Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Enio Marconcini # www.Enio.Pro.Br escreveu:
> 2010/6/21 Welkson Renny de Medeiros
>
>
>> Welkson Renny de Medeiros escreveu:
>>
>>> Fiz a pergunta no fórum internacional... vamos ver no que vai dar:
>>> http://forums.freebsd.org/showthread.php?t=15218
>>>
>>> "Ingrês" altamente fuleragem =
>>>
>> Pessoal,
>>
>> Ainda continuo levando surra do rdr (pf) e squid transparente em
>> máquinas separadas.
>> http://forums.freebsd.org/showthread.php?t=15218
>>
>> Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega
>> certinho no servidor do proxy (monitorando via tcpdump), mas não
>> navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o
>> NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do
>> cliente).
>>
>> Sejam solidários nesse meu sofrimento k
>>
>> --
>> Welkson Renny de Medeiros
>> Desenvolvimento / Gerência de Redes
>> Focus Automação Comercial
>> FreeBSD Community Member
>>
>>
>
>
> bom aqui eu tenho um gateway com o freebsd, ele cuida das conexões de
> diversos usuários da empresa, porém o banco de dados está em outro servidor,
> eu uso apenas um RDR pra redirecionar as conexões sem fazer nat
>
> tipo:
>
> ip_banco = "192.168.1.1"
> table { 10.1.1.0/24 }
>
> rdr on $nic_X inet proto tcp from to any port 3050 ->
> $ip_banco
>
>
> quando eu analiso (com netstat mesmo) no server com o banco de dados,
> aparece as conexções dos ips 10.1.1.X vinda dos clientes, nada de nat... é
> claro, o server com banco de dados sabe como alcançar a rede 10.1.1.X
>
> voltando pro lado do squidão, vi um amigo fazer uns testes com um cenário
> parecido, , ele tinha um server separado que era o proxy/cache, usando linux
> em ambos, lembro que ele usou o iptables, nateou as conexões, e chegou o IP
> do gateway no servidor cache, e não o IP dos clientes neste caso a acl
> redes_liberadas dele teve que ser substituida apenas pelo IP do gateway,
> assim o squid aceitava conexões daquele ip
>
Enio,
O problema é que tenho DEZENAS de acl's por IP, etc... sem falar do
Dansguardian... o ip poderia até pode chegar errado no proxy, mas o
X_FORWARDFOR não! Se nessa variável estivesse correto, eu ativaria a
configuração de log's e acl's para usar xforwardfor, e não IP de
origem... o problema é que até essa variável está indo errado =( (para
ver o xfowardfor -> http://pgl.yoyo.org/http/browser-headers.php)
Esse ambiente de IP único chegando ao squid pra mim não funciona... tem
que vir o ip correto.
Estou certo (e já li em vários lugares) que a forma recomendada de
trabalhar é separar serviços do firewall, por isso decidi fazer... hoje
meu servidor tem quase 20 serviços, tudo junto com o firewall, controle
de banda... etc... quando preciso fazer um reboot, derrubo quase 100
pessoas, ferro banco de dados, etc... quero diminuir esse risco!
Quando comecei a separar o proxy do gateway eu sabia que teria algumas
dificuldades (exatamente com isso), mas pensei que muitas pessoas da
comunidade teriam servidores instalados da MESMA FORMA... e que eu
encontraria ajuda sem muitos problemas... =(
Ou eu não estou sabendo passar o problema (não acredito ser o caso, tem
detalhes até demais =), ou realmente a galera instala tudo em um
servidor só! =(
Enfim, continuo aqui na batalha! Espero em breve dar a boa notícia pra
vocês! E dessa vez vou escrever um artigo COMPLETO, sobre como instalar
SQUID, Dansguardian, com Proxy Transparente e em servidores separados =)
Abraço,
--
Welkson Renny de Medeiros
Desenvolvimento / Gerência de Redes
Focus Automação Comercial
FreeBSD Community Member
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
2010/6/21 Welkson Renny de Medeiros
> Welkson Renny de Medeiros escreveu:
> > Fiz a pergunta no fórum internacional... vamos ver no que vai dar:
> > http://forums.freebsd.org/showthread.php?t=15218
> >
> > "Ingrês" altamente fuleragem =
>
> Pessoal,
>
> Ainda continuo levando surra do rdr (pf) e squid transparente em
> máquinas separadas.
> http://forums.freebsd.org/showthread.php?t=15218
>
> Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega
> certinho no servidor do proxy (monitorando via tcpdump), mas não
> navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o
> NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do
> cliente).
