECTED]
> > [EMAIL PROTECTED]
> > [EMAIL PROTECTED]
> > ==================
> > ----- Original Message -----
> > From: Joao Rocha Braga Filho
> > To: Lista de discussao do grupo FUG-BR
> > Sent: Monday, August 08, 2005 10:57 PM
> > Subject: Re: [FUG-BR] Proxy Transparente
> >
> >
> > Tirado de um backup do meu Palm.
> >
> > "
> > Configuração do squid para proxy transparente
> >
> > Criar usuário e grupo squid, e depois modificar no /usr/local/etc/squid
conf
> > (A dica é velha, o FreeBSD já faz a parte acima.)
> >
> > Talvez: cache_mem 16 MB
> >
> > cache_dir ufs /home/squid/cache 2000 16 256
> > No lugar do 2000 é o tamanho da cache. Também colocar o diretório
adequado.
> >
> > Talvez modificar: cache_access_log, cache_log, cache_store_log,
pid_filename
> > (Acima é a seu gosto. O default já é bom.)
> >
> > Fazer:
> > redirect_rewrites_host_header off
> >
> > Depois dos acl's defaults, colocar:
> >
> > acl nome src rede/mascara
> > acl ataque_NT_def urlpath_regex -i default.ida
> > acl ataque_NT_cmd urlpath_regex -i cmd.exe
> > acl ataque_NT_root urlpath_regex -i root.exe
> >
> >
> > E depois do "# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
> > CLIENTS" colocar:
> >
> > http_access deny ataque_NT_def
> > http_access deny ataque_NT_cmd
> > http_access deny ataque_NT_root
> > http_access allow nome
> >
> > http_access allow localhost
> >
> > Modificar: cache_mgr
> >
> > Trocar cache_effective_user e cache_effective_group para:
> >
> > cache_effective_user squid
> > cache_effective_group squid
> > (Acho que agora isto já é o default)
> >
> > trocar httpd_accel_host virtual e httpd_accel_port para:
> >
> > httpd_accel_host virtual
> > httpd_accel_port 80
> >
> > Talvez precise:
> > httpd_accel_with_proxy on
> >
> > Modificar: httpd_accel_uses_host_header on
> >
> > Modificar: ie_refresh on
> > (A M$ tinha que fazer besteira. Eu assisti o que acontece.)
> > "
> >
> >
> > Acho melhor eu fazer um how to e disponibilizar.
> >
> >
> > Boa sorte,
> > João Rocha.
> >
> >
> > On 8/8/05, André Luiz dos Reis <[EMAIL PROTECTED]> wrote:
> > > Oi pessoal,
> > >
> > >
> > > Tenho a seguinte situaçao abaixo.
> > >
> > >
> > >
> > > Preciso direcionar o trafego de todos meu clientes para passar no
proxy, mas de uma forma transparente. Ja tentei varias soluçoes que
encontrei nos sites de manual. Por gentileza, alguem pode me dar uma luz?
Quais as regras devo adicionar no firewall que recebe meus clientes? Tem
mais algo a fazer? adicionar alguma regra no proxy.
> > >
> > >
> > >
> > > Grato pela ajuda
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > > _______________________________________________
> > > Freebsd mailing list
> > > Freebsd@fug.com.br
> > > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> > >
> >
> >
> > --
> > [EMAIL PROTECTED]
> > [EMAIL PROTECTED]
> > http://www.goffredo.eti.br
> >
> > _______________________________________________
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
> >
> >
> > --
> > No virus found in this incoming message.
> > Checked by AVG Anti-Virus.
> > Version: 7.0.338 / Virus Database: 267.10.2/65 - Release Date:
07/08/2005
> >
> > _______________________________________________
> > Freebsd mailing list
> > Freebsd@fug.com.br
> > http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> >
>
>
> --
> [EMAIL PROTECTED]
> [EMAIL PROTECTED]
> http://www.goffredo.eti.br
>
> _______________________________________________
> Freebsd mailing list
> Freebsd@fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
>
>
>
> ---
> Esta mensagem foi verificada pelo e-mail protegido Arte Final
> Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 8-Ago-2005
> Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
>
Até mais,
---
Vitor Renato Alves de Brito - System Manager
Arte Final Provedor Internet - http://www.artefinal.com.br
Alfenas - Sul de Minas Gerais
---
Esta mensagem foi verificada pelo e-mail protegido Arte Final
Antivírus: F-Prot / Versão: 4.4.7 / Atualizado em: 8-Ago-2005
Proteja o seu e-mail com a Arte Final - http://www.artefinal.com.br
_______________________________________________
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
_______________________________________________
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