>
> Sejam solidários nesse meu sofrimento k
>
> --
> Welkson Renny de Medeiros
> Desenvolvimento / Gerência de Redes
> Focus Automação Comercial
> FreeBSD Community Member
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
bom aqui eu tenho um gateway com o freebsd, ele cuida das conexões de
diversos usuários da empresa, porém o banco de dados está em outro servidor,
eu uso apenas um RDR pra redirecionar as conexões sem fazer nat
tipo:
ip_banco = "192.168.1.1"
table { 10.1.1.0/24 }
rdr on $nic_X inet proto tcp from to any port 3050 ->
$ip_banco
quando eu analiso (com netstat mesmo) no server com o banco de dados,
aparece as conexções dos ips 10.1.1.X vinda dos clientes, nada de nat... é
claro, o server com banco de dados sabe como alcançar a rede 10.1.1.X
voltando pro lado do squidão, vi um amigo fazer uns testes com um cenário
parecido, , ele tinha um server separado que era o proxy/cache, usando linux
em ambos, lembro que ele usou o iptables, nateou as conexões, e chegou o IP
do gateway no servidor cache, e não o IP dos clientes neste caso a acl
redes_liberadas dele teve que ser substituida apenas pelo IP do gateway,
assim o squid aceitava conexões daquele ip
--
ENIO RODRIGO MARCONCINI
gtalk: eni...@gmail.com
skype: eniorm
msn: /dev/null
.: FreeBSD -:- OpenBSD -:-Slackware Linux :.
Have trouble with Windows - reboot!
Have trouble with Unix - be root!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu: > Fiz a pergunta no fórum internacional... vamos ver no que vai dar: > http://forums.freebsd.org/showthread.php?t=15218 > > "Ingrês" altamente fuleragem = Pessoal, Ainda continuo levando surra do rdr (pf) e squid transparente em máquinas separadas. http://forums.freebsd.org/showthread.php?t=15218 Esse tal de "DBI" sugeriu algumas coisas... fiz... o pacote chega certinho no servidor do proxy (monitorando via tcpdump), mas não navega... vou no firewall, ativo o NAT, o proxy funciona normal... mas o NAT bagunça o ip de origem (no access.log aparece o ip do gw, e não do cliente). Sejam solidários nesse meu sofrimento k -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu: > Senhores, > > Já não sei mais o que testar... seguindo o material do Giese, fiz a > alteração no firewall para fazer fwd da porta 80 para o servidor de > proxy, o qual recebia e fazia outro fwd para a porta do proxy... > > Não funcionou nada... ativei o NAT, funcionou perfeito... mas no > access.log, aparecia o ip do gateway... > > Fiz o teste que o Tiago sugeriu... uma nova rede... mesma coisa... só > funciona quando ativo o NAT... e quando ativo mostra o ip do gateway, e > não do terminal que está tentando acessar a página. > > Já li tantos artigos do Google que estou tonto rsrs sem sucesso! > > Mais alguma dica? > > Fiz a pergunta no fórum internacional... vamos ver no que vai dar: http://forums.freebsd.org/showthread.php?t=15218 "Ingrês" altamente fuleragem =) -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu: > Rafael Rodrigues de Oliveira escreveu: > >> cara você já deve ter visto mas tem um exemplo aqui com IPFW >> >> http://free.bsd.com.br/noticia.php3?CAD=1&NOT=15 >> > > Grande Rafael, blz? > > Tinha visto esse link (acho que Alessandro mandou pelo GTalk)... meu NAT > é todo em cima de PF... IPFW uso só para controle de banda... > > De qualquer forma nesse momento estou recompilando o kernel do servidor > de proxy, vacilei e esqueci de incluir o módulo de pf... > > Converti as regras para PF, testando... qualquer novidade eu posto. > > Obrigado meu amigo Senhores, Já não sei mais o que testar... seguindo o material do Giese, fiz a alteração no firewall para fazer fwd da porta 80 para o servidor de proxy, o qual recebia e fazia outro fwd para a porta do proxy... Não funcionou nada... ativei o NAT, funcionou perfeito... mas no access.log, aparecia o ip do gateway... Fiz o teste que o Tiago sugeriu... uma nova rede... mesma coisa... só funciona quando ativo o NAT... e quando ativo mostra o ip do gateway, e não do terminal que está tentando acessar a página. Já li tantos artigos do Google que estou tonto rsrs sem sucesso! Mais alguma dica? -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Nesse caso vc tem que colocar o proxy numa faixa diferente, ou ele vai tentar responder direto pra maquina que inicialmente solicitou a pagina, o que naum funciona. Coloca uma nova faixa entre o proxy e o fw, que ai vai funfar. Abraços Em Qua, 2010-06-16 às 15:25 -0300, Welkson Renny de Medeiros escreveu: > Welkson Renny de Medeiros escreveu: > > Welkson Renny de Medeiros escreveu: > > > >> Pessoal, > >> > >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o > >> cabeçalho do ip, mudando o ip de origem (source)? > >> > >> Vou tentar explicar melhor: > >> > >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site > >> na porta 80... o gateway intercepta (192.168.0.254) faz o NAT e > >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP > >> que chega na 250 vai está 0.200 ou 0.254 como origem/source? > >> > >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso > >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem > >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem > >> no pacote? > >> > > > > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a > > conexão chega ao 250, já chega com o ip do servidor que fez o NAT > > (afinal NAT serve pra isso mesmo). > > > > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao > > servidor de proxy (monitorei lá também com tcpdump) com o IP correto, > > mas não funciona... testei também com reply... sem sucesso! > > > > Estava lendo esse artigo: > > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html > > > > Onde tem "Caveats and gotchas" diz o seguinte: > > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't > > also the traffic interceptor. You can correct this by using destination > > NAT instead of packet redirection, and making sure the proxy routes all > > traffic back through the intercepting box, including traffic to its > > clients. (Alternatively, ensure that the proxy is the intercepting box.)" > > > > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? > > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no > > rc.conf, etc... tudo OPEN). > > > > Sugestões? > > > > > > Eita... pequena correção: onde tem "Eu teria que usar PROXY também no > servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY". > > Meu inglês técnico para leitura é muito bom... mas na hora de > escrever =( mas vai ser o jeito eu fazer uma pergunta lá no fórum > internacional do freebsd... já falei com vários amigos pelo Talk e não > consigo achar solução para essa bronca... Fazia tempo que eu não levava > uma surra dessas no BSD =) > > Vou continuar na batalha! abraço a todos! > signature.asc Description: Esta é uma parte de mensagem assinada digitalmente - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
cara você já deve ter visto mas tem um exemplo aqui com IPFW http://free.bsd.com.br/noticia.php3?CAD=1&NOT=157 Em 16 de junho de 2010 15:25, Welkson Renny de Medeiros < welk...@focusautomacao.com.br> escreveu: > Welkson Renny de Medeiros escreveu: > > Welkson Renny de Medeiros escreveu: > > > >> Pessoal, > >> > >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o > >> cabeçalho do ip, mudando o ip de origem (source)? > >> > >> Vou tentar explicar melhor: > >> > >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site > >> na porta 80... o gateway intercepta (192.168.0.254) faz o NAT e > >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP > >> que chega na 250 vai está 0.200 ou 0.254 como origem/source? > >> > >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso > >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem > >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem > >> no pacote? > >> > > > > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a > > conexão chega ao 250, já chega com o ip do servidor que fez o NAT > > (afinal NAT serve pra isso mesmo). > > > > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao > > servidor de proxy (monitorei lá também com tcpdump) com o IP correto, > > mas não funciona... testei também com reply... sem sucesso! > > > > Estava lendo esse artigo: > > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html > > > > Onde tem "Caveats and gotchas" diz o seguinte: > > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't > > also the traffic interceptor. You can correct this by using destination > > NAT instead of packet redirection, and making sure the proxy routes all > > traffic back through the intercepting box, including traffic to its > > clients. (Alternatively, ensure that the proxy is the intercepting box.)" > > > > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? > > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no > > rc.conf, etc... tudo OPEN). > > > > Sugestões? > > > > > > Eita... pequena correção: onde tem "Eu teria que usar PROXY também no > servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY". > > Meu inglês técnico para leitura é muito bom... mas na hora de > escrever =( mas vai ser o jeito eu fazer uma pergunta lá no fórum > internacional do freebsd... já falei com vários amigos pelo Talk e não > consigo achar solução para essa bronca... Fazia tempo que eu não levava > uma surra dessas no BSD =) > > Vou continuar na batalha! abraço a todos! > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Rafael Rodrigues de Oliveira Jesus Christ's Blood Purifies Us of All Sin Linux #357492 / FreeBSD #BSD051202 CISCO CCNA Loading .ılı..ılı. http://lmgtfy.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu: > Welkson Renny de Medeiros escreveu: > >> Pessoal, >> >> Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o >> cabeçalho do ip, mudando o ip de origem (source)? >> >> Vou tentar explicar melhor: >> >> Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site >> na porta 80... o gateway intercepta (192.168.0.254) faz o NAT e >> depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP >> que chega na 250 vai está 0.200 ou 0.254 como origem/source? >> >> Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso >> (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem >> fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem >> no pacote? >> > > Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a > conexão chega ao 250, já chega com o ip do servidor que fez o NAT > (afinal NAT serve pra isso mesmo). > > Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao > servidor de proxy (monitorei lá também com tcpdump) com o IP correto, > mas não funciona... testei também com reply... sem sucesso! > > Estava lendo esse artigo: > http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html > > Onde tem "Caveats and gotchas" diz o seguinte: > "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't > also the traffic interceptor. You can correct this by using destination > NAT instead of packet redirection, and making sure the proxy routes all > traffic back through the intercepting box, including traffic to its > clients. (Alternatively, ensure that the proxy is the intercepting box.)" > > Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? > (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no > rc.conf, etc... tudo OPEN). > > Sugestões? > > Eita... pequena correção: onde tem "Eu teria que usar PROXY também no servidor proxy" leia "Eu teria que usar NAT também no servidor PROXY". Meu inglês técnico para leitura é muito bom... mas na hora de escrever =( mas vai ser o jeito eu fazer uma pergunta lá no fórum internacional do freebsd... já falei com vários amigos pelo Talk e não consigo achar solução para essa bronca... Fazia tempo que eu não levava uma surra dessas no BSD =) Vou continuar na batalha! abraço a todos! -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu: > Pessoal, > > Uma dúvida "teórica"... quando faço o NAT na porta 80 ele altera o > cabeçalho do ip, mudando o ip de origem (source)? > > Vou tentar explicar melhor: > > Tenho uma máquina com Windows XP (192.168.0.200), tento acessar um site > na porta 80... o gateway intercepta (192.168.0.254) faz o NAT e > depois o RDR para a máquina 192.168.0.250 (proxy)... no cabeçalho do IP > que chega na 250 vai está 0.200 ou 0.254 como origem/source? > > Talvez seja esse meu problema... eu acho que o NAT faz exatamente isso > (vou tentar investigar com tcpdump)... teria como fazer esse RDR sem > fazer NAT? (redirecionar tráfego da porta 80 sem alterar nada/ip origem > no pacote? Investiguei com TCPDUMP... e realmente ocorre como pensei... quando a conexão chega ao 250, já chega com o ip do servidor que fez o NAT (afinal NAT serve pra isso mesmo). Fiz alguns testes sem NAT, usando route-to do pf... a conexão chega ao servidor de proxy (monitorei lá também com tcpdump) com o IP correto, mas não funciona... testei também com reply... sem sucesso! Estava lendo esse artigo: http://missingmanuals.com/pub/a/linux/2001/10/25/transparent_proxy.html Onde tem "Caveats and gotchas" diz o seguinte: "You can LOSE THE SOURCE ADDRESS of the request if the proxy box isn't also the traffic interceptor. You can correct this by using destination NAT instead of packet redirection, and making sure the proxy routes all traffic back through the intercepting box, including traffic to its clients. (Alternatively, ensure that the proxy is the intercepting box.)" Eu teria que usar proxy TAMBÉM no servidor proxy ou entendi errado? (nesse servidor proxy não tenho nada ativo... NAT, firewall, gateway no rc.conf, etc... tudo OPEN). Sugestões? -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT?] Firewall em uma máquina, Squid em outra (transparente) - QUASE MALUCO! =)
Welkson Renny de Medeiros escreveu:
> Welkson Renny de Medeiros escreveu:
>
>> Alessandro de Souza Rocha escreveu:
>>
>>
>>> da uma olhada.
>>> http://www.free.bsd.com.br/noticia.php3?CAD=1&NOT=159
>>>
>>>
>>>
>> Alessandro,
>>
>> Como expliquei pelo Talk... eu fiz testes com essa solução e outras que
>> encontrei...
>>
>> Funciona tudo perfeito.. navego normalmente e vejo o proxy funcionando (tail
>> -f acccess.log)... o problema é que no access.log aparece o IP do GATEWAY e
>> não do terminal que está usando a net.
>>
>> Já procurei MUITA coisa na net... já li a documentação do squid, testei
>> (x_forward_for, entre outras)... sem sucesso... fiz testes com squid 2.6 e
>> 2.7... decidi então compilar o mais atual (3.1)... tive que adaptar algumas
>> coisas on squid.conf, mas consegui levantar o serviço... mas o mesmo erro
>> ocorre (compilei com pf+transp, x_fowardfor, etc).
>>
>> Acredito ser uma boa prática instalar o proxy em uma máquina DIFERENTE do
>> gateway... alguém deve ter ambiente parecido funcionando... se postar o
>> squid.conf e o trecho do pf.conf que faz o rdr já me ajuda muito.
>>
>> Help-me!!!
>>
>>
>
> Encontrei alguma coisa, mas pra Linux... abaixo estou postando as regras
> (adaptei de acordo com o pouco que conheço de IPGambiTables =)
> http://www.faqs.org/docs/Linux-mini/TransparentProxy.html#s6
>
> ### pf.conf do GATEWAY (192.168.0.254)
> ##
> # NAT usado no proxy transparente
> nat on $int_if from $int_if:network to 192.168.0.250 port { 80,8080 } ->
> $int_if
>
> # redireciona todo tráfego que chegar na porta 80 para o servidor proxy
> (192.168.0.250)
> rdr inet proto tcp from !192.168.0.250 to any port www -> 192.168.0.250
> port 8080
>
> # libera a saída do pacote (só para desencargo, pois em outra regra eu
> libero toda a saída)
> pass in quick on $int_if proto tcp from any to 192.168.0.250 port { 80,
> 8080 }keep state
> ### FIM do pf.conf do GATEWAY (192.168.0.254)
> ###
>
>
>
> ### squid.conf na máquina do PROXY (192.168.0.250 <
> OUTRA máquina) ##
>
> [r...@services:/usr/local/etc/squid] # sed '/^$/d' squid.conf
> http_port 8080 transparent
> log_fqdn off
> hierarchy_stoplist cgi-bin ?
> acl QUERY urlpath_regex cgi-bin \?
> cache_dir diskd /usr/local/squid/cache 15000 30 256
> cache_access_log /usr/local/squid/logs/access.log
> cache_store_log /usr/local/squid/logs/store.log
> cache_log /usr/local/squid/logs/cache.log
> emulate_httpd_log on
> acl manager proto cache_object
> acl webserver src 192.168.0.254/32
> acl localhost src 127.0.0.1/32 192.168.0.254/32
> acl to_localhost dst 127.0.0.0/8
> acl SSL_ports port 443 563
> acl Safe_ports port 80 # http
> acl Safe_ports port 81 # http (merda do dominio sistemas)
> acl Safe_ports port 4976# banco real
> acl Safe_ports port 21 # ftp
> acl Safe_ports port 443 563 # https, snews
> acl Safe_ports port 70 # gopher
> acl Safe_ports port 210 # wais
> acl Safe_ports port 1025-65535 # unregistered ports
> acl Safe_ports port 280 # http-mgmt
> acl Safe_ports port 488 # gss-http
> acl Safe_ports port 591 # filemaker
> acl Safe_ports port 777 # multiling http
> acl CONNECT method CONNECT
> # acesso administrativo (usar squidclient)
> acl purge method PURGE
> http_access deny purge !localhost
> always_direct allow all
> http_access allow Safe_ports
> http_access allow SSL_ports
> http_access allow manager webserver
> http_access deny manager
> http_access deny !Safe_ports
> http_access deny CONNECT !SSL_ports
> http_access deny all
> http_reply_access allow all
> icp_access allow all
>
> # Usuario sob o qual ira rodar o Squid.
> cache_effective_user squid
>
> # Grupo sob o qual ira rodar o Squid.
> cache_effective_group squid
> cache_mgr webmas...@focusautomacao.com.br
> visible_hostname services.focusautomacao.com.br
>
> # necessario para proxy transparente
> forwarded_for on <
> FIZ VÁRIOS TESTES com esse parâmetro
> #follow_x_forwarded_for allow webserver
> #acl_uses_indirect_client
> #log_uses_indirect_client on
> #follow_x_forwarded_for deny all
> log_icp_queries off
> buffered_logs on
> strip_query_terms off
> logfile_rotate 4
> coredump_dir none
> client_persistent_connections off
> server_persistent_connections off
> ie_refresh on
>
> ### FIM do squid.conf na máquina do PROXY (192.168.0.250)
> ##
>
>
> O proxy funciona normalmente... o problema é que no log (access.log)
> mostra o ip do GATEWAY (192.168.0.250), e não do usuário que está
> tentando acessar algum site.
>
> Se alguém tiver ambiente parecido por favor, poste o pf.conf e squid.conf
>
> Vou continuar aqui lendo alguns livros e materiais da internet...
> qualquer novidade eu comunico.
>
Pessoal,
U
